Política de Segurança
Existe uma Política de Segurança da Informação publicada?
Sim
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
- Política de Segurança da Informação - SimplificaCI
Existe um processo para medir a adequação da empresa quanto aos controles das Políticas relacionadas a Segurança da Informação?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe um processo para atualização das políticas de Segurança da Informação?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existe Política de Classificação da Informação?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
A Política de Segurança da Informação está alinhada a norma de referência de mercado?
Sim. A PSI foi estruturada com base na ABNT NBR ISO/IEC 27002 e em conformidade com a legislação vigente no país.
- Politica de Seguranca da Informacao
A PSI também é aplicável para prestadores de serviço e terceiros?
Sim. As diretrizes de segurança se aplicam a colaboradores, prestadores de serviço e demais partes com acesso às informações da organização.
- Politica de Seguranca da Informacao
Segurança Organizacional
Existem Papéis e Responsabilidades definidas para as funções de Segurança da Informação e Privacidade?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
São realizadas verificações de antecedentes e referências durante o processo de recrutamento?
Vedação legal quanto a exigência de antecedentes criminais para contratação.
Os seus fornecedores ou parceiros de negócios são avaliados quanto à segurança da informação e privacidade?
Data Protection Agreement, avaliação por questionários, cláusulas contratuais.
É exigida a assinatura de um Termo de Confidencialidade com fornecedores?
Data Protection Agreement, Non Disclosure Agreement, cláusulas contratuais.
As responsabilidades de segurança são formalizadas no processo de contratação de colaboradores?
Sim. A responsabilidade sobre segurança da informação é comunicada na contratação e reforçada por termo de responsabilidade e ciência.
- Politica de Seguranca da Informacao
Classificação e controle de ativos
Existe controle e gerenciamento de ativos?
Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencia_ativos.jpg
Como é feito o descarte de mídias na sua organização?
Não existem mídias de backup pois o ambiente está em cloud. Variando de acordo com cada tipo de fornecedor assim como mencionado em nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
- Política de Segurança da Informação - SimplificaCI
É permitido o uso de mídias removíveis?
Somente para dispositivos associados a uso interno de nossos funcionários. Não se aplica para dispositivos em núvel como especificados por nossa documentação DPIA
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
- Política de Segurança da Informação - SimplificaCI
Existe gerenciamento de dispositivos móveis? Qual o controle realizado para garantir a devolução do equipamento após a rescisão do contrato com o colaborador ou terceiro?
Através do Azure Active Directory e políticas de ativos em posse dos colaboradores para fins legais. Estamos também implantando serviço especializado do Microsoft Intune para controle de criptografia e suspensão de uso remota.
Vide evidência no item "Existe controle e gerenciamento de ativos?"
Os dados de clientes que são compartilhados com terceiros são monitorados contra vazamento?
Não há nenhum tipo de compartilhamento de dados do cliente à terceiros.
Controle de Acesso
Existe Política de Gestão de Acessos?
Através do Azure Active Directory
- https://privacy.simplificaci.com.br/files/evidencialogsacessos.jpg
Existe procedimento de revisão de acesso para colaboradores e terceiros? Qual a periodicidade?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem requerimentos mínimos para complexidade de passwords?
Utilizada 42 dias de idade de senha atendendo 3 requitos (Maiusculas e Minúsculas, Caracteres Especiais e Números
- Políticas de senha e restrições de conta do Active Directory do Azure
Qual a frequencia para a troca de senha obrigatória?
42 dias
Qual a política de uso de usuários com acesso de Administrador?
Acesso administrador é permitido para uso de ferramentas internas, mas não nas plataformas com dados sensíveis ou críticos
É permitido compartilhar login ou senha entre colaboradores?
Não. Credenciais e dispositivos de identificação são pessoais, intransferíveis e vinculados a uma pessoa física identificável.
- Politica de Seguranca da Informacao
Existe bloqueio automático de conta após tentativas inválidas de autenticação?
Sim. Após 3 tentativas inválidas de acesso, a conta é bloqueada e o desbloqueio depende de acionamento formal da área responsável.
- Politica de Seguranca da Informacao
Existe política de histórico e renovação obrigatória de senha?
Sim. A troca obrigatória é realizada em até 42 dias, com restrição de reutilização das 24 últimas senhas cadastradas.
