Política da segurança da informação e dados

Política de Segurança da Informação

POL.SI.01

Política do Sistema de Gestão do Pereira Gionédis Advogados

1. INTRODUÇÃO

O PEREIRA GIONÉDIS ADVOGADOS, Escritório comprometido com a observância dos princípios éticos, legais e profissionais que regem a atividade jurídica, reitera seu inabalável compromisso com a confidencialidade, proteção e segurança da informação e dados. Neste contexto, alinhado às disposições normativas vigentes no ordenamento jurídico brasileiro, o Escritório institui a presente Política de Segurança da Informação, com o escopo de estabelecer os parâmetros e diretrizes para o adequado tratamento de informações e dados sob sua responsabilidade.

2. OBJETIVO

A presente Política de Segurança da Informação visa estabelecer os princípios, fluxos, processos e procedimentos necessários à proteção das informações e dos dados, visando garantir a conformidade dos processos internos com as normas e legislações aplicáveis, em especial à Lei nº 13.709/2018 (LGPD), ao Marco Civil da Internet (Lei nº 12.965/2014), bem como, à ISO/IEC 27001.

Para tanto, dispõe de um Sistema de Gestão da Segurança da Informação que conduz o gerenciamento de riscos, define sistemas de proteção cibernética passiva e ativa, executa o tratamento e monitoramento contínuo de ameaças, além de realizar treinamentos periódicos de conscientização de integrantes sobre a importância da segurança da informação no contexto jurídico e cotidiano.

3. HISTÓRICO DE REVISÕES E APROVAÇÕES Revisão Data Elaborador Revisor Aprovador Descrição da Revisão 00 16.04.2026 Comitê ISO — Alta Direção Emissão Inicial do Documento 4. DIRETRIZES 4.1. Tecnologia da Segurança da Informação

O Escritório possui Área de Tecnologia da Informação estruturada para atuar na execução e manutenção contínua dos controles de ativos necessários à segurança da informação – POP.SI.02 – Controles de Ativos de Informação. A manutenção contínua e as atualizações periódicas são executadas para garantir que o Escritório esteja protegido contra ameaças, bem como para assegurar a compatibilidade dos sistemas com os padrões de segurança mais recentes.

Compete à Área de TI:

Assegurar a proteção da infraestrutura tecnológica do Escritório, compreendendo sistemas (softwares), aplicações, redes, equipamentos (hardwares) e ativos de informação físicos e lógicos, mediante controles técnicos e administrativos;
Realizar gestão contínua de riscos, oportunidades e mudanças, administração de sistemas e redes, manutenção preventiva e corretiva, atualizações periódicas, acompanhar testes de vulnerabilidade e testes de intrusão (Pen Test), promovendo a melhoria contínua da arquitetura de segurança;
Garantir a disponibilidade e a continuidade das operações por meio de rotinas documentadas de backup online e offline, testes de restauração, redundância de sistemas críticos e manutenção de inventário atualizado de ativos de informação;
Assegurar que o acesso aos ativos de informações seja restrito aos integrantes autorizados de acordo com níveis de acesso, conforme estabelecido no POP.SI.01 – Controles de Pessoas e Cultura;
Gerir incidentes de segurança;
Assegurar que os relógios dos sistemas de tratamento de informações utilizados pelo Escritório estão sincronizados com a fonte de tempo oficial, permitindo a correlação e a análise de eventos relacionados à segurança e a outros dados registrados, e apoiar investigações sobre incidentes de segurança da informação.

Segurança do Ambiente de Tecnologia da Informação

O PEREIRA GIONÉDIS ADVOGADOS adota medidas técnicas e administrativas para proteção do ambiente físico e lógico de TI, incluindo:

Manutenção de servidores e equipamentos críticos em áreas protegidas, com controle de acesso físico, monitoramento, mecanismos de prevenção e combate a incêndio e credenciais individualizadas;

Observância dos procedimentos de Backup e restauração, assegurando a recuperação íntegra das informações em caso de incidente;

Controle formal de entrada e saída de equipamentos;

Verificação periódica dos processos e procedimentos de segurança;

Gestão de capacidade de servidores físicos e virtuais, de equipamentos de rede e conectividade.

