Política de Segurança
Existe uma Política de Segurança da Informação publicada?
Aplicável: Sim
Sim
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
Existe um processo para medir a adequação da empresa quanto aos controles das Políticas relacionadas a Segurança da Informação?
Aplicável: Não
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe um processo para atualização das políticas de Segurança da Informação?
Aplicável: Não
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe Política de Classificação da Informação?
Aplicável: Não
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Segurança Organizacional
Existem Papéis e Responsabilidades definidas para as funções de Segurança da Informação e Privacidade?
Aplicável: Não
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
São realizadas verificações de antecedentes e referências durante o processo de recrutamento?
Aplicável: Parcialmente
Vedação legal quanto a exigência de antecedentes criminais para contratação.
Os seus fornecedores ou parceiros de negócios são avaliados quanto à segurança da informação e privacidade?
Aplicável: Sim
Data Protection Agreement, avaliação por questionários, cláusulas contratuais.
É exigida a assinatura de um Termo de Confidencialidade com fornecedores?
Aplicável: Sim
Data Protection Agreement, Non Disclosure Agreement, cláusulas contratuais.
Classificação e controle de ativos
Existe controle e gerenciamento de ativos?
Aplicável: Sim
Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencia_ativos.jpg
Como é feito o descarte de mídias na sua organização?
Aplicável: Não se aplica
Não existem mídias de backup pois o ambiente está em cloud. Variando de acordo com cada tipo de fornecedor assim como mencionado em nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
É permitido o uso de mídias removíveis?
Aplicável: Sim
Somente para dispositivos associados a uso interno de nossos funcionários. Não se aplica para dispositivos em núvel como especificados por nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
Existe gerenciamento de dispositivos móveis? Qual o controle realizado para garantir a devolução do equipamento após a rescisão do contrato com o colaborador ou terceiro?
Aplicável: Sim
Através do Azure Active Directory e políticas de ativos em posse dos colaboradores para fins legais. Estamos também implantando serviço especializado do Microsoft Intune para controle de criptografia e suspensão de uso remota.
Vide evidência no item "Existe controle e gerenciamento de ativos?"
Os dados de clientes que são compartilhados com terceiros são monitorados contra vazamento?
Aplicável: Não
Não há nenhum tipo de compartilhamento de dados do cliente à terceiros.
Controle de Acesso
Existe Política de Gestão de Acessos?
Aplicável: Sim
Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencialogsacessos.jpg
Existe procedimento de revisão de acesso para colaboradores e terceiros? Qual a periodicidade?
Aplicável: Sim
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem requerimentos mínimos para complexidade de passwords?
Aplicável: Sim
Utilizada 42 dias de idade de senha atendendo 3 requitos (Maiusculas e Minúsculas, Caracteres Especiais e Números
- Políticas de senha e restrições de conta do Active Directory do Azure
Qual a frequencia para a troca de senha obrigatória?
Aplicável: Sim
42 dias
Qual a política de uso de usuários com acesso de Administrador?
Aplicável: Sim
Acesso administrador é permitido para uso de ferramentas internas, mas não nas plataformas com dados sensíveis ou críticos
Segurança Física
Existe procedimento para monitorar ou gravar incidentes relacionados a segurança física do seu ambiente?
Aplicável: N/A
Em nossos ambientes físicos não há alocação de dados ou servidores locais.
Como é realizado o acesso a suas instalações físicas? Quais os controles utilizados (Crachá, biometria, etc).
Aplicável: Sim
Controle de acesso na portaria através de identificação e abertura da porta por senha ou cráchá.
- https://privacy.simplificaci.com.br/files/evidenciaacessofisico.jpg
Treinamento
Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?
Aplicável: Sim
Workshops de conscientização de boas práticas
- https://privacy.simplificaci.com.br/files/evidenciaworkshoplgpd.jpg
Gestão de Operações
A organização utiliza software Anti-vírus e Anti-Malware em todas as estações e servidores?
