Existe uma Política de Segurança da Informação publicada?
Aplicável:
Sim Sim
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
Existe um processo para medir a adequação da empresa quanto aos controles das Políticas relacionadas a Segurança da Informação?
Aplicável:
Não Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe um processo para atualização das políticas de Segurança da Informação?
Aplicável:
Não Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe Política de Classificação da Informação?
Aplicável:
Não Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem Papéis e Responsabilidades definidas para as funções de Segurança da Informação e Privacidade?
Aplicável:
Não Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
São realizadas verificações de antecedentes e referências durante o processo de recrutamento?
Aplicável:
Parcialmente Vedação legal quanto a exigência de antecedentes criminais para contratação.
Os seus fornecedores ou parceiros de negócios são avaliados quanto à segurança da informação e privacidade?
Aplicável:
Sim Data Protection Agreement, avaliação por questionários, cláusulas contratuais.
É exigida a assinatura de um Termo de Confidencialidade com fornecedores?
Aplicável:
Sim Data Protection Agreement, Non Disclosure Agreement, cláusulas contratuais.
Existe controle e gerenciamento de ativos?
Aplicável:
Sim Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencia_ativos.jpg
Como é feito o descarte de mídias na sua organização?
Aplicável:
Não se aplica Não existem mídias de backup pois o ambiente está em cloud. Variando de acordo com cada tipo de fornecedor assim como mencionado em nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
É permitido o uso de mídias removíveis?
Aplicável:
Sim Somente para dispositivos associados a uso interno de nossos funcionários. Não se aplica para dispositivos em núvel como especificados por nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
Existe gerenciamento de dispositivos móveis? Qual o controle realizado para garantir a devolução do equipamento após a rescisão do contrato com o colaborador ou terceiro?
Aplicável:
Sim Através do Azure Active Directory e políticas de ativos em posse dos colaboradores para fins legais. Estamos também implantando serviço especializado do Microsoft Intune para controle de criptografia e suspensão de uso remota.
Vide evidência no item "Existe controle e gerenciamento de ativos?"
Os dados de clientes que são compartilhados com terceiros são monitorados contra vazamento?
Aplicável:
Não Não há nenhum tipo de compartilhamento de dados do cliente à terceiros.
Existe Política de Gestão de Acessos?
Aplicável:
Sim Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencialogsacessos.jpg
Existe procedimento de revisão de acesso para colaboradores e terceiros? Qual a periodicidade?
Aplicável:
Sim Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem requerimentos mínimos para complexidade de passwords?
Aplicável:
Sim Utilizada 42 dias de idade de senha atendendo 3 requitos (Maiusculas e Minúsculas, Caracteres Especiais e Números
- Políticas de senha e restrições de conta do Active Directory do Azure
Qual a frequencia para a troca de senha obrigatória?
Aplicável:
Sim 42 dias
Qual a política de uso de usuários com acesso de Administrador?
Aplicável:
Sim Acesso administrador é permitido para uso de ferramentas internas, mas não nas plataformas com dados sensíveis ou críticos
Existe procedimento para monitorar ou gravar incidentes relacionados a segurança física do seu ambiente?
Aplicável:
N/A Em nossos ambientes físicos não há alocação de dados ou servidores locais.
Como é realizado o acesso a suas instalações físicas? Quais os controles utilizados (Crachá, biometria, etc).
Aplicável:
Sim Controle de acesso na portaria através de identificação e abertura da porta por senha ou cráchá.
- https://privacy.simplificaci.com.br/files/evidenciaacessofisico.jpg
Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?
Aplicável:
Sim Workshops de conscientização de boas práticas
- https://privacy.simplificaci.com.br/files/evidenciaworkshoplgpd.jpg
A organização utiliza software Anti-vírus e Anti-Malware em todas as estações e servidores?
Aplicável:
Sim Bit Defender ou Windows Defender
Windows Defenter já inclusivo em todas as instalações de WIndows 10 (Sendo este o sistema operacional mínimo exigido na empresa)
Os patches de segurança são aplicados em sitemas operacionais e aplicativos com qual frequência?
Aplicável:
Sim Aplicações de patchs são gerenciadas pelo Azure com atualizações de segurança nos serviços publicados
Existe um baseline de segurança aplicado a todaas as estações de trabalho, notebooks e servidores?
Aplicável:
Parcial Apenas para servidores, não estações
Existe Política de Desenvolvimento Seguro?
Aplicável:
Parcial Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
O processo de Privacy by Design está formalizado?
Aplicável:
Sim Os sistemas de propriedade da Simplifica.CI, desde a fase de concepção, foram desenvolvidos, em seus aspectos visuais e técnicos, de modo à atender as exigências legais no que concerne a privacidade e proteção dos dados pessoais de seus usuários, adequados aos níveis de criticidade de cada dado/informação inserida nos sistemas (art. 46, LGPD).
Vide evidência no item "Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?"
São executados testes de vulnerabilidade antes do envio do software para produção?
Aplicável:
Sim Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
São executados Pentests e Scans de Vulnerabilidades periodicamente?
Aplicável:
sim Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Existem ambientes segregados para Desenvolvimento, Homologação e Produção?
Aplicável:
Sim Ambientes separados de DEV/HML/PRD
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Existe uma análise de impacto do negócio (BIA) formalizada?
Aplicável:
Não Estamos em processo de validação de fluxogramas e redefinição de processos e uso de dados com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem testes de Disater Recovery periódicos na organização?
Aplicável:
Em andamento Está sendo desenvolvido um plano baseado em NIST
Existe teste de Restore periódico na organização?
Aplicável:
Não Não
Qual o tempo de retenção dos backups?
Aplicável:
Sim Variável de acordo com a política, 7, 30 ou 1 ano
A sua organização tem um processo para o descarte seguro de documentos em papel cópia contendo informações sigilosas?
Aplicável:
Sim Prezamos para que seja utilizado a menor quantidade possível de papeis para registro de dados de nossos clientes, priorizando arquivos digitais. Quando utilizados papeis físicos, o descarte é feito a partir de fragmentadora de papeis.
- http://lamina.multilaser.com.br/of003.pdf
A organizalçao possui um programa de governança focado na implementação da Lei Geral de Proteção de Dados? Ou, possui plano de ação para estruturação deste programa?
Aplicável:
Sim A empresa se encontra em compliance à Lei 13.709/18, sobretudo em relação ao Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD, além da constante atualização e evolução de seus níves de proteção à privacidade e dados pessoais tratados.
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
A organização possui uma Política Interna de Privacidade que delimita os deveres básicos de seus colaboradores para tratamento de dados pessoais?
Aplicável:
Sim Políticas organizacionais aplicadas.
- Política de Segurança da Informação
A organização possui uma plano de ação formalizado para casos de ocorrência de incidentes envolvendo dados pessoais?
Aplicável:
Em andamento Está sendo desenvolvido um plano baseado em NIST
A organização já sofreu algum tipo de incidente que envolveu dados pessoais (Quaisquer situações acidentais de destruição, perda, alteração ou quebra de confidencialidade da informação?
Aplicável:
Não Não
Possui algum tipo de cobertura de seguro para incidentes que envolvam dados pessoais?
Aplicável:
N/A N/A
A organização já realizou a nomeação de um Encarregado pelo tratamento de dados (obrigação do artigo 41 da LGPD)?
Aplicável:
Sim Responsável referenciado em nossos documentos DPIA
- Política de Segurança da Informação