Governança de Privacidade e Proteção de Dados


  1. Você possui uma área responsável pelo tema de privacidade e proteção de dados ou algum projeto em andamento para adequação a LGPD?

    "Estamos trabalhando, em fase inicial, para implementar as políticas de LGPD na B2"                   

  2. Existe uma política de Proteção de Dados aprovada e disseminada?

    "Sim e estamos trabalhando para aprimorar e adequar totalmente aos requisitos do LGPD."  

  3. Já existe um DPO (Data Protection Officer) nomeado?

    De momento não. Este é um dos pontos que estamos viabilizando.        

  4. A sua empresa possui processos ou ferramenta para catalogar como e onde todos dados pessoais são utilizados, para qual finalidade e quais os responsáveis pela qualidade dos dados?

    Sim, temos diagramas e ferramentas que nos auxiliam e evidenciam os responsáveis pelos dados.

  5. Você possui classificação do nível do risco das informações que armazena? (Digital e papel)

    Estamos implementando

  6. Você possui políticas e procedimentos de manipulação de dados? (Incluindo a mitigação de riscos envolvendo dados pessoais, responsabilidades e tratamento dos dados)

    Sim

  7. Você possui um processo de gestão de incidentes de segurança da informação? (Interno e o que afeta clientes)

    Sim

  8. Você forneceu treinamento e conscientização sobre proteção de dados para todos os funcionários? Caso não, existe um plano?

    Existe um plano para treinar todos os funcionários.       

  9. Você possui terceiros alocados em sua empresa? Se sim, você forneceu treinamento e conscientização sobre proteção de dados? Caso não, existe um plano?

    Não

  10. A organização possui condições de gerar relatórios para atendimento do titular de dados?

    Sim

  11. A empresa possui um procedimento de avaliação de fornecedores que avalia a aderência aos requisitos de privacidade e proteção de dados, compliance à LGPD? ? (Questionário, pentest, auditorias)

    "Estamos trabalhando em um questionário para enviar aos nossos fornecedores."

  12. A empresa já definiu os acordos entre controlador e operador?

    Não

  13. A empresa possui procedimento que contemple a eliminação de dados quando solicitado pelo cliente?

    Sim


Segurança da informação


  • Possui um programa de segurança da informação com política aprovada e disseminada, procedimentos de segurança documentados e que inclui a conscientização de usuários?  

    Possuímos um programa de segurança da informação que está sendo aperfeiçoado para LGPD                                  

  • Você possui certificações de segurança da informação ou relatórios que comprovem as medidas de segurança adotadas em sua organização?          

    TIER III                                                                                

  • A empresa utiliza ferramentas e processos para fazer o controle de acesso de seus usuários?

    Perfis de acesso e procedimentos de troca de senha                                                                                  

  • Possui controles para monitorar o acesso as informações confidenciais? (Ex:controle de acessos em diferentes níveis, usuário, grupos de usuários, módulos, transações, autorizações e aprovações com registro dos logs)

    Sim, grupos de usuário e registro de logs                                                                                          

  • Vocês realizam varreduras de vulnerabilidades e tem um programa para monitorar e aplicar regularmente patches de segurança à sua infraestrutura e aplicativos (usando ferramentas padrão da indústria acreditadas)?    

    Seguimos recomendações dos fornecedores de infraestrutura                                                                                     

  • Nos últimos 6 meses foi aplicado testes de Intrusão e Vulnerabilidade (Ex.: Pentest, Ethical Hacking)?                

    Não                                                                                     

  • Suporta mascaramento a dados sensíveis? Como por exemplo, senhas, números de contas bancárias, números de documentos de identificação pessoal e corporativa, etc?

            Sim, senhas e números de identificação pessoal são encriptados                                                     

  • Possui medidas de segurança para prevenir a ocorrência de ataques e perdas de informações? (Monitoramento dos eventos e incidentes de segurança da informação)

    WAF                                                                                    

  • Utiliza mecanismos de criptografia para troca segura de informações?

    Sim, SSL.                                                                                            

  • Possui uma política/procedimentos de backup e retenção de dados?

    Sim.                                                                                     

  • Possui um processo de gestão de incidentes de segurança da informação que inclui a comunicação/envio de evidências para cliente afetados?

    Sim, um relatório descrevendo e categorizando o incidente é enviado para os clientes afetados.           


Gestão de Continuidade de Negócios

  1. A empresa possui Sistema de Gestão de Continuidade de Negócios formalizado e aprovado pela Alta Administração?
    Não formalizado
  2. A empresa possui um processo de gestão de crises que inclui oi acionamento e comunicação de clientes afetados?
    Sim
  3. Possui planos de continuidade de negócios para seus processos críticos?
    Sim, os gatilhos são ativados pela alta gestão.
  4. Possui um plano de recuperação de desastres para seu ambiente de tecnologia?
    Sim, conseguimos replicar os ambientes de estrutura em questão de horas