- Politica de Seguranca da Informacao
Os acessos são revogados imediatamente em desligamento ou encerramento contratual?
Sim. O RH comunica imediatamente os desligamentos para bloqueio de acesso, reduzindo risco de uso indevido após o fim do vínculo.
- Politica de Seguranca da Informacao
Segurança Física
Existe procedimento para monitorar ou gravar incidentes relacionados a segurança física do seu ambiente?
Em nossos ambientes físicos não há alocação de dados ou servidores locais.
Como é realizado o acesso a suas instalações físicas? Quais os controles utilizados (Crachá, biometria, etc).
Controle de acesso na portaria através de identificação e abertura da porta por senha ou cráchá.
- https://privacy.simplificaci.com.br/files/evidenciaacessofisico.jpg
Treinamento
Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?
Workshops de conscientização de boas práticas
- https://privacy.simplificaci.com.br/files/evidenciaworkshoplgpd.jpg
Gestão de Operações
A organização utiliza software Anti-vírus e Anti-Malware em todas as estações e servidores?
Bit Defender ou Windows Defender
Windows Defenter já inclusivo em todas as instalações de WIndows 10 (Sendo este o sistema operacional mínimo exigido na empresa)
Os patches de segurança são aplicados em sitemas operacionais e aplicativos com qual frequência?
Aplicações de patchs são gerenciadas pelo Azure com atualizações de segurança nos serviços publicados
Existe um baseline de segurança aplicado a todaas as estações de trabalho, notebooks e servidores?
Apenas para servidores, não estações
Existe procedimento formal para reporte de incidentes de segurança da informação?
Sim. Incidentes de segurança devem ser reportados imediatamente ao time responsável por meio do canal oficial csirt@simplificaci.com.br.
- Politica de Seguranca da Informacao
Há monitoramento e trilhas de auditoria para sistemas, estações e rede corporativa?
Sim. São mantidos controles e registros auditáveis para rastreabilidade de acessos e ações nos ambientes monitorados.
- Politica de Seguranca da Informacao
Desenvolvimento e Manutenção de Sistemas
Existe Política de Desenvolvimento Seguro?
Estamos em processo de validação de fluxogramas e redefinição de processos com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
O processo de Privacy by Design está formalizado?
Os sistemas de propriedade da Simplifica.CI, desde a fase de concepção, foram desenvolvidos, em seus aspectos visuais e técnicos, de modo à atender as exigências legais no que concerne a privacidade e proteção dos dados pessoais de seus usuários, adequados aos níveis de criticidade de cada dado/informação inserida nos sistemas (art. 46, LGPD).
Vide evidência no item "Existe treinamento ou consientização sobre Segurança da Informação ou Privacidade em periodicidade regular?"
São executados testes de vulnerabilidade antes do envio do software para produção?
Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
São executados Pentests e Scans de Vulnerabilidades periodicamente?
Processo automatizado no pentesttools
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Existem ambientes segregados para Desenvolvimento, Homologação e Produção?
Ambientes separados de DEV/HML/PRD
- https://privacy.simplificaci.com.br/files/evidencia_pentest.jpg
Continuidade de Negócios
Existe uma análise de impacto do negócio (BIA) formalizada?
Estamos em processo de validação de fluxogramas e redefinição de processos e uso de dados com todos os setores da empresa. Apoiada por empresa terceirizada especializada em LGPD
Existem testes de Disater Recovery periódicos na organização?
Está sendo desenvolvido um plano baseado em NIST
Existe teste de Restore periódico na organização?
Não
Qual o tempo de retenção dos backups?
Variável de acordo com a política, 7, 30 ou 1 ano
A rotina de backup inclui automação e testes periódicos de restauração?
Sim. Backups são executados de forma automatizada e os testes de restore ocorrem periodicamente conforme criticidade dos ativos.
- Politica de Seguranca da Informacao
Privacidade
A sua organização tem um processo para o descarte seguro de documentos em papel cópia contendo informações sigilosas?
Prezamos para que seja utilizado a menor quantidade possível de papeis para registro de dados de nossos clientes, priorizando arquivos digitais. Quando utilizados papeis físicos, o descarte é feito a partir de fragmentadora de papeis.
- http://lamina.multilaser.com.br/of003.pdf
A organizalçao possui um programa de governança focado na implementação da Lei Geral de Proteção de Dados? Ou, possui plano de ação para estruturação deste programa?
