Política de Segurança da Informação

1. Premissa

A presente Política de Segurança da Informação estabelece os princípios, diretrizes e responsabilidades destinados à proteção dos ativos de informação da Prontu+, abrangendo dados, sistemas, processos e recursos tecnológicos sob sua gestão ou responsabilidade.

Esta política fundamenta-se na ABNT NBR ISO/IEC 27002:2022 e na Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), bem como em demais normas e regulamentações aplicáveis, visando assegurar a confidencialidade, integridade e disponibilidade das informações, inclusive aquelas de natureza pessoal, adotando medidas técnicas, administrativas e organizacionais adequadas para prevenir, detectar e responder a incidentes de segurança.

2. Objetivo

Esta Política tem por objetivo estabelecer diretrizes, responsabilidades para a proteção de ativos e normas de Segurança da Informação que orientem estagiários, terceirizados, consultores, colaboradores e parceiros da Prontu+ na adoção de condutas alinhadas aos princípios de proteção da informação, em conformidade com os objetivos estratégicos da organização. Busca-se assegurar a implementação de controles e processos capazes de garantir os requisitos de confidencialidade, integridade e disponibilidade das informações, incluindo dados pessoais, em atendimento às exigências da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD). Visa ainda prevenir a ocorrência de incidentes que possam gerar impactos legais, financeiros, operacionais ou reputacionais à empresa, bem como mitigar riscos que comprometam a continuidade do negócio, a confiança de clientes e parceiros ou a imagem institucional da Prontu+ perante o mercado.

3. Abrangência

Esta Política se aplica a todos os colaboradores, parceiros, prestadores de serviço, fornecedores e demais terceiros que, de forma direta ou indireta, tenham acesso a ativos de informação da Prontu+, independentemente da forma de vínculo contratual ou organizacional.

Aplica-se a todas as informações, em qualquer formato (digital, físico ou verbal), abrangendo documentos eletrônicos, registros em papel, comunicações por e-mail, mensagens instantâneas, mídias removíveis, gravações, imagens e quaisquer outros meios que contenham dados corporativos.

Estão incluídos nesta abrangência todos os sistemas de informação, aplicações, bases de dados, redes, serviços em nuvem, equipamentos de tecnologia (computadores, notebooks, dispositivos móveis, impressoras, equipamentos de rede, IoT, entre outros) e demais elementos da infraestrutura tecnológica que suportem as operações da empresa.

4. Responsabilidades

Comitê Gestor de Compliance, Privacidade e Segurança da Informação (CPSI):

Fica constituído o Comitê Gestor de Compliance, Privacidade e Segurança da Informação (CPSI), com função consultiva e estratégica para tratar dos temas relacionados à segurança da informação, privacidade e conformidade. O Comitê será composto por representantes do C-Level, da área de Segurança da Informação, Tecnologia da Informação e Jurídico.

Responsabilidades do CPSI:

Função consultiva e estratégica para segurança da informação, privacidade e conformidade. Composto por representantes do C-Level, Segurança da Informação, Tecnologia da Informação e Jurídico.

Atribuições:

· revisar e aprovar políticas, assegurar recursos, promover cultura de segurança, deliberar sobre incidentes e riscos.

· Analisar, revisar e propor políticas, normas e diretrizes relacionadas à segurança da informação e à proteção de dados pessoais.

· Assegurar a disponibilidade dos recursos necessários para a gestão efetiva da segurança da informação.

· Garantir que as ações de segurança da informação estejam em conformidade com esta Política e demais normativos internos.

· Promover a cultura de segurança da informação e privacidade em toda a organização por meio de comunicação e ações educativas.

· Acompanhar e deliberar sobre incidentes relevantes e riscos identificados, propondo medidas corretivas e preventivas.

Segurança da Informação:

Responsável pela gestão operacional da segurança da informação, com as seguintes atribuições:

· Implementar e manter as políticas e procedimentos aprovados pelo CPSI.

· Apoiar o CPSI nas suas deliberações.

· Identificar ameaças e vulnerabilidades, propondo medidas para mitigar riscos.

· Gerenciar os incidentes de segurança, garantindo tratamento e resposta adequados.

· Realizar treinamentos e campanhas de conscientização para colaboradores e parceiros, em conjunto com a área de Recursos Humanos.

