GoodPriv@cy

Regulamento dos Requisitos

do Selo de Proteo de Dados

Publicao:
Origem:

Sumrio:

Verso 3.0 Janeiro de 2007

Este documento equivalente ao GoodPriv@cy Regulations relating to
requirements of the Data Protection Label version 3.0 January 2007
(IQNet agreement annex 2)
Requisitos para o sistema de gesto de proteo de dados, incluindo os
requisitos legais para proteo de dados e requisitos para segurana da
informao.

Copyright 2007, FCAV

Fundao Vanzolini, por autorizao da GoodPriv@cy. Todos os direitos
reservados. Copiar, no todo ou em partes, apenas permitido com o consentimento escrito da FCAV.

CONTEDO
1.

CAPTULO: INTRODUO ............................................................................ 4

1.1

Generalidades..................................................................................................... 4

1.2

Referncias Normativas ..................................................................................... 4

1.3

Termos e Definies .......................................................................................... 4

2.

CAPTULO: REQUISITOS DO SISTEMA DE GESTO DE PROTEO

DE DADOS........................................................................................................... 6

2.1

Poltica ............................................................................................................... 6

2.2

Organizao e Responsabilidades...................................................................... 6

2.3

Planejamento...................................................................................................... 6

2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.4

Identificao dos Itens Relevantes para Proteo de Dados.............................. 6

Classificao dos Itens Relevantes para Proteo de Dados ............................. 7
Determinao dos Requisitos Legais e dos Demais Requisitos ........................ 7
Avaliao dos Itens Relevantes para Proteo de Dados................................... 7
Objetivos e Aes de Proteo de Dados .......................................................... 7
Conscientizao e Competncia dos Empregados............................................. 8

2.5

Comunicao ..................................................................................................... 8

2.6

Documentao do Sistema de Gesto de Proteo de Dados ............................ 9

2.7

Controle de Documentos e de Registros............................................................ 9

2.8

Controle de Processos ...................................................................................... 10

2.9

Prontido e Preparao para Emergncias....................................................... 10

2.10

Monitoramento e Medio............................................................................... 11

2.11

No-conformidades, Aes Corretivas e Aes Preventivas........................... 11

2.12

Auditorias do Sistema de Gesto de Proteo de Dados ................................. 11

2.13

Avaliao pela Alta Direo (Anlise Crtica pela Direo) ........................... 11

3.

CAPTULO: REQUISITOS DA LEGISLAO PARA PROTEO DE

DADOS ............................................................................................................... 12

3.1

Prioridade Atribuda aos Requisitos Legais e aos Demais Requisitos ............ 12

3.2

Princpios Bsicos Relacionados Permisso de Processamento de Dados

Pessoais ............................................................................................................ 12

3.2.1
3.2.2

Generalidades................................................................................................... 12
Processamento de Categorias Especiais de Dados Pessoais ............................ 12
2

3.3

Requisitos para o Manuseio de Dados Pessoais .............................................. 12

3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9

Boa -f.............................................................................................................. 12
Legalidade do Processamento de Dados.......................................................... 12
Propsitos Especficos ..................................................................................... 13
Adequao ....................................................................................................... 13
Exatido e Atualizao de Dados .................................................................... 13
Limitao de Armazenagem e Uso .................................................................. 13
Transmisso de Dados Pessoais ao Exterior.................................................... 13
Processamento de Pedidos ............................................................................... 13
Segurana de Dados......................................................................................... 13

4.

CAPTULO: REQUISITOS PARA SEGURANA DA INFORMAO .. 14

4.1

Princpio Bsico ............................................................................................... 14

4.2

reas e Aes de Segurana ............................................................................ 14

4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
4.2.8
4.2.9

Controles de Admisso .................................................................................... 14

Controles de Acesso......................................................................................... 14
Controles de Acesso do Usurio ...................................................................... 14
Controle de Dados durante a Transmisso ...................................................... 14
Controles de Entrada........................................................................................ 15
Controles de Pedidos ....................................................................................... 15
Controles de Disponibilidade........................................................................... 15
Controles de Separao.................................................................................... 15
Outros Controles .............................................................................................. 15

1. CAPTULO: INTRODUO
1.1

Generalidades
O Selo GoodPriv@cy uma marca registrada da IQNet. Esta lista de requisitos
estabelece as exigncias obrigatrias que devem ser cumpridas para a concesso e o
uso deste selo.