A empresa se encontra em compliance à Lei 13.709/18, sobretudo em relação ao Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD, além da constante atualização e evolução de seus níves de proteção à privacidade e dados pessoais tratados.
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mail
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Mobile
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Desk
- Programa de Governança e Compliance de Privacidade e Proteção de Dados - Simplifica Tv
- Política de Segurança da Informação - SimplificaCI
A organização possui uma Política Interna de Privacidade que delimita os deveres básicos de seus colaboradores para tratamento de dados pessoais?
Políticas organizacionais aplicadas.
- Política de Segurança da Informação
A organização possui uma plano de ação formalizado para casos de ocorrência de incidentes envolvendo dados pessoais?
Está sendo desenvolvido um plano baseado em NIST
A organização já sofreu algum tipo de incidente que envolveu dados pessoais (Quaisquer situações acidentais de destruição, perda, alteração ou quebra de confidencialidade da informação?
Não
Possui algum tipo de cobertura de seguro para incidentes que envolvam dados pessoais?
N/A
A organização já realizou a nomeação de um Encarregado pelo tratamento de dados (obrigação do artigo 41 da LGPD)?
Responsável referenciado em nossos documentos DPIA
- Política de Segurança da Informação
DPIA por Produto
Todos os produtos SimplificaCI tratam as mesmas categorias de dados pessoais?
Não. Os produtos possuem núcleo comum de conformidade, mas com particularidades de dados e uso por canal. O Desk inclui dados de rede, o Mail foca em e-mail corporativo e o TV consome dados da plataforma para exibição de conteúdo.
- DPIA Simplifica Mobile v3.1 - DPIA Simplifica Desk v3.1 - DPIA Simplifica Mail v3.1
Qual produto inclui dados de usuário de rede (nome de usuário, domínio e IP) além dos dados do empregado?
O Simplifica Desk, a depender da configuração da rede da controladora, pode tratar dados de usuário da rede como nome de usuário, domínio e IP local/domínio.
Qual produto prevê autenticação em duas etapas via código de acesso enviado por SMS?
O Simplifica Mobile prevê autenticação em duas etapas com confirmação por SMS para reforço de segurança de acesso.
Qual produto é focado em envios de e-mails internos segmentados com métricas de leitura, abertura e cliques?
O Simplifica Mail é orientado a comunicação por e-mail interno segmentado, com recursos de edição, automação e indicadores de engajamento de leitura.
Qual produto apenas consome dados da plataforma para exibição de conteúdo?
O Simplifica TV, conforme mapeamento do DPIA, atua com consumo de dados da plataforma para exibição de conteúdo e comunicação visual.
Quais produtos tratam dados do empregado como nome, foto, CPF/e-mail corporativo/matrícula e celular?
Os produtos Simplifica Mobile e Simplifica Desk compartilham essa categoria principal de dados do empregado para operação das funcionalidades de comunicação interna.
- DPIA Simplifica Mobile v3.1 - DPIA Simplifica Desk v3.1
No Simplifica Mail, quais perfis de titulares têm dados tratados?
No Mail há tratamento de dados cadastrais da empresa cliente, dados dos usuários gestores (remetentes) e dados dos empregados destinatários.
Há diferença de canal/plataforma de uso entre os produtos?
Sim. Mobile opera em Android/iOS, Desk em computadores Windows com instalação, Mail em fluxo de e-mail corporativo e TV em exibição de conteúdo para telas.
- DPIA Simplifica Mobile v3.1 - DPIA Simplifica Desk v3.1 - DPIA Simplifica TV v3.1
A base legal e o tempo de retenção apresentados no DPIA mantêm diretriz comum entre os produtos?
Sim. Os documentos mantêm diretriz comum de execução contratual como base legal e retenção definida por prazo após rescisão contratual, com variações operacionais por contexto do produto.
- DPIA Simplifica Mobile v3.1 - DPIA Simplifica Desk v3.1 - DPIA Simplifica Mail v3.1
Os fluxos macro e o detalhamento de serviços são documentados individualmente por produto?
Sim. Cada DPIA apresenta diagramas e fluxos específicos do respectivo produto para dar rastreabilidade ao ciclo de vida dos dados e processos associados.
- DPIA Simplifica Mobile v3.1 - DPIA Simplifica Desk v3.1 - DPIA Simplifica Mail v3.1