Termos e Definições
Visando o melhor entendimento de todos aqueles que devem tomar conhecimento da Política de Privacidade da Dinamik Rental, fica estabelecido aqui a definição para os seguintes termos:
Segurança da Informação
Correta aplicação de controles para proteção da confidencialidade, integridade e disponibilidade da informação em qualquer formato (físico ou digital) segundo sua relevância para o cumprimento dos objetivos de negócio e responsabilidades legais da organização. Os esforços de Segurança da Informação da Dinamik Rental são orientados pelas Normas Técnicas ABNT NBR ISO/IEC 27001:2013, ABNT NBR ISO/IEC 27002:2013 e pelo NIST Cybersecurity Framework; sem prejuízo de outros modelos, controles e melhores práticas que possam ser consultados e considerados.
Segurança Cibernética
Aplicação de medidas técnicas com objetivo de proteger a informação armazenada por meio digital em servidores, computadores, smartphones, sistemas, e-mails, bancos de dados etc. Estando estes armazenados localmente ou em nuvem.
Privacidade e Proteção de Dados Pessoais
Referidas neste documento de forma simplificada como “Privacidade”. Consiste no compromisso da organização com o direito humano fundamental à Privacidade do indivíduo, traduzido na aplicação de medidas técnicas e administrativas para proteção de dados pessoais e sensíveis conforme requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD). Os esforços de
Privacidade e Proteção de Dados da Dinamik Rental são orientados pela Norma Técnicas ABNT NBR ISO/IEC 27701:2019, além da própria LGPD; sem prejuízo de outros modelos, controles e melhores práticas que possam ser consultados e considerados.
Lei Geral de Proteção de Dados Pessoais (LGPD)
Lei nº 13.709/2018, é a legislação federal brasileira que estabelece regras para tratamento de dados de indivíduos por meios físicos ou digitais, aplicada a profissionais liberais, empresas, órgãos públicos e organizações não governamentais; com objetivo de assegurar que organizações adotem processos e medidas para preservar o Direito à Privacidade e proteger os dados pessoais e sensíveis durante todo seu ciclo de vida.
Dado
Parte sem significado da informação.
Informação
Dado colocado em um contexto, com significado. Também referenciada nesta Política como ativo de informação.
Proprietário da informação
Responsável pela classificação e divulgação da informação quantos aos requisitos estabelecidos nesta Política, requisitos legais e objetivos de negócio da organização.
Ativo
Qualquer coisa com valor para a organização. Exemplos de ativos tangíveis: pessoas e suas competências, equipamentos, softwares e informações. Exemplos de ativos intangíveis: reputação e imagem da organização.
Confidencialidade
Característica que preza que uma informação deve estar acessível apenas para aqueles aos quais seja necessário tal acesso para a execução de suas atividades de negócio.
Integridade
Característica que preza que informações devem ser mantidos íntegras, válidas, livres de adulteração e não corrompidos.
Disponibilidade
Característica que preza que as informações devem estar disponíveis para indivíduos e sistemas que delas precisam para cumprir com suas atividades e tarefas em nome dos objetivos de negócio da organização.
Autenticidade
Princípio que valida a autorização de usuários, dispositivos, serviços, conexões, para acessar, transmitir e receber determinadas informações. Os mecanismos básicos para a autenticação são logins e senhas, mas também podem ser utilizados recursos como a autenticação biométrica ou a autenticação por meio de tokens. A combinação de 2 ou mais fatores de autenticação, como por exemplo: senha e confirmação de um token no smartphone do usuário, é chamado de autenticação multifatorial (MFA). Autenticidade é o princípio adotado para a confirmação da identidade dos usuários antes que seja liberado o acesso a sistemas, e-mails e recursos computacionais, minimizando os riscos de acessos e utilizações não autorizadas.
Não Repúdio:
Princípio baseado no princípio jurídico da irretratabilidade. É o princípio que assegura que uma pessoa ou entidade não possa negar a autoria de seus atos, por exemplo: negar a utilização de uma informação fornecida, transações realizadas em um sistema de informação ou computador, acessos e transações realizadas na Internet etc. Na Gestão de Segurança da Informação, isso significa ser capaz de provar o que foi feito, por quem e quando foi feito, impossibilitando a negação das ações por parte de seus respectivos executores.
Vulnerabilidade
Ponto fraco de um ativo ou controle de segurança que possa ser explorado por uma ameaça e desta forma causar danos.
Ameaça
Causa potencial de um incidente indesejado, que possa resultar em danos a um ativo, sistema ou a uma organização.
Ameaças humanas intencionais
Extravio de informações, ataque hacker, roubo etc.