1.2

Referncias Normativas

Este Regulamento baseia-se em particular nos seguintes padres e requisitos normativos

legais:
a.
Sistema de Gesto de Proteo de Dados
Requisitos de sistema de gesto alinhados aos princpios bsicos das normas
internacionais ISO 9001 e ISO 14001 (no Brasil, ABNT ISO 9001:2000 e ABNT ISO
14001:1996).
b.
Proteo de Dados
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, datada de 24 de outubro de
1995, relativa proteo das pessoas naturais no que diz respeito ao tratamento de
dados pessoais e livre circulao desses dados.
c.
Segurana da Informao
Requisitos derivados do cdigo de prtica para a gesto da segurana da informao
ISO/IEC 17799 (no Brasil, ABNT NBR ISO/IEC 17799:2001).
1.3

Termos e Definies
Para os efeitos deste Regulamento, aplicam-se as seguintes definies:
a.
Registros
Registros so evidncias documentais de que os requisitos esto sendo atendidos (e.g.,
relatrio de teste).
b.
Edio
Qualquer tipo de manuseio de dados pessoais tais como em particular pesquisa,
armazenamento, utilizao, adaptao, divulgao, arquivamento e destruio,
independentemente dos mtodos de edio usados nesse contexto.
c.
Categoria Especial de Dados Pessoais
Dados pessoais que so definidos em lei como particularmente confidenciais, tais
como em particular detalhes sobre origem tnica ou racial, opinies polticas,
convices religiosas ou filosficas, filiao em sindicato trabalhista, sade, hbitos
sexuais, bem como informaes sobre sentenas criminais e penas.
d.
Receptores dos Dados
Pessoas ou setores que recebem dados pessoais.
e.
Item Relevante para Proteo de Dados
Processo ou servio que acarreta o processamento de dados pessoais.
f.
Documentos
Documentos de natureza instrutiva (descries de processos, instrues de trabalho,
listas de verificao etc.).

g.
Requisitos Aplicveis
Normas legais e demais regulamentos que legalmente vinculam a organizao (e.g.,
estatutos e contratos) e que devem ser cumpridos quando do processamento de dados
pessoais.
h.
Emergncias
Eventos especiais com conseqncias danosas significativas que requerem a
disponibilidade de aes de preparao e prontido para lidar rapidamente com a
situao.
i.
Item de Importncia Especial
Item relevante para a proteo de dados com respeito ao qual a garantia de proteo de
dados e de segurana da informao de importncia vital ou estratgica para a
organizao.
j.
Dado Pessoal
Informao sobre pessoas que so ou podem ser identificadas (= informao
concernente a pessoas).
k.
Anlise de Riscos
Identificao de ameaas e avaliao de riscos (perda potencial e probabilidade de
ocorrncia).

2. CAPTULO: REQUISITOS DO SISTEMA DE GESTO DE PROTEO DE

DADOS
2.1

Poltica
A alta direo da organizao deve definir a poltica e assegurar que ela:
a.
apropriada, com respeito ao escopo e ao tipo dos seus processos de negcios,
servios e produtos, para garantir a implementao da proteo de dados e da
segurana das informaes da organizao;
b.
reflete os conceitos de valores da organizao com relao proteo e
segurana de dados;
c.
contm um compromisso em manter a proteo de dados e em cumprir as
regras de conduta que a organizao voluntariamente concordou aderir;
d.
contm um compromisso com a melhoria contnua da eficcia do sistema de
gesto de proteo de dados;
e.
contm uma declarao da alta direo da sua inteno em apoiar os objetivos
desta poltica;
f.
documentada, implementada, mantida e levada ao conhecimento de todos os
empregados;
g.
acessvel ao pblico em geral.