Assegurar que todas as configurações de rede e de dispositivos estejam otimizados conforme os requisitos do Sistema de Gestão da Segurança da Informação do Escritório;

Manter os sistemas e software de rede atualizados para proteger contra vulnerabilidades. 4.2. Arquitetura de Segurança e Integridade

A Arquitetura de Segurança e Integridade do PEREIRA GIONÉDIS ADVOGADOS é estruturada observando os princípios da confidencialidade, integridade, disponibilidade e rastreabilidade das informações. Sua concepção baseia-se em modelo de defesa em profundidade, com controles técnicos e administrativos integrados, segmentação de rede, restrições de acesso e monitoramento contínuo, de modo a reduzir a superfície de ataque e mitigar riscos decorrentes de ameaças internas ou externas.

A arquitetura é periodicamente revisada e atualizada, considerando a evolução das ameaças, vulnerabilidades identificadas e boas práticas do setor, estando igualmente sujeita a auditorias internas e externas destinadas a verificar sua conformidade com a Política de Segurança da Informação e a eficácia dos controles implementados.

A Área de TI mantem monitoramento contínuo da infraestrutura de tecnologia da informação visando assegurar a capacidade necessária dos recursos de tratamento de informações, garantindo a otimização dos recursos disponíveis aos integrantes para o exercício de suas atividades profissionais de forma adequada e sem interrupções.

A arquitetura de segurança e integridade é estruturada da seguinte forma:

A segmentação lógica da rede é adotada como medida estruturante de segurança, assegurando o isolamento de sistemas críticos e restringindo a movimentação lateral em caso de incidente.
A rede sem fio é organizada de forma segregada, compreendendo rede corporativa, destinada exclusivamente aos integrantes e com acesso aos recursos internos, e rede de visitantes, totalmente separada da infraestrutura corporativa e com acesso limitado à internet.
A disponibilização de acesso a visitantes é viabilizada mediante cadastro no sistema controle do Escritório, não sendo permitida, em nenhuma hipótese, a utilização da rede corporativa por terceiros.
As permissões concedidas são revisadas periodicamente, a fim de assegurar que apenas usuários devidamente autorizados mantenham acesso compatível com suas atribuições, preservando-se a integridade do ambiente tecnológico e a proteção dos ativos de informação.

4.3. Utilização dos Recursos de TI

Os recursos de Tecnologia da Informação fornecidos pelo PEREIRA GIONÉDIS ADVOGADOS destinam-se exclusivamente ao exercício das atividades profissionais. Seu uso é estritamente alinhado às metas e objetivos do Escritório, sendo vedadas quaisquer práticas que possam comprometer a segurança da informação, a estratégia organizacional ou a eficiência operacional.

Alcance: As regras de utilização dos recursos de TI definem diretrizes para o uso adequado de computadores, notebooks, dispositivos móveis, redes e softwares. Essas normas se aplicam a todos os integrantes e terceiros que utilizem os recursos tecnológicos do Escritório.
Violações: O uso indevido ou inadequado de recursos de TI fornecidos pelo Escritório e o acesso a sites inseguros ou inapropriados estão sujeitos às sanções previstas no Código de Ética, Conduta e Compliance e abertura de processo disciplinar previsto no POP.SI.05 – Incidentes de Segurança da Informação e Processo Disciplinar

Monitoramento e Auditoria: O uso dos recursos de TI é sujeito a monitoramento e auditoria.
Responsabilidade do Usuário: Cada integrante é responsável pelos recursos de TI que lhe forem disponibilizados para o desenvolvimento de suas atividades.
Segurança e Prevenção: Os integrantes devem cumprir as diretrizes da área de TI quanto à segurança e manutenção dos recursos de TI, abrangendo a atualização de senhas, entre outras ações preventivas.

4.4. BYOD (Bring Your Own Device)

Os integrantes do PEREIRA GIONÉDIS ADVOGADOS têm a possibilidade de utilizar seus dispositivos eletrônicos pessoais para fins profissionais, desde que em conformidade com os princípios de segurança da informação, confidencialidade, integridade, disponibilidade.