· Responsável pela gestão operacional da política, implementação de controles, identificação de ameaças, tratamento de incidentes, treinamentos e conscientização.

Tecnologia da Informação:

Responsável por garantir a segurança dos recursos tecnológicos e apoiar a gestão da segurança da informação:

· Assegurar o cumprimento desta Política e documentos complementares pelos colaboradores.

· Identificar, avaliar e mitigar riscos tecnológicos relacionados à segurança da informação.

· Manter e atualizar os documentos do Sistema de Gestão de Segurança da Informação (SGSI), submetendo-os ao CPSI.

· Administrar e monitorar os recursos de TIC, controlando acessos e garantindo a integridade, disponibilidade e confidencialidade dos sistemas.

· Avaliar requisitos de segurança na aquisição, desenvolvimento e manutenção de softwares.

· Planejar e executar ações de contingência e recuperação de sistemas.

· Auxiliar na capacitação dos colaboradores em segurança da informação, em parceria com Recursos Humanos.

· Responsável pela segurança dos recursos tecnológicos, controle de acessos, monitoramento de sistemas, backup, contingência e requisitos de segurança em software.

Gestores da Informação:

Responsáveis por gerir as informações sob sua área, com as seguintes atribuições:

· Gerenciar o ciclo de vida das informações, desde a criação até o descarte, conforme normas internas.

· Classificar e rotular as informações conforme critérios definidos na Política.

· Revisar periodicamente a classificação e o acesso às informações.

· Autorizar, revisar e solicitar concessão ou revogação de acessos a sistemas e informações.

· Gerir o ciclo de vida da informação sob sua área, classificar e rotular dados, revisar acessos e autorizações.

Usuários da Informação:

Todos os colaboradores e terceiros autorizados a utilizar ativos de informação têm a responsabilidade de:

· Ler, compreender e cumprir integralmente esta Política e demais normas relacionadas à segurança da informação.

· Reportar dúvidas ou incidentes à área de Segurança da Informação or ao CPSI.

· Comunicar qualquer evento que possa comprometer a segurança das informações ou dos recursos tecnológicos.

· Assinar o Termo de Ciência e Responsabilidade, comprometendo-se com o cumprimento das normas.

· Responder pelas consequências em caso de descumprimento das políticas internas.

· Cumprir integralmente esta Política, reportar incidentes, proteger credenciais, assinar Termo de Ciência e Responsabilidade.

Assessoria Jurídica:

Responsável por apoiar juridicamente os processos relacionados à segurança da informação:

· Participar e orientar os processos contratuais e legislativos que envolvam segurança da informação e proteção de dados.

· Validar cláusulas contratuais de segurança da informação e privacidade, orientar em questões legais e acompanhar incidentes relevantes.

Capacitação e Comunicação Interna:

A equipe de Segurança da Informação, em parceria com Recursos Humanos, é responsável por:

· Desenvolver e promover treinamentos regulares de segurança da informação e privacidade para todos os colaboradores e parceiros.

· Divulgar atualizações, normativos e comunicados relativos à segurança da informação e proteção de dados.

· Garantir a disponibilidade dos materiais e recursos educativos necessários para a formação continuada.

· Estimular a cultura de segurança e o comportamento responsável em toda a organização.

5. Definições e siglas

Ameaça: Potencial causa de incidente que pode comprometer a segurança das informações ou operações da Prontu+.

Ativo: Qualquer recurso, material ou intangível, que possua valor para a Prontu+, incluindo informações, sistemas, equipamentos e pessoas.

Ativo de Informação: Conjunto de informações, em qualquer formato (físico ou digital), produzidas, recebidas ou gerenciadas pela Prontu+, abrangendo dados estratégicos, operacionais, financeiros, legais e pessoais, essenciais para a continuidade e funcionamento do negócio.

Comitê Gestor de Compliance, Privacidade e Segurança da Informação (CPSI): Grupo multidisciplinar instituído pelo C-level da Prontu+, responsável pela governança, revisão, aprovação e monitoramento das políticas e normas relacionadas à segurança da informação e à conformidade legal, especialmente quanto à Lei Geral de Proteção de Dados (LGPD).

Confidencialidade: Garantia de que as informações sejam acessadas exclusivamente por pessoas autorizadas.