2.2

Organizao e Responsabilidades
1. Tarefas, responsabilidades e autoridades devem ser definidas, documentadas e
notificadas.
2. Devem ser fornecidos pela organizao os recursos organizacionais, tcnicos,
financeiros e humanos e as habilidades requeridos para a instalao e para a operao
do sistema de gesto de proteo de dados.
3. A alta direo da organizao deve nomear um ou mais representantes e, tendo em
conta os regulamentos legais pertinentes, a direo deve atribuir a essas pessoas suas
tarefas, definir suas responsabilidades e delegar-lhes autoridade, a fim de:
a.
assegurar que os requisitos deste Regulamento sejam estabelecidos,
implementados e mantidos;
b.
submeter alta direo relatrios sobre a eficcia do sistema de gesto de
proteo de dados, para sua avaliao e para prover uma base para sua
melhoria.

2.3

Planejamento

2.3.1

Identificao dos Itens Relevantes para Proteo de Dados

1. A organizao deve identificar todos os itens relevantes para proteo de dados.
2. Deve ser elaborada uma descrio de todos os itens relevantes para proteo de
dados. Essa descrio deve conter as seguintes informaes:
a.
os nomes dos itens;
b.
seus propsitos;
c.
uma descrio simples dos materiais e mtodos usados no processamento;
d.
o grupo de pessoas envolvidas e seu nmero aproximado;
6

e.
f.
g.
2.3.2

as categorias dos dados pessoais;

as categorias dos setores que so autorizados a acessar e a modificar dados;
as categorias dos receptores de dados.

Classificao dos Itens Relevantes para Proteo de Dados

A organizao deve classificar os itens relevantes para a proteo de dados de acordo
com a sua importncia e identificar os itens de importncia especial, levando em conta
os seguintes aspectos em particular:
a.
valor dos materiais de TI (tecnologia da informao) e capacidade para
substitu-los;
b.
durao dos perodos de parada crtica de funcionamento dos sistemas de
informao;
c.
regulamentos legais e contratuais relacionados confidencialidade;
d.
processamento de dados pessoais categorizados em lei como sendo
especialmente confidenciais, bem como as possveis conseqncias para as
pessoas envolvidas do uso incorreto dos dados pessoais;
e.
normas legais ou contratuais sobre arquivamento.

2.3.3

Determinao dos Requisitos Legais e dos Demais Requisitos

1. A organizao deve determinar, documentar e fornecer acesso aos requisitos legais
e aos demais requisitos aplicveis para a avaliao dos itens relevantes para proteo
de dados, em particular:
a.
as normas estabelecidas em leis nacionais e internacionais, incluindo em
particular as normas setoriais especiais;
b.
regras de conduta s quais a organizao tenha concordado voluntariamente
aderir (contratos, regras de associaes comerciais, bem como de organizaes
profissionais e tcnicas etc.).
2. A organizao deve estabelecer e manter um procedimento para verificar
anualmente que os requisitos aplicveis esto atualizados e para assegurar uma
contnua verificao dos requisitos legais e dos demais requisitos.

2.3.4

Avaliao dos Itens Relevantes para Proteo de Dados

1. A organizao deve avaliar todos os itens relevantes para proteo de dados com
respeito a sua conformidade com os requisitos legais e com os demais requisitos
aplicveis. A contnua aderncia a esses requisitos deve ser periodicamente avaliada.
2. A organizao deve conduzir uma anlise de riscos para os itens de importncia
especial, de forma a identificar e avaliar os principais riscos potenciais. A organizao
deve revisar periodicamente a anlise de riscos para determinar se ela permanece
atualizada ou se so necessrios ajustes.

2.3.5

Objetivos e Aes de Proteo de Dados

1. A organizao, baseada na descrio e na avaliao dos itens relevantes para
proteo de dados, deve formular os objetivos, bem como deve implementar as aes
de proteo de dados para garantir a segurana da informao.
2. A organizao deve estabelecer e manter um procedimento para implementar aes
de proteo de dados e de segurana da informao, para a consecuo de seus
objetivos. Esse procedimento deve incluir:
7

a.
b.
c.
2.4

a definio da responsabilidade pela consecuo dos objetivos em cada funo

e cada nvel relevante da organizao;
os recursos e os prazos para seu atingimento;
as medies apropriadas para monitorar e assegurar a eficcia das aes.