Consideram-se dispositivos endpoint, para fins deste instrumento, todos os equipamentos capazes de acessar, processar, armazenar ou transmitir informações do Escritório, incluindo, mas não se limitando a estações de trabalho, notebooks, smartphones e demais dispositivos móveis.

Com o objetivo de garantir a proteção das informações confidenciais e a segurança dos dados e informações tratados pelo Escritório, a utilização de notebooks próprios está condicionada à observação dos procedimentos e regras previstas no POP.SI.02 – Controles de Ativos de Informação.

4.5. Acesso, Logins e Senhas

Concessão, Revisão e Cancelamento de Acessos

Os acessos são atribuídos conforme a função e as necessidades operacionais do usuário, limitando-se ao mínimo necessário para o desempenho de suas atividades.

O acesso será imediatamente cancelado nas hipóteses de desligamento e cancelamento de contratos ou sempre que cessar a necessidade de acesso às informações e sistemas.

O acesso será alterado nas hipóteses de alteração de função, mudança de área ou sempre que cessar a necessidade de acesso às informações e sistemas.

A Área de TI poderá revisar periodicamente os perfis de acesso para assegurar sua adequação às funções exercidas.

Requisitos de Senhas

A senha constitui mecanismo pessoal, individual e intransferível de autenticação, destinado a proteger a identidade do usuário e impedir que terceiros se façam passar por ele. Cada integrante é inteiramente responsável pela criação, guarda e utilização de suas credenciais de acesso.

É proibido imprimir, anotar, registrar ou armazenar logins e senhas em meios físicos ou digitais não autorizados, especialmente próximos às estações de trabalho. Caso seja absolutamente necessário seu registro, este deverá ocorrer de forma não rotineira e em ambiente seguro, de acesso exclusivo do integrante.

Em caso de suspeita de comprometimento, vazamento ou uso indevido da senha, o usuário deverá proceder à alteração imediata e comunicar formalmente a Área de TI.

Autenticação Multifator

Sempre que aplicável, será exigida autenticação multifator (MFA) para acesso a sistemas estratégicos, plataformas externas e dados sensíveis, como camada adicional de proteção contra acessos não autorizados.

4.6. Gestão de Chaves e Certificados Digitais

O PEREIRA GIONÉDIS ADVOGADOS limita-se a gerir as chaves e certificados próprios e dos seus sócios, não realizando a gestão dos certificados dos seus integrantes.

Armazenamento: As chaves e certificados gerenciados estão armazenados em ambiente seguro (cofre de senhas) para evitar acesso não autorizado ou comprometimento.

Renovação e Revogação: A renovação e a revogação de chaves e certificados são estabelecidas de acordo com cada sis- tema.

4.7. Redes

As redes e os serviços de rede do Escritório são protegidos, gerenciados e controlados de forma a assegurar a confidencialidade, integridade, disponibilidade e rastreabilidade das informações trafegadas.

O acesso às redes corporativas é restrito, controlado e condicionado à autenticação adequada, sendo vedado qualquer uso indevido, não autorizado ou que possa comprometer a segurança dos ativos de informação.

A utilização da rede está sujeita a monitoramento, registro e análise, com fundamento na proteção dos ativos informacionais, prevenção de incidentes e atendimento às obrigações legais e regulatórias aplicáveis.

Estrutura e Segregação de Redes

O Escritório adota segregação lógica e física de redes, com o objetivo de isolar ambientes, usuários e serviços conforme sua finalidade e nível de risco.

As redes WiFi corporativas são organizadas de forma segregada, incluindo:

Rede “Interno”, destinada exclusivamente aos integrantes para atividades profissionais;

Rede “Visitante PGA”, destinada a terceiros autorizados, sem acesso à infraestrutura corporativa.

A comunicação entre segmentos de rede é controlada, permitindo apenas fluxos previamente autorizados, conforme critérios de segurança da informação.