Aplicável: Sim
Bit Defender ou Windows Defender
Windows Defenter já inclusivo em todas as instalações de WIndows 10 (Sendo este o sistema operacional mínimo exigido na empresa)
Os patches de segurança são aplicados em sitemas operacionais e aplicativos com qual frequência?
Aplicável: Sim
Aplicações de patchs são gerenciadas pelo Azure com atualizações de segurança nos serviços publicados
Existe um baseline de segurança aplicado a todaas as estações de trabalho, notebooks e servidores?
Aplicável: Parcial
Apenas para servidores, não estações
Desenvolvimento e Manutenção de Sistemas
Existe Política de Desenvolvimento Seguro?
Aplicável: Parcial
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
O processo de Privacy by Design está formalizado?
Aplicável: Sim
Os sistemas de propriedade da Simplifica.CI, desde a fase de concepção, foram desenvolvidos, em seus aspectos visuais e técnicos, de modo à atender as exigências legais no que concerne a privacidade e proteção dos dados pessoais de seus usuários, adequados aos níveis de criticidade de cada dado/informação inserida nos sistemas (art. 46, LGPD).
Vide evidência no item "Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?"
São executados testes de vulnerabilidade antes do envio do software para produção?
Aplicável: Sim
Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
São executados Pentests e Scans de Vulnerabilidades periodicamente?
Aplicável: sim
Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Existem ambientes segregados para Desenvolvimento, Homologação e Produção?
Aplicável: Sim
Ambientes separados de DEV/HML/PRD
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Continuidade de Negócios
Existe uma análise de impacto do negócio (BIA) formalizada?
Aplicável: Não
Estamos em processo de validação de fluxogramas e redefinição de processos e uso de dados com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem testes de Disater Recovery periódicos na organização?
Aplicável: Em andamento
Está sendo desenvolvido um plano baseado em NIST
Existe teste de Restore periódico na organização?
Aplicável: Não
Não
Qual o tempo de retenção dos backups?
Aplicável: Sim
Variável de acordo com a política, 7, 30 ou 1 ano
Privacidade
A sua organização tem um processo para o descarte seguro de documentos em papel cópia contendo informações sigilosas?
Aplicável: Sim
Prezamos para que seja utilizado a menor quantidade possível de papeis para registro de dados de nossos clientes, priorizando arquivos digitais. Quando utilizados papeis físicos, o descarte é feito a partir de fragmentadora de papeis.
- http://lamina.multilaser.com.br/of003.pdf
A organizalçao possui um programa de governança focado na implementação da Lei Geral de Proteção de Dados? Ou, possui plano de ação para estruturação deste programa?
Aplicável: Sim
A empresa se encontra em compliance à Lei 13.709/18, sobretudo em relação ao Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD, além da constante atualização e evolução de seus níves de proteção à privacidade e dados pessoais tratados.
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
A organização possui uma Política Interna de Privacidade que delimita os deveres básicos de seus colaboradores para tratamento de dados pessoais?
Aplicável: Sim
Políticas organizacionais aplicadas.
- Política de Segurança da Informação
A organização possui uma plano de ação formalizado para casos de ocorrência de incidentes envolvendo dados pessoais?
Aplicável: Em andamento
Está sendo desenvolvido um plano baseado em NIST
A organização já sofreu algum tipo de incidente que envolveu dados pessoais (Quaisquer situações acidentais de destruição, perda, alteração ou quebra de confidencialidade da informação?
Aplicável: Não
Não
Possui algum tipo de cobertura de seguro para incidentes que envolvam dados pessoais?
Aplicável: N/A
N/A
A organização já realizou a nomeação de um Encarregado pelo tratamento de dados (obrigação do artigo 41 da LGPD)?
Aplicável: Sim
Responsável referenciado em nossos documentos DPIA
- Política de Segurança da Informação