Conscientizao e Competncia dos Empregados

1. No processo de contratao de pessoal, a proteo de dados e a segurana da
informao devem ser abordadas de forma apropriada s atribuies dos empregados
em questo, e as obrigaes devem ser incorporadas aos contratos de trabalho e devem
ser revisadas e atualizadas apropriadamente durante a vigncia dos contratos.
2. Os empregados devem ser conscientizados da importncia da conformidade
poltica de proteo de dados e de segurana da informao e aos procedimentos
associados do sistema de gesto de proteo de dados. As tarefas, as responsabilidades
e as autoridades para alcanar a conformidade devem ser comunicadas
apropriadamente, e treinamento sobre isso deve ser fornecido.
3. Empregado com responsabilidade ampliada pela proteo de dados e pela segurana
da informao ou com privilgios de usurio especial devem ser capazes de
demonstrar competncia especfica nas reas de proteo de dados, mediante
correspondente treinamento ou experincia. Alm disso, sua fidedignidade deve ser
verificada antes de sua nomeao e durante todo o seu perodo de permanncia na
organizao.
4. Devem ser conduzidas verificaes para garantir que o pessoal mantido informado
e atualizado sobre as mudanas e atualizaes na rea de proteo de dados e de
segurana da informao.
5. Violaes dos procedimentos estipulados devem ser sujeitas a sanes apropriadas.
6. As normas dos pargrafos 1 a 5 tambm se aplicam aos empregados temporrios e
s pessoas de outras organizaes que so capazes de acessar dados pessoais.

2.5

Comunicao
A organizao deve estabelecer e manter procedimentos referentes proteo de
dados e segurana da informao de forma a:
a.
garantir a comunicao interna entre os vrios nveis e funes da organizao;
b.
cumprir com as obrigaes legais ou contratuais das pessoas envolvidas, com
respeito a informao;
c.
habilitar as pessoas relacionadas aos dados pessoais a serem providas de
informao ou a visualizarem seus dados, de acordo com os requisitos legais;
d.
assegurar que sejam rapidamente resolvidas as outras solicitaes das pessoas
relacionadas aos dados pessoais para garantir direitos legais ou contratuais;
e.
assegurar que sejam cumpridas as obrigaes legais relativas a registro e
notificao;
f.
assegurar que sejam produzidos os documentos e os relatrios do sistema de
gesto de dados legalmente estipulados;
g.
assegurar que sejam cumpridas as obrigaes legais para fornecer assistncia
na obteno de esclarecimentos atravs de entidades reguladoras de proteo
de dados;
h.
organizar o recebimento, a documentao e a resposta a correspondncias
relevantes provenientes de grupos externos interessados;
8

i.
2.6

assegurar que os servios nas reas de proteo de dados e de segurana da

informao sejam divulgados e comunicados a grupos externos interessados.

Documentao do Sistema de Gesto de Proteo de Dados

1. A organizao deve descrever seu sistema de gesto de proteo de dados. A
descrio deve:
a.
definir a rea de validade e as fronteiras do sistema de gesto de proteo de
dados;
b.
incluir os elementos-chave apresentados no item em acordo com o pargrafo
2, a seguir;
c.
mostrar a interao entre estes elementos;
d.
apontar os documentos associados a estes elementos.
2. Os elementos-chave incluem:
a.
a poltica;
b.
a definio de tarefas, responsabilidades e autoridades;
c.
os procedimentos para averiguar e avaliar os requisitos legais e os demais
requisitos;
d.
os objetivos e o processamento das aes de proteo de dados e de segurana
da informao;
e.
a liderana e a avaliao do sistema de gesto de proteo de dados pela alta
direo;
f.
o desenvolvimento da conscientizao e o treinamento;
g.
o monitoramento das atividades relevantes para a proteo de dados e para a
segurana da informao;
h.
o procedimento para lidar com desvios e emergncias e o conhecimento obtido
com esses, com relao a melhorias;
i.
comunicao interna e externa;
j
atualizao de documentos e registros;
k
o procedimento para conduzir auditorias internas.