Segurança das Redes e Serviços

As redes e serviços de rede são protegidos por mecanismos de segurança adequados, compatíveis com as boas práticas de mercado e com o nível de criticidade das informações tratadas.

São adotadas, conforme aplicável:

Medidas de proteção contra acessos não autorizados;

Mecanismos de detecção e prevenção de atividades maliciosas;

Soluções de proteção contra códigos maliciosos;

Controles de segurança em dispositivos e serviços de rede.

Monitoramento e Registro

A utilização das redes e serviços de rede é continuamente monitorada, com o objetivo de identificar comportamentos anômalos, tentativas de acesso não autorizado e potenciais incidentes de segurança.

Os registros (logs):

São gerados, protegidos e mantidos conforme normas internas;

São analisados periodicamente;

Asseguram rastreabilidade das ações realizadas;

Constituem evidência para fins de auditoria, investigação e melhoria contínua.

Gestão de Vulnerabilidades e Configurações

As redes e serviços de rede são submetidos a processos contínuos de avaliação e tratamento de vulnerabilidades, incluindo:

Realização periódica de varreduras e testes de segurança;

Aplicação tempestiva de atualizações e correções;

Revisão de configurações, evitando padrões inseguros;

Controle formal de mudanças, com registro e validação prévia.

Gestão e Inventário de Serviços de Rede

O Escritório mantem inventário atualizado dos serviços de rede em operação, incluindo suas configurações, dependências e localização na infraestrutura.

As alterações nos serviços são controladas, documentadas e avaliadas quanto aos impactos de segurança e continuidade.

4.8. Acesso à Internet **e Uso do E-mail Corporativo**

O acesso à rede, Internet e o uso do e-mail corporativo no PEREIRA GIONÉDIS ADVOGADOS são regulamentados para garantir a utilização segura, eficiente e responsável dos recursos tecnológicos, assegurando a proteção das informações institucionais e dos dados pessoais e sensíveis tratados pelo Escritório.

A utilização desses recursos deverá observar estritamente a legislação vigente, em especial a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet, as normas aplicáveis de segurança da informação, os contratos firmados pelo Escritório e as diretrizes internas estabelecidas nesta Política.

O monitoramento e a gestão desses recursos são conduzidos com base em critérios técnicos, operacionais e jurídicos, garantindo o cumprimento das normas aplicáveis e a preservação do sigilo profissional.

Finalidade e Limites: A rede interna, Internet e o e-mail corporativo devem ser utilizados exclusivamente para fins profissionais relacionados às atividades do Escritório. O uso pessoal, tolerado de forma excepcional, deve ser limitado e não poderá comprometer a produtividade, a segurança da informação ou a reputação institucional. É proibido o acesso a sites de conteúdo adulto, jogos de azar, redes sociais para fins pessoais ou páginas que representem riscos de segurança (phishing, malware, engenharia social, etc.);

Monitoramento do Tráfego: O tráfego de Internet, as mensagens de e-mail e as demais ferramentas corporativas poderão ser monitorados para fins de segurança da informação, prevenção a incidentes, bloqueio de phishing, vírus, malware, vazamento de dados, downloads ou uploads indevidos e acessos a conteúdos proibidos ou potencialmente suspeitos.

Segurança de Rede: São adotadas medidas técnicas compatíveis com as melhores práticas de segurança da informação, incluindo, quando aplicável, uso de VPN para conexões externas, mecanismos de detecção e resposta a incidentes, filtros de conteúdo e demais controles necessários à preservação da confidencialidade, integridade e disponibilidade das informações.

Educação e Conscientização: O Escritório promove a conscientização contínua dos integrantes quanto aos riscos inerentes ao uso da Internet e do e-mail e às práticas seguras de navegação, garantindo o alinhamento com as diretrizes estabelecidas por esta política de segurança da informação.

Uso Responsável: Todos os integrantes deverão utilizar os recursos tecnológicos de forma diligente e responsável, evitando sobrecarga da rede, exposição a riscos desnecessários e qualquer conduta que possa comprometer os sistemas, dados ou operações do Escritório.