Ameaças humanas não intencionais
Pen drive infectado, usuário clica em um link malicioso por acidente, perda de um laptop ou smartphone etc.
Ameaças não humanas
Incêndio, inundação, falha no ar-condicionado, queda de energia etc.
Risco
Potencial que uma ameaça tem de explorar vulnerabilidades de um ativo ou grupo de ativos e, desta forma, causar danos à organização. Os riscos devem ser calculados segundo sua probabilidade (ocorrência) X consequência (impacto).
Controle
Medida administrativa, técnica ou física integrada aos processos da organização com objetivo de mitigar riscos. Tais como políticas, processos, sistemas de segurança, práticas etc.
Incidente
Evento indesejável e/ou inesperado que pode comprometer os objetivos de negócio explorando um risco à confidencialidade, integridade ou disponibilidade das informações.
Medidas físicas
Crachás para identificação colaboradores de visitantes, geradores e sistemas para alimentação ininterrupta de energia (UPS), extintores de incêndio, câmeras de segurança, controle de acesso, trituradores de papel etc.
Medidas técnicas
Controle de identidades, autenticação multifatorial (MFA), soluções antimalware, backup, criptografia, firewall, sistemas para detecção de intrusos, sistemas para recuperação de desastres, sistemas para prevenção contra extravio e perda de dados, atualização e correção de sistemas etc.
Medidas administrativas
Políticas de Segurança da Informação e Privacidade, inventário de ativos, programa de treinamento e capacitação de colaboradores, seguros de responsabilidade empresarial e contra ameaças cibernéticas, termos de confidencialidade etc.
Dado confidencial
Qualquer dado cuja revelação deva ser controlada por envolver conteúdo classificado pela organização como de acesso restrito, o qual deve estar acessível apenas a pessoas prévia e explicitamente autorizadas, que precisem conhecer tal dado para execução de suas atividades a favor da organização. Convém que o acesso a dados confidenciais da organização esteja protegido por Acordos de Confidencialidade e Não Divulgação, conforme cláusula 13.2.4 da Norma ABNT NBR ISO/IEC 27002:2013.
Dado pessoal
Qualquer informação relacionada a um indivíduo identificado ou identificável. Exemplo: nome, sobrenome, data de nascimento, CPF, RG, CNH, sexo, endereço, e-mail, telefone etc.
Dado pessoal sensível
Referido neste documento de forma simplificada como “dado sensível”, são Informações de caráter íntimo, muito pessoal e que podem levar à discriminação do indivíduo. Exemplo: dados sobre a saúde (prontuários, exames, laudos cirúrgicos etc.) genéticos, biométricos, referente a origem racial ou étnica, convicção religiosa ou política e referentes a vida sexual.
Dado pseudo-anonimizado
Dados que estão aparentemente anonimizados, mas podem identificar o titular caso alguma informação seja complementada. Exemplo: informações que combinadas possam levar a identificação do indivíduo.
Dado anonimizado
Qualquer dado relacionado a um indivíduo, mas que não possa identificá-lo. Exemplo: dados expostos genericamente em uma pesquisa.
Titular dos dados
Pessoa física natural, ou seja, o indivíduo possuidor dos dados.
Tratamento de dados
Toda e qualquer operação realizada com um dado pessoal, desde simplesmente acesso, até coleta, produção, recepção, classificação, utilização, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação, modificação, comunicação, transferência etc.
Agentes de tratamento
Pessoas físicas ou jurídicas, de direito público ou privado, que tratam dados pessoais ou sensíveis. Os agentes de tratamento se dividem em controladores e operadores e uma mesma organização pode ser controladora de determinados dados e operadora de outros.
Controlador
Aquele que toma decisões referente ao tratamento dos dados pessoais. Exemplo: a Dinamik Rental é controladora dos dados dos colaboradores da organização.
Operador
Aquele que trata dados pessoais por orientação do controlador. Exemplo: um sistema contratado pela Dinamik Rental para uma determinada finalidade.
Encarregado de Dados ou Data Protection Officer (DPO)
Profissional ou empresa designado para responder pelas tratativas de privacidade de dados de uma empresa, sendo responsável por disseminar a cultura de proteção de dados conscientizando os demais colaboradores e desenvolvendo um programa de governança em privacidade. É responsável também por atender solicitações dos titulares de dados e por interagir com a ANPD, inclusive comunicando incidentes.
Autoridade Nacional de Proteção de Dados (ANPD)
É um órgão federal brasileiro independente e autônomo, criado com o objetivo elaborar diretrizes nacionais para proteção de dados pessoais, bem como elaborar regulamentações e estudos complementares; fiscalizar o cumprimento da LGPD e punir eventuais infrações.