2.7

Controle de Documentos e de Registros

1. A organizao deve estabelecer e manter procedimentos para o controle de todos os
documentos requeridos neste Regulamento, a fim de assegurar que:
a.
esses sejam legveis, datados, facilmente identificveis, guardados em ordem
apropriada e mantidos por um perodo de tempo predefinido;
b.
as verses atuais dos documentos relevantes estejam disponveis em todos os
locais onde so realizados procedimentos relevantes para o efetivo
funcionamento do sistema de gesto de proteo de dados;
c.
esses sejam regularmente avaliados por pessoal autorizado, revisados se
necessrio e sua adequao seja verificada;
d.
documentos invlidos sejam imediatamente removidos de todos os locais para
evitar seu uso no intencional;
e.
documentos invlidos que forem mantidos por razes legais ou para resguardar
o nvel de conhecimento sejam identificados de forma apropriada.
2. A organizao deve estabelecer e manter procedimentos para identificao,
atualizao e remoo de registros relevantes para a proteo de dados e para a
segurana da informao e assegurar que:
9

a.
b.

os registros relevantes sejam definidos;

registros de treinamento, auditorias, atividades de monitoramento e avaliaes,
bem como de mudanas no sistema de gesto de proteo de dados sejam
componentes integrantes dos registros;
c.
os registros sejam legveis, identificveis e possam ser associados de maneira
confivel aos itens correspondentes;
d.
os registros sejam armazenados de forma a prevenir perdas, danos e
deteriorao;
e.
os perodos de manuteno sejam definidos e documentados.
3. Os registros devem fornecer informaes sobre:
a.
o progresso dos programas de proteo de dados e de segurana da informao
em andamento e o nvel de realizao dos seus objetivos;
b.
a situao de conformidade com os requisitos legais e com os demais
requisitos;
c.
as aes realizadas de treinamento e de desenvolvimento da conscientizao;
d.
a eficcia do sistema de gesto de proteo de dados e a aderncia aos
requisitos, no negcio em andamento;
e.
as situaes potenciais de emergncia e as aes para amenizar e limitar suas
conseqncias;
f.
a habilidade da organizao para identificar desvios e oportunidades de
melhoria e para implementar aes de melhoria;
g.
a avaliao do sistema de gesto de proteo de dados pela alta direo e
decises gerenciais em andamento relevantes para a proteo de dados e para a
segurana da informao.
2.8

Controle de Processos
Os itens relevantes para a proteo de dados devem ser processados sob condies
predeterminadas. Com esse propsito:
a.
os itens relevantes para a proteo de dados devem ser identificados e devem
ser estabelecidos objetivos apropriados para o propsito de controle do
processo operacional. Nesse contexto, ateno especial deve ser dedicada
quelas situaes nas quais a ausncia de procedimentos documentados pode
conduzir a falhas em atender poltica de proteo de dados e de segurana da
informao, bem como em atingir os objetivos correspondentes;
b.
Na medida em que os procedimentos forem relevantes para terceiras partes
(fornecedores, contratados etc.), os procedimentos devem ser divulgados e a
aderncia aos mesmos deve ser assegurada, se necessrio, em bases
contratuais.

2.9

Prontido e Preparao para Emergncias

1. Com base na anlise de riscos, a organizao deve estabelecer e manter
procedimentos que a habilitem a responder de forma apropriada a situaes de
emergncia.
2. Aes de preparao e prontido para emergncias devem ser regularmente
revisadas e adaptadas se necessrio.

10

2.10

Monitoramento e Medio
1. A organizao deve estabelecer e manter procedimentos documentados para o
monitoramento regular e eficaz da aderncia da proteo de dados e da garantia da
segurana da informao para todos os itens relevantes para proteo de dados.
2. Os resultados do monitoramento devem ser documentados e mantidos de forma que
a implementao da proteo de dados e da segurana da informao possa ser
regularmente avaliada pela direo com base nesses registros.