Vedação à Divulgação Indevida de Dados: É expressamente vedada a divulgação ou o compartilhamento, deliberado ou inadvertido, de informações institucionais ou dados pessoais tratados pelo Escritório em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia que utilize a Internet como meio de transmissão, sem autorização formal e fundamento jurídico adequado. O descumprimento poderá ensejar a aplicação de penalidades internas, sem prejuízo das responsabilidades previstas na legislação, nos contratos e nos termos de confidencialidade firmados.

Domínio Corporativo: O endereço eletrônico com domínio @pereiragionedis.com.br é destinado para fins profissionais. O ambiente poderá ser submetido a filtros automáticos e monitoramento técnico com o objetivo de bloquear spams, vírus, phishing e outros conteúdos maliciosos ou incompatíveis com esta Política de Segurança da Informação e Proteção de Dados.

Procedimento em Caso de Suspeita de AmeaçasCibernéticas: Havendo suspeita quanto à legitimidade de qualquer mensagem eletrônica, o integrante não deverá abrir anexos, clicar em links ou responder ao e-mail, devendo comunicar imediatamente à Área de TI para validação e adoção das providências cabíveis.

4.9. Trabalho Remoto

O PEREIRA GIONÉDIS ADVOGADOS viabiliza o trabalho remoto assegurando a continuidade das operações e garantindo a confidencialidade, integridade e disponibilidade das informações e dos dados. Para tanto, são adotadas medidas de segurança, alinhadas às melhores práticas de tecnologia da segurança da informação e às normas de proteção de dados.

Regras Gerais de Segurança

Os integrantes autorizados a trabalhar remotamente deverão observar as seguintes diretrizes:

Autenticação Forte: O acesso à rede por meio de login e senha forte para restringir o acesso a usuários

autorizados.

Uso Obrigatório de VPNs: O acesso aos sistemas do Escritório é realizado exclusivamente por meio de Rede Privada Virtual (VPN), utilizando protocolos de criptografia e por meio de senha forte para proteger os dados.

Monitoramento e Auditoria: Todos os acessos remotos via VPNsão monitoradas continuamente para a

detecção de acessos indevidos ou atividades suspeitas, e auditadas quando identificado atividade suspeita. Registros de acesso (logs) serão mantidos e analisados periodicamente para identificar potenciais incidentes de segurança e assegurar o cumprimento das políticas internas.

Atualização e Manutenção de Segurança: O uso de softwares de proteção (antivírus, firewalls, entre outros) é obrigatório e os dispositivos utilizados no trabalho remoto devem ser mantidos atualizados para evitar vulnerabilidades.

Restrição de Acesso Baseada em Localização: Sempre que tecnicamente viável, o acesso à rede via VPN será

restrito a locais confiáveis, reduzindo a exposição a acessos não autorizados. Tais restrições serão definidas conforme as necessidades operacionais do Escritório.

Segurança Durante o Trabalho Remoto

Os integrantes autorizados a atuar em regime de trabalho remoto deverão assegurar que o ambiente físico utilizado para o desempenho de suas atividades seja seguro, organizado e livre de exposição indevida de informações confidenciais, adotando medidas para prevenir acessos não autorizados por terceiros, inclusive familiares ou visitantes.

Durante o trabalho remoto, deverão ser integralmente observadas todas as políticas internas aplicáveis ao ambiente físico do PEREIRA GIONÉDIS ADVOGADOS, especialmente aquelas relativas à proteção de dados pessoais e sensíveis,

uso seguro da rede, da internet e do correio eletrônico, proteção de dispositivos, política de mesa limpa e bloqueio de tela sempre que houver afastamento do equipamento.

O uso de dispositivos pessoais (BYOD), quando autorizado, deverá observar as diretrizes institucionais específicas (Item 4.4. BYOD e POP.SI.02 – Controles de Ativos de Informação), assegurando que tais dispositivos estejam protegidos por mecanismos adequados de segurança, incluindo controle de acesso, antivírus atualizado e demais salvaguardas técnicas exigidas pela Área de TI.