Disponibilidade: Garantia de que as informações estejam acessíveis e utilizáveis por usuários autorizados sempre que necessário.

Integridade: Garantia de que as informações sejam precisas, completas e estejam protegidas contra alterações indevidas.

Gestor da Informação: Colaborador responsável pela gestão, proteção e controle dos ativos de informação sob sua responsabilidade durante todo o ciclo de vida das informações.

Incidente de Segurança da Informação: Evento ou conjunto de eventos que comprometam ou tenham potencial para comprometer a confidencialidade, integridade ou disponibilidade das informações da Prontu+.

LGPD (Lei Geral de Proteção de Dados): Legislação que regulamenta a coleta, uso, armazenamento e compartilhamento de dados pessoais, garantindo direitos aos titulares e estabelecendo obrigações para as organizações.

Risco: Probabilidade de ocorrência de eventos que possam impactar negativamente a segurança das informações ou as operações da Prontu+.

Usuário da Informação: Qualquer colaborador ou terceiro autorizado a acessar e manipular os ativos de informação da Prontu+ no desempenho de suas funções.

Vulnerabilidade: Fragilidade ou falha em sistemas, processos ou controles que pode ser enfrentada e resultar em um incidente de segurança.

Registro de Operações de Tratamento (ROT): inventário atualizado de todas as operações que envolvam dados pessoais, contendo finalidade, base legal, categoria de dados, retenção, operadores e medidas de segurança aplicadas.

Plano de Resposta a Incidentes (PRIDP): documento interno com procedimentos e prazos para detecção, avaliação, comunicação e remediação de incidentes de segurança.

6. Diretrizes

O objetivo da gestão de Segurança da Informação da Prontu+ é assegurar uma abordagem sistemática, efetiva, contínua e proporcional ao porte e à complexidade da organização, visando proteger todos os ativos de informação sob sua guarda.
Essa proteção sustenta as operações críticas do negócio, reduz riscos identificados e previne impactos adversos, atendendo às obrigações legais, regulatórias e contratuais aplicáveis.

O C-level, com o apoio do Comitê Gestor de Compliance, Privacidade e Segurança da Informação (CPSI), mantém compromisso formal e permanente com a gestão da Segurança da Informação, garantindo que esta Política seja amplamente comunicada, compreendida e rigorosamente cumprida em todos os níveis organizacionais.

A Política será revisada, no mínimo, anualmente ou sempre que ocorrerem mudanças significativas nas operações, nos riscos, na legislação aplicável ou nas tecnologias utilizadas.

6.1. Princípios e diretrizes

Interpretação restritiva

Esta Política e seus documentos complementares devem ser interpretados de forma restritiva. Atividades ou práticas não previstas estão proibidas, salvo se previamente e formalmente autorizadas pelo C-level ou pelo CPSI. Autorizações verbais não têm validade.

Princípios de Segurança da Informação

A Prontu+ deve desenvolver, implementar e manter políticas, normas e procedimentos que assegurem:

· Confidencialidade: garantia de que a informação só será acessada por pessoas autorizadas;

· Integridade: proteção contra alteração, destruição ou acesso não autorizado;

· Disponibilidade: garantia de acesso e uso da informação quando necessário;

· Proteção contra ameaças internas e externas: por meio de controles técnicos, administrativos e físicos adequados.

Propriedade das Informações

Toda informação gerada, recebida, acessada, processada, transmitida ou armazenada por colaboradores, prestadores de serviço ou terceiros no exercício de suas funções é de propriedade ou responsabilidade da Prontu+, devendo ser utilizada exclusivamente para fins profissionais. O uso indevido poderá ensejar responsabilização administrativa, civil e/ou criminal.

Uso Ético e Responsável

O uso dos ativos físicos, digitais e informacionais da Prontu+ deve observar as normas internas, a legislação vigente e os princípios éticos. É vedado o uso para fins pessoais, ilícitos ou contrários ao interesse da organização, salvo se formalmente autorizado.

Publicidade e Conscientização

As normas e políticas de segurança serão amplamente divulgadas e objeto de treinamentos periódicos obrigatórios, devidamente registrados, para todos os colaboradores e terceiros relevantes.

Classificação e Proteção da Informação

Todas as informações serão classificadas conforme seu nível de criticidade e sensibilidade, aplicando-se controles compatíveis durante todo o seu ciclo de vida, conforme Norma de Classificação da Informação.