2.11

No-conformidades, Aes Corretivas e Aes Preventivas

A organizao deve estabelecer e manter procedimentos para investigar e lidar com
desvios. Esses procedimentos devem assegurar que:
a.
no-conformidades sejam registradas;
b.
a origem das no-conformidades seja analisada e suas causas investigadas;
c.
aes corretivas e aes preventivas apropriadas sejam tomadas para evitar
reincidncias e potenciais desvios.

2.12

Auditorias do Sistema de Gesto de Proteo de Dados

1. A organizao deve estabelecer e manter procedimentos para a auditoria regular do
sistema de gesto de proteo de dados, a fim de:
a.
averiguar se os requisitos planejados do sistema de gesto de proteo de
dados, incluindo os requisitos deste Regulamento, esto funcionando
adequadamente e so eficazes;
b.
prover a direo da organizao de informaes sobre os resultados da
auditoria e sobre a extenso do seu escopo.
2. Deve ser elaborado um programa para a auditoria, que deve:
a.
fazer referncia aos produtos, servios e atividades relevantes e fornecer
evidncia apropriada da eficcia dos mesmos;
b.
levar em conta os resultados das auditorias anteriores;
c.
estabelecer as responsabilidades e os requisitos para conduzir e relatar a
auditoria;
d.
garantir o mtodo de abordagem e o conhecimento tcnico apropriado da
equipe de auditoria.

2.13

Avaliao pela Alta Direo (Anlise Crtica pela Direo)

1. A alta direo da organizao deve avaliar periodicamente o sistema de gesto de
proteo de dados a fim de assegurar contnua adequao, pertinncia e eficcia. Essa
avaliao deve ser precedida pela obteno da necessria informao. O procedimento
de avaliao deve ser definido e a avaliao em si deve ser documentada.
2. A avaliao conduzida pela alta direo da organizao deve tratar de quaisquer
mudanas necessrias na poltica de proteo de dados, nos objetivos derivados dessa
poltica, alm dos demais elementos do sistema de gesto de proteo de dados, com
base nas auditorias, nas demais atividades de monitoramento, nas circunstncias
sujeitas a mudanas, bem como no compromisso de melhoria contnua.

11

3. CAPTULO: REQUISITOS DA LEGISLAO PARA PROTEO DE DADOS

3.1

Prioridade Atribuda aos Requisitos Legais e aos Demais Requisitos

1. Os requisitos legais e os demais requisitos que no estejam de acordo com os
requisitos de proteo de dados estabelecidos a seguir e que sejam exigncias legais
obrigatrias para a organizao tm prioridade.
2. Os desvios devem ser indicados para cada item relevante para proteo de dados,
como parte da documentao obrigatria, de acordo com o item n. 2.3.3
(Determinao dos Requisitos Legais e dos Demais Requisitos).

3.2

Princpios Bsicos Relacionados Permisso de Processamento de Dados

Pessoais

3.2.1

Generalidades
O processamento de dados pessoais requer que:
a.
o incontestvel consentimento da pessoa relacionada aos dados pessoais tenha
sido obtido, ou
b.
a execuo de uma relao contratual ou pr-contratual com a pessoa
relacionada aos dados pessoais exija que estes dados sejam processados, ou
c.
uma obrigao legal se aplique e seu cumprimento exige o processamento de
dados pessoais, ou
d.
o processamento de dados pessoais seja necessrio para salvaguardar o
interesse vital da pessoa relacionada aos dados pessoais, ou
e.
o cumprimento de prestaes pblicas ou o exerccio de ofcio pblico exija o
processamento de dados pessoais, ou
f.
haja um interesse justificado e irresistvel da parte de quem processa os dados
ou de terceiros, acima dos interesses da pessoa relacionada aos dados pessoais.

3.2.2

Processamento de Categorias Especiais de Dados Pessoais

O processamento de dados pessoais entendidos pela legislao de proteo de dados
como particularmente confidenciais, requer:
a.
o consentimento expresso das pessoas relacionadas aos dados pessoais, ou
b.
regulamento especial que autorize o processamento de categorias especiais de
dados pessoais.

3.3

Requisitos para o Manuseio de Dados Pessoais

3.3.1

Boa -f
A organizao obrigada a aderir ao princpio da boa-f quando processar dados
pessoais.

3.3.2

Legalidade do Processamento de Dados

A organizao deve assegurar que os dados pessoais sejam processados usando apenas
mtodos legais.

12

3.3.3

Propsitos Especficos
A organizao deve assegurar que os dados pessoais sejam colecionados somente para
propsitos claramente definidos e legtimos e que no haja processamento
superveniente de forma incompatvel com aqueles propsitos definidos.

3.3.4

Adequao
A organizao deve assegurar que os dados pessoais processados sejam relevantes e
apropriados para que se atinja o propsito do processamento e que o processamento
no se estenda alm dos propsitos especificados do processamento.

3.3.5

Exatido e Atualizao de Dados

1. A organizao deve assegurar que os dados pessoais estejam de fato corretos e,
quando necessrio, atualizados.
2. Aes apropriadas devem ser tomadas para assegurar que dados pessoais que no
estejam atualizados ou completos sejam eliminados ou corrigidos.

3.3.6

Limitao de Armazenagem e Uso

A organizao deve assegurar que dados pessoais no sejam mantidos de forma que as
pessoas relacionadas aos dados pessoais possam ser identificadas alm dos limites do
que for exigido pelo propsito para que os dados foram colecionados.

3.3.7

Transmisso de Dados Pessoais ao Exterior

1. Se dados pessoais forem enviados ao exterior, a organizao deve verificar com
base em critrios legais se um nvel apropriado de proteo garantido no pas de
destino.
2. Se no existir legislao correspondente sobre proteo de dados, a organizao
deve assegurar que proteo de dados equivalente seja aplicada, mediante concluso
de acordos contratuais com o receptor dos dados pessoais.

3.3.8

Processamento de Pedidos
1. A organizao responsvel pela emisso de pedidos deve cuidar de selecionar e
instruir os fornecedores e checar para assegurar que seja garantida a conformidade
com os regulamentos da legislao de proteo de dados aplicveis prpria
organizao.
2. Requisitos legais e contratuais, em particular obrigaes de confidencialidade,
devem ser cumpridos.
3. Os requisitos para assegurar a proteo de dados e para garantir a segurana da
informao durante o processamento dos pedidos devem ser acordados em bases
contratuais e devem ser documentados para o propsito de assegurar provas.

3.3.9

Segurana de Dados
O captulo 4 a seguir (Requisitos para Segurana da Informao) aplica-se
segurana de dados.

13

4. CAPTULO: REQUISITOS PARA SEGURANA DA INFORMAO

4.1

Princpio Bsico
Organizaes que processam dados pessoais devem tomar todas as aes tcnicas e
organizacionais apropriadas para garantir a segurana da informao associada aos
requisitos de proteo de dados pessoais. Nesse contexto, deve-se levar em conta o
tipo de processamento, bem como a classificao dos itens relevantes para proteo de
dados, em acordo com o item n. 2.3.2 deste Regulamento, acima.

4.2

reas e Aes de Segurana

4.2.1

Controles de Admisso
As seguintes aes em particular devem ser providenciadas para prevenir a admisso
de pessoas no autorizadas aos locais em que so processados dados pessoais:
a.
definio das zonas de segurana e reas de circulao;
b.
implementao das aes estruturais, tcnicas e organizacionais necessrias;
c.
regras obrigatrias e transparncia dos direitos de acesso;
d.
controle de entrada e permanncia das pessoas nas zonas de segurana.

4.2.2

Controles de Acesso
Para prevenir que pessoas no autorizadas sejam capazes de acessar o sistema de
processamento de dados e invadam os recursos de comunicao, as seguintes aes
devem ser tomadas:
a.
salvaguardar as interfaces entre as zonas (por exemplo, Intranet, Extranet e
Internet) contra o acesso no autorizado mediante uso de mecanismos de
proteo apropriados;
b.
edio controlada e documentada e monitoramento dos direitos do usurio;
c.
alocao dos IDs dos usurios e mecanismos de identificao mediante
processos formais;
d.
instalao de um login formal e procedimento de bloqueio para acesso aos
sistemas e servios de informao;
e.
definio, comunicao e implementao de prticas de segurana apropriadas
na seleo e uso de mecanismos de identificao (e.g., senhas de acesso).