Os integrantes com permissão para trabalho remoto deverão participar dos treinamentos periódicos de segurança da informação promovidos pelo Escritório, incluindo capacitação para identificação de malwares, tentativas de phishing, engenharia social e outras ameaças cibernéticas.

Qualquer incidente, suspeita de violação de segurança ou evento que possa comprometer a confidencialidade, integridade ou disponibilidade das informações deverá ser comunicado imediatamente à Área de TI, para fins de análise, contenção e mitigação de riscos.

O descumprimento das disposições relativas ao trabalho remoto poderá ensejar a revogação da autorização concedida, sem prejuízo da adoção das medidas disciplinares cabíveis, nos termos da legislação vigente e das normas internas do Escritório.

4.10. Softwares andPlataformas

Aquisição

A aquisição de softwares e de plataformas pelo PEREIRA GIONÉDIS ADVOGADOS observará, como requisito essencial, a observância dos padrões institucionais de Segurança da Informação e Proteção de Dados. A seleção de fornecedores priorizará aqueles que demonstrem maturidade em segurança cibernética, preferencialmente com certificações reconhecidas internacionalmente, bem como práticas comprovadas de gestão de vulnerabilidades e resposta a incidentes.

Todo software e plataforma, previamente à sua contratação definitiva e implementação no ambiente tecnológico do Escritório, deverá ser submetido a processo formal de avaliação interna de segurança, o qual compreenderá, conforme aplicável:

Análise de vulnerabilidades, com o objetivo de identificar riscos técnicos, falhas conhecidas e exposições indevidas;

Testes de penetração, sempre que compatível com a natureza da solução, para aferir possíveis vetores de ataque e fragilidades exploráveis;

Verificação de conformidade com os requisitos internos de segurança, arquitetura tecnológica, controle de acesso, criptografia, registro de logs e proteção de dados.

Os contratos seguirão as diretrizes estabelecidas no POP.SI.04 – Controles de Segurança da Informação para Fornecedores.

A disponibilização para o uso do software e plataforma pelos integrantes, somente será autorizada após validação formal pela Área de Tecnologia da Informação em conjunto com a Alta Direção, assegurando a compatibilidade com a arquitetura de segurança do Escritório e a mitigação adequada dos riscos identificados.

Gestão e Utilização

A gestão e utilização de softwares e plataformas no PEREIRA GIONÉDIS ADVOGADOS observam critérios rigorosos de segurança da informação, conformidade legal e controle patrimonial, sendo vedada qualquer instalação, uso ou compartilhamento que não esteja formalmente autorizado.

Somente poderão ser instalados e utilizados, nos dispositivos destinados às atividades profissionais — próprios, corporativos ou de terceiros sob gestão do Escritório — softwares e plataformas devidamente licenciados ou de código aberto (open source), desde que previamente homologados e aprovados pela Alta Direção. A homologação técnica considerará requisitos de segurança, compatibilidade, desempenho, suporte e aderência à arquitetura tecnológica institucional.

Utilizar, em equipamento pessoal, softwares e plataformas adquiridos ou licenciados pelo Escritório sem autorização formal;

Fornecer, ceder, compartilhar ou disponibilizar a terceiros programas de software e plataformas licenciados ao Escritório;

Utilizar equipamentos pessoais para atividades profissionais sem autorização prévia da Área de TI;

Todos os equipamentos utilizados nas estações de trabalho deverão ser previamente homologados sob o ponto de vista técnico e operacional, cadastrados para fins de inventário e controlados quanto à disponibilidade e segurança.

A Área de TI manterá inventário atualizado de todos os ativos tecnológicos utilizados, garantindo rastreabilidade, conformidade contratual e integridade do ambiente tecnológico. Os softwares e plataformas deverão permanecer atualizados, com aplicação regular de patches e atualizações de segurança, de modo a mitigar vulnerabilidades conhecidas e reduzir a superfície de ataque.

O Escritório poderá realizar auditorias técnicas periódicas nos equipamentos e ambientes tecnológicos, com o objetivo de verificar a observância dos processos e procedimentos do SGSI. Constatada qualquer desconformidade, poderão ser adotadas medidas disciplinares cabíveis ao integrante envolvido.