Comunicação e Tratamento de Incidentes

Todo incidente de segurança deve ser comunicado imediatamente por meio dos canais oficiais abaixo:

Área de Tecnologia da Informação (TI): para falhas técnicas, indisponibilidade de sistemas, ataques cibernéticos, perda ou furto de equipamentos.

Encarregado de Proteção de Dados (DPO): para qualquer ocorrência que envolva dados pessoais ou possa configurar violação à LGPD.

Canal de Ética/Denúncias: para situações que haja suspeita de uso indevido, má conduta ou descumprimento intencional das normas internas. https://prontumais.atlassian.net/servicedesk/customer/portal/102

Gestor Imediato: Caso o colaborador não saiba qual canal utilizar, deve encaminhar a ocorrência ao gestor competente.

O evento será registrado, analisado e tratado conforme os procedimentos internos. Casos relevantes serão submetidos ao CPSI, que poderá convocar reunião extraordinária. Quando exigido por lei ou contrato, as autoridades competentes e/ou as partes impactadas serão notificadas.

Sigilo e Confidencialidade

A divulgação de informações confidenciais sem autorização formal é estritamente proibida. A obrigação de sigilo permanece vigente mesmo após o encerramento do vínculo contratual ou de prestação de serviços.

Controle de Acesso

O acesso a ativos e ambientes será concedido com base nos princípios de menor privilégio e necessidade de conhecimento. É vedado o compartilhamento de credenciais (logins, senhas, tokens, etc.), sendo cada credencial pessoal, intransferível e de uso exclusivo do titular. O descumprimento constitui falta grave, passível de sanções disciplinares e responsabilização.

Senhas

· Senhas fortes são obrigatórias e devem atender aos seguintes requisitos mínimos:

· Contém no mínimo 12 caracteres.

· Combinação de letras maiúsculas, minúsculas, números e caracteres especiais.

· Não utilizar informações pessoais óbvias (nome, sobrenome, CPF, datas de aniversário, placa de veículo, nome de familiares ou pets, etc.).

· Não reutilizar senhas previamente utilizadas no ambiente corporativo.

· Sempre que possível, deve-se habilitar autenticação multifator (MFA/2FA) para sistemas críticos e de acesso remoto.

· Troca periódica de senha:

· Recomenda-se a troca a cada 90 dias para acessos administrativos e privilegiados, e a cada 180 dias para contas de usuários comuns.

· Senhas comprometidas (detectadas em vazamentos, suspeita de uso indevido ou incidentes de segurança) devem ser trocadas imediatamente.

· Sempre que houver desligamento de colaborador ou término de contrato de terceiros, as credenciais devem ser revogadas sem atraso.

Monitoramento e Auditoria

· Todos os acessos a sistemas, aplicações, redes e dados corporativos estarão sujeitos a registro em logs, os quais serão armazenados em conformidade com normas legais e regulatórias aplicáveis.

· Estes registros serão monitorados e auditados regularmente, com especial atenção para:

· Tentativas de acesso não autorizado.

· Escalonamento de privilégios.

· Uso de contas administrativas fora do horário comercial.

Acessos remotos ou de localizações incomuns.

· A empresa poderá utilizar ferramentas de SIEM, EDR e monitoramento contínuo para detectar e responder a anomalias de acesso.

· Qualquer indício de acesso não autorizado ou comportamento suspeito será tratado como incidente de segurança da informação, sujeito a investigação imediata.

Ambientes Tecnológicos e Físicos Seguros

Serão adotadas medidas para assegurar a proteção dos ambientes, incluindo:

· controles de acesso físico e lógico;

· proteção contra softwares maliciosos;

· cópias de segurança (backups): Deve ser adotado uma rotina de cópias de segurança que incluam os backups imutáveis para os bancos de dados assim como para as aplicações críticas. A bases de homologação, desenvolvimento e treinamento devem utilizar exclusivamente dados fictícios, sendo expressamente vedada a utilização de dados reais, sempre observando os princípios de privacidade e proteção de dados.

· inventário e incidentes atualizados de ativos de informação:

1. Inventário atualizado: Deve ser mantido um inventário atualizado de todos os ativos de informação, incluindo equipamentos, softwares e demais recursos tecnológicos, devidamente classificados quanto a criticidade e sensibilidade dos dados armazenados.

2. Obrigação de comunicação: Em caso de perda, extravio ou roubo de ativos, o colaborador deverá comunicar o fato:

· Ativos que contenham dados sensíveis ou informações confidenciais: comunicação imediata, em até 2 (duas) horas após a constatação;

· Demais ativos: comunicação em até 24 (vinte e quatro) horas após a constatação.

3. Fluxo de Comunicação: A comunicação deve ser realizada ao gestor imediato e, simultaneamente, à área de Tecnologia da Informação/Security Office, preferencialmente por meio de sistema oficial de registro de incidentes

4. Responsabilidade da Área Técnica: Compete à área de Tecnologia da informação adotar medidas imediatas, tais como:

· Bloqueio remoto de acessos e credenciais vinculadas ao ativo;

· Rastreamento ou localização, quando tecnicamente viável;

· Análise de impacto e definição de contramedidas;

· Avaliação da necessidade de comunicação às autoridades competentes ou à Autoridade Nacional de Proteção de Dados (ANPD), quando aplicável.

5. Responsabilidade do Colaborador: O colaborador deverá fornecer informações precisas sobre o incidente (data, hora, local e circunstâncias) e cooperar integralmente com a investigação e eventuais medidas corretivas.

· análise periódica de riscos: A análise de riscos deve ser realizada de forma sistemática e documentada, com periodicidade mínima anual, ou sempre que houver mudanças relevantes nos processos, sistemas ou infraestrutura. Essa análise deve:

· identificar ativos críticos de informação;

· avaliar ameaças e vulnerabilidades associadas;

· classificar os riscos quanto à probabilidade e impacto;

· definir planos de tratamento e mitigação;

· registrar e acompanhar as ações corretivas.

· O resultado da análise deve ser formalizado em relatório, submetido à área responsável pela Segurança da Informação e acompanhando por revisões periódicas para garantir a eficácia das medidas adotadas.

Monitoramento contínuo

O monitoramento contínuo deve abranger controles técnicos e administrativos que permitam identificar, prevenir e responder a incidentes de segurança. Entre os mecanismos recomendados estão:

· Acompanhamento em tempo real de acesso a sistemas e redes;

· Monitoramento de tentativas de acesso não autorizado;

· Análise de logs de sistemas, aplicações e dispositivos de segurança (firewalls, antivírus, IDS/IPS)

· Verificação de atualizações e correções de segurança pendentes;

· Alertas automáticos em caso de anomalias ou padrões de risco.

Esse processo deve ser documentado e revisado periodicamente e alinhado com a gestão de riscos da Prontu+.

· Todos os sistemas devem ser configurados de forma segura, com aplicações de patches e atualizações de segurança em tempo hábil.

· Firewalls, sistemas de detecção de intrusão (ids) e prevenção de intrusão (IPS) serão utilizados para proteger a rede

· Segurança dos dispositivos móveis e do trabalho remoto será gerenciada de forma eficaz.

Conscientização e Treinamentos

· Programas de treinamento em segurança da informação serão obrigatórios, anualmente, para todos os colaboradores, prestadores, assessores e terceiros em geral

· Testes de phishing e outras simulações serão realizados para avaliar e reforçar a conscientização.

· (PEP) Teste de Invasão (Pentration tests) realização de testes de invasão e varreduras de vulnerabilidades.

Ambientes Tecnológicos e Físicos Seguros

A Prontu+ adota medidas de segurança para proteção de seus ambientes tecnológicos e físicos, garantindo a confidencialidade, integridade, disponibilidade e resiliência de seus ativos e informações. Entre as práticas estabelecidas, destacam-se:

· Controles de acesso físico e lógico

Somente pessoas autorizadas poderão acessar ambientes físicos restritos (salas de servidores, datacenters, CPDs) e sistemas corporativos, seguindo o princípio do menor privilégio e uso de credenciais pessoais.

· Proteção contra softwares maliciosos

Será obrigatória a utilização de soluções de antivírus, antimalware, EDR e filtros de e-mail, com atualizações automáticas e monitoramento contínuo.

· Cópias de segurança (backups)

ü A empresa manterá backups imutáveis de bases de dados (via ZDL) e de aplicações (via Veeam ou Commvault) para garantir que cópias não possam ser alteradas ou excluídas em caso de incidente de segurança.

ü Bases de HML, DEV, QA e treinamento deverão utilizar dados fictícios e anonimizados, proibindo o uso de dados sensíveis reais.

ü Backups serão testados periodicamente para validação de integridade e capacidade de restauração.

· Inventário atualizado de ativos

ü Será mantido inventário online de todos os ativos de TI, integrado a ferramentas capazes de sincronizar automaticamente com os dispositivos.

ü Em caso de perda, roubo ou avaria de equipamentos, o colaborador deverá comunicar imediatamente ao setor de TI e assinar termo de ciência e responsabilidade sobre as regras aplicáveis.

ü Equipamentos comprometidos serão bloqueados remotamente sempre que tecnicamente possível.

· Análise periódica de riscos

Serão realizadas avaliações regulares para identificar, classificar e mitigar riscos de segurança em processos, sistemas e infraestrutura.

· Monitoramento contínuo

ü Os servidores de aplicação e banco de dados serão monitorados ativamente em tempo real, incluindo consumo de recursos, disponibilidade e integridade dos serviços.

ü Logs de rede, firewall e sistemas críticos serão coletados e analisados por ferramentas de monitoramento e correlação de eventos (SIEM).

ü Alertas automáticos serão disparados em caso de comportamento anômalo ou falhas críticas.

· Proteção de documentos físicos

Papéis contendo dados sensíveis de funcionários, familiares, clientes ou terceiros não poderão ser armazenados em mesas, gavetas ou armários desprotegidos. O armazenamento deve ser feito em armários trancados e em locais de acesso restrito.

Segurança de Sistemas e Redes

ü Todos os sistemas deverão ser configurados de forma segura, com aplicação tempestiva de patches e atualizações de segurança.

ü Firewalls, IDS/IPS e demais camadas de proteção deverão ser implementados para prevenir acessos não autorizados.

ü A segurança de dispositivos móveis e do trabalho remoto será garantida por meio de VPNs seguras, criptografia e autenticação multifator.

Conscientização e Treinamentos

· Programas de treinamento em Segurança da Informação serão obrigatórios, no mínimo uma vez ao ano, para todos os colaboradores, prestadores e terceiros.

ü Serão realizados testes de phishing e simulações para reforçar a conscientização e mensurar o grau de maturidade dos usuários.

ü Serão conduzidos testes de invasão (Penetration Tests – PENTEST) e varreduras periódicas de vulnerabilidades para avaliação da resiliência dos sistemas contra ameaças reais.

· Bloqueio Automático de Notebooks e Equipamentos Portáteis

Nos termos dos artigos 2° e 3° da CLT, compete ao empregador dirigir, fiscalizar e disciplinar a utilização dos equipamentos fornecidos, não configurando alteração contratual lesiva (art. 468, CLT) a adoção de medidas de segurança tecnológica, inclusive o bloqueio automático de notebooks. Tal prática visa proteger o patrimônio da empresa, assegurar a confidencialidade das informações e atender ao dever de segurança previsto nos artigos 46 e 47 da LGPD.

Todos os equipamentos fornecidos pela Prontu+ são de propriedade corporativa e seu uso para fins pessoais é vedado, salvo autorização expressa e formal do gestor responsável.

O notebook corporativo será bloqueado automaticamente fora do horário de expediente já definido, sendo a configuração administrada pela área de Tecnologia da Informação (TI). O bloqueio automático não impedirá a utilização dos sistemas em situações de plantão, sobreaviso ou urgência, desde que previamente registradas e autorizadas pelo gestor imediato.

Exceções deverão ser solicitadas por escrito ao gestor responsável, com a devida justificativa e prazo de utilização, cabendo à área de TI realizar o desbloqueio temporário quando autorizado.

O bloqueio automático tem como finalidades:

ü prevenir acessos não autorizados a sistemas corporativos;

ü evitar vazamento, perda ou uso indevido de informações confidenciais;

ü mitigar o risco de instalação de software não autorizados;

ü reduzir incidentes de segurança que possam gerar responsabilidade civil, trabalhista ou administrativa para a empresa;

ü auxiliar no cumprimento da jornada contratual, evitando riscos decorrentes de horas extras não autorizadas.

Esta diretriz será comunicada formalmente a todos os colaboradores antes de sua implementação e registrada no Termo de Entrega de Equipamentos e no Contrato de Trabalho.

O descumprimento das regras estabelecidas sujeitará o infrator às penalidades previstas nesta Política (item 7 – Sansões e Penalidades), sem prejuízo das responsabilidades legais cabíveis.

Proteção de Dados Pessoais

O tratamento de dados pessoais observará rigorosamente a Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normas aplicáveis, adotando medidas técnicas e administrativas adequadas, como criptografia, controle de acesso, anonimização e descarte seguro.

Gestão de Riscos e Conformidade

Os riscos relacionados à Segurança da Informação serão avaliados e tratados de forma contínua. O CPSI poderá recomendar revisões, investimentos ou ajustes operacionais para assegurar a conformidade com a legislação e com esta Política.

Exceções
Qualquer exceção a esta Política deve ser formalmente documentada, justificada e autorizada pelo C-level ou, quando aplicável, pelo CPSI. Exceções não registradas serão consideradas inexistentes e poderão gerar responsabilização.

7. Sanções e penalidades

O descumprimento desta política, de forma intencional ou por negligência, inclusive tentativas não consumadas, sujeitará o infrator às penalidades abaixo, de forma gradativa ou imediata, conforme a gravidade da infração:

· Advertência verbal ou escrita

· Suspensão disciplinar;

· Desligamento por justa causa, conforme previsto no artigo 482 da Consolidação das Leis do Trabalho;

· Responsabilização civil e criminal, quando configurada conduta ilícita;

· Rescisão contratual com terceiros, incluindo multas contratuais, quando aplicável;

· Indenização por prejuízos causados à Prontu+, seus clientes ou terceiros.

A aplicação das penalidades será de competência do C-level, assessorado pela Gerência de Tecnologia da Informação, pelo CPSI ou por responsável formalmente designado pela Segurança da Informação, considerando:

· Natureza da infração;

· Dano real ou potencial à organização;

· Grau de responsabilidade do agente;

· Recorrência;

· Normas internas e legislação aplicável.

8. Casos omissos e deliberações

Os casos omissos ou situações que exijam análise específica sobre segurança da informação, proteção de dados ou conformidade deverão ser submetidos ao Comitê Gestor de Compliance, Privacidade e Segurança da Informação (CPSI). Na ausência de deliberação do Comitê, caberá ao C-level decidir, podendo delegar temporariamente essa função a responsável técnico da área de TI, jurídico ou profissional designado.

A Prontu+ reconhece que as diretrizes aqui previstas não são exaustivas, especialmente diante da constante evolução tecnológica e das ameaças cibernéticas. Dessa forma, é responsabilidade de todos os colaboradores e terceiros atuarem com diligência e zelo, adotando sempre que possíveis boas práticas adicionais que garantam a proteção das informações e a integridade da organização.

9. Referências

ABNT NBR ISO/IEC 27002:2022 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Controles de Segurança da Informação.

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Resolução CD/ANPD nº 15/2024 – Regulamento de Comunicação de Incidente de Segurança (RCIS).

Vergeleken met andere platforms onderscheidt https://lucky-trunks.com/ zich door een doordachte combinatie van klassiekers en nieuwigheden. Crash-games en snelle mini-spellen ronden het portfolio af met moderne spelformats. De mobiele kassa is even overzichtelijk als de desktopversie. Tools voor verantwoord spelen omvatten stortingslimieten, realitychecks en zelfuitsluiting. De klantenservice is 24/7 bereikbaar via live chat en antwoordt meestal binnen enkele minuten. Zoekfuncties vinden spellen op basis van titel, aanbieder of spelmechaniek. Speciale formats zoals Speed Roulette versnellen het spelverloop voor ongeduldige spelers. Bij grotere uitbetalingen is een aanvullende veiligheidscontrole standaard. Wie bereid is in het platform te investeren, ervaart een doordacht en onderhoudend spelaanbod.

10. Revisão e vigência

10.1. Esta Política será revisada anualmente, ou sempre que houver alterações relevantes nas diretrizes internas ou legislação aplicável.

11.2. A última versão foi realizada em 01 de setembro de 2025.