4.2.3

Controles de Acesso do Usurio

De forma a garantir que os usurios possam processar dados pessoais somente dentro
dos limites de suas autorizaes, as seguintes aes em particular devem ser
executadas:
a.
edio regulamentada e controlada e monitoramento dos direitos do usurio no
nvel de aplicao;
b.
monitoramento da edio e do uso dos privilgios do sistema.

4.2.4

Controle de Dados durante a Transmisso

Para garantir que os dados pessoais no possam ser lidos, copiados, modificados ou
removidos por pessoas no autorizadas durante a transmisso eletrnica ou transporte
dos dados, as seguintes aes em particular devem ser providenciadas:
14

a.
b.
c.
4.2.5

monitoramento das interfaces atravs das quais os dados so transmitidos;

implementao de aes planejadas para salvaguardar a integridade e a
confidencialidade nas redes;
proteo das unidades de armazenagem e transporte de dados contra acesso
no autorizado, mau uso e corrupo durante o transporte;

Controles de Entrada
De forma a identificar posteriormente quando e por quem os dados foram inseridos,
modificados ou eliminados, nos sistemas de processamento de dados, as seguintes
aes devem ser tomadas:
a.
registro histrico das entradas dos usurios, apropriado para propsitos de
auditoria;
b.
anlise dos registros histricos com respeito a desvios relevantes proteo de
dados.

4.2.6

Controles de Pedidos
Para garantir que dados pessoais processados por pedidos possam ser processados
somente de acordo com as instrues do cliente, as seguintes aes devem ser
implementadas:
a.
garantia contratual do fornecedor em aplicar aes equivalentes para a
segurana da informao;
b.
monitoramento efetivo da aderncia do fornecedor segurana da informao
contratualmente acordada.

4.2.7

Controles de Disponibilidade
Para garantir que dados pessoais sejam protegidos contra destruio acidental ou
intencional, as seguintes aes em particular devem ser tomadas:
a.
garantia da disponibilidade apropriada da infra-estrutura tcnica e estrutural;
b.
implementao das aes planejadas para identificar e prevenir influncias de
falhas de software, alm de garantir um sistema de alarme e interveno
mediante a aplicao de mecanismos de reao apropriados e, tanto quanto
possvel, automatizados;
c.
garantia de reserva e de recuperao de programas e de dados;
d.
assegurao e monitoramento da adequada capacidade de memria para dados
e para registros histricos.

4.2.8

Controles de Separao
De forma a garantir que os dados colecionados para distintas finalidades sejam
armazenados separadamente, as seguintes aes em particular devem ser tomadas:
a.
implementao organizacional e tcnica do processamento requerido de
separao de dados, com base nos propsitos especficos destes (ver item n.
3.3.3, acima).

4.2.9

Outros Controles
De forma a garantir a segurana da informao, as seguintes aes adicionais devem
ser tomadas:
15

a.
b.

c.

d.
e.

avaliao, na fase de projeto, da segurana da informao requerida para a

proteo de dados;
implementao de conceitos de teste em mltiplos nveis, com cenrios de
teste e critrios de aceitao para todos os tipos de inovao e de modificao
dos sistemas de processamento de dados;
exame e documentao de interferncias potenciais com outros sistemas de
processamento, para determinar a conformidade com a proteo de dados
durante a integrao dos novos sistemas de informao ou parte deles; essa
ao deve ser periodicamente revisada para determinar sua conformidade;
concluso de acordos com organizaes de manuteno, para assegurar a
confidencialidade dos dados pessoais;
edio de instrues, particularmente para os seguintes tpicos: aes de
segurana no ambiente de trabalho, utilizao de Internet, e-mails, transmisso
por telefone e fax, computadores portteis e descarte de unidades de
armazenagem e transporte de dados.

16