4.11. Inteligência Artificial

O Escritório estabelece diretrizes para o uso ético, transparente e responsável de sistemas de Inteligência Artificial (IA), prevenindo riscos jurídicos, éticos e tecnológicos decorrentes de sua utilização. Visa, ainda, assegurar a conformidade do uso de IA com a Lei nº 13.709/2018 (LGPD) e com a Lei nº 12.965/2014 (Marco Civil da Internet), com as normas internas e demais legislações aplicáveis, protegendo dados pessoais e sensíveis, informações estratégicas e segredos profissionais do PEREIRA GIONÉDIS ADVOGADOS, de seus integrantes e clientes.

A observância dessas diretrizes é obrigatória para todos os integrantes do Escritório, incluindo sócios, advogados associados, estagiários e funcionários, abrangendo tanto o uso de ferramentas institucionais de Inteligência Artificial quanto a eventual contratação ou utilização de ferramentas externas.

Princípios Norteadores

O uso de IA no âmbito do Escritório observará, cumulativamente:

Ética, integridade e responsabilidade profissional;

Proteção de dados, sigilo profissional e confidencialidade;

Supervisão e controle humano em todas as fases de utilização;

Responsabilização dos usuários por atos praticados;

A observância desses princípios constitui requisito obrigatório para a utilização de sistemas de IA, devendo orientar a tomada de decisões, a escolha de ferramentas, a implementação de soluções tecnológicas e a conduta individual dos usuários, assegurando que a inovação ocorra de forma controlada, responsável e juridicamente segura.

Diretrizes de Uso

É permitido o uso de sistemas de IA como ferramenta de apoio, especialmente para:

Pesquisas jurídicas, análise de precedentes e jurimetria;

Revisão textual, aprimoramento de clareza e organização redacional;

Brainstorming e apoio à construção de teses jurídicas;

Automação de rotinas administrativas e de gestão processual, desde que previamente autorizadas.

É vedado:

Utilizar IA para elaboração autônoma de peças jurídicas, pareceres ou documentos sem revisão humana qualificada;

Promover decisões automatizadas sem intervenção humana;

Burlar, fraudar ou contornar processos ou procedimentos internos e externos;

Violar ou comprometer a integridade de legislações, normas regulatórias ou determinações judiciais;

Tentar quebrar mecanismos de proteção, autenticação ou segurança de sistemas, plataformas ou bases de dados, internas ou de terceiros;

Inserir, compartilhar ou expor em ferramentas de Inteligência Artificial, quaisquer dados e informações classificadas como confidenciais ou restritas, incluindo, mas não se limitando a: dados pessoais e dados pessoais sensíveis; informações estratégicas; informações protegidas por sigilo profissional; dados financeiros; documentos contratuais; segredos comerciais; informações de clientes, partes adversas ou terceiros; credenciais, chaves de acesso ou parâmetros internos de segurança.

A utilização de ferramentas de Inteligência Artificial diversas daquelas previamente aprovadas dependerá de autorização expressa do Comitê de Inovação e Tecnologia e do Comitê Gestor da LGPD, precedida de avaliação de riscos, análise de segurança da informação e verificação de conformidade jurídica e contratual.

O Escritório poderá auditar o uso de inteligência artificial pelos seus integrantes, bem como utilizar ferramentas para investigar o uso malicioso de IA por integrantes e terceiros.

O descumprimento desta Política ou o uso indevido deIA sujeitará o integrante a medidas disciplinares internas, sem prejuízo de sanções civis, administrativas e penais cabíveis.

4.12. Proteção Contra Ameaças Físicas e Ambientais

O PEREIRA GIONÉDIS ADVOGADOS dispõe de procedimentos e equipamentos destinados à proteção dos seus ativos de informação contra ameaças físicas e ambientais. São eles:

Medidas de Combate a Incêndio: O Escritório possui medidas de identificação e combate a incêndios atestado pelo Corpo de Bombeiros Militar do Paraná por meio do Auto de Vistoria e Alvará de Funcionamento. O Escritóriodispõe de extintores de incêndio e hidrantes em para cada ambiente, sistema de alarme, luzes de emergência e placas de indicação de rota de fuga.
Segurança Patrimonial: O Escritório contrata empresa especializada em segurança patrimonial para monitorar a sede e responder a eventuais ameaças físicas. A empresa contratada fornece sistema de alarme, sensor de presen- ça, câmeras de vigilância e atendimento 24 horas.

Proteção Contra Falhas de Energia: O PEREIRA GIONÉDIS ADVOGADOS dispõe de sistemas de alimentação ininter- rupta que mantêm o funcionamento de equipamentos estratégicos em caso de falhas de energia e protegem con- tra oscilações e picos de tensão. Eles são testados semanalmente para verificar seu funcionamento.

Proteção Contra Falhas de Conectividade: O PEREIRA GIONÉDIS ADVOGADOS dispõe de links redundantes e de alta velocidade para suportar todas as conexões de usuários internos e externos, de forma a reduzir a possibilidade de indisponibilidade de conectividade.

Avaliações de Vulnerabilidade: O Escritóriorealiza avaliações de vulnerabilidade regulares para identificar e mitigar potenciais pontos fracos em sua segurança em relação às ameaças físicas e ambientais.

4.13. Gestão de Riscos, Oportunidades e Controle de Mudanças

O PEREIRA GIONÉDIS ADVOGADOS adota medidas e procedimentos destinados a identificar e prevenir riscos, avaliar e selecionar oportunidades de melhoria e inovação, bem como estruturar e consolidar mudanças de forma organizada e sustentável. Com este objetivo, estabelece diretrizes para proteger informações corporativas de forma efetiva, incluindo a proteção de dados, conformidade regulatória, gestão de riscos de oportunidades e de mudanças, buscando manter a integridade, confidencialidade e disponibilidade dos dados e informações.

Para garantir a efetividade dessas diretrizes, o escopo de aplicação contempla a manutenção de um sistema contínuo, adaptativo e integrado, voltado à proteção dos ativos de informação, consolidando a segurança como um processo evolutivo e incorporado à cultura do Escritório.

A gestão de riscos abrange todos os departamentos e unidades de negócios, assegurando uma abordagem integrada, uniforme e alinhada às diretrizes do Escritório. Todos os riscos identificados devem ser devidamente registrados, avaliados e tratados por meio deste processo.

A Gestão de Riscos e Oportunidades é realizada conforme PG.02 – Gestão de Riscos e Oportunidades.

O Escritório adota procedimento formal, estruturado e documentado para o Gerenciamento de Mudanças, aplicável a alterações em sistemas, infraestrutura tecnológica, controles de segurança da informação, processos, políticas ou qualquer elemento que componha o Sistema de Gestão de Segurança da Informação (SGSI).

O gerenciamento busca assegurar que mudanças planejadas e devidamente autorizadas sejam integradas ao ambiente operacional de forma controlada, coordenada e segura, prevenindo impactos adversos inerentes à sua execução e preservando a confidencialidade, integridade e disponibilidade das informações, bem como a continuidade das atividades jurídicas.

O Gerenciamento de Mudanças é realizado conforme POP.SI.03 – Controles sobre Mudanças.

4.14. Política de Backup e Espelhamento

A política de Backup e Espelhamentos do PEREIRA GIONÉDIS ADVOGADOS tem como objetivo assegurar a proteção, integridade e disponibilidade dos dados críticos do Escritório, garantindo a continuidade das operações em situações de incidentes ou perda de informações ou de dados. A gestão segue as melhores práticas de segurança e está em conformidade com as regulamentações aplicáveis, incluindo a LGPD, para proteger os dados sensíveis e garantir a recuperação eficaz dos mesmos.

O Gerenciamento de Backup e Espelhamento é realizado conforme POP.SI.02 – Controles de Ativos de Informação.

4.15. Obrigações e Responsabilidades dos Integrantes

O PEREIRA GIONÉDIS ADVOGADOS estabelece regra para garantir a segurança da informação e a proteção dos dados acessados, processados e armazenados no ambiente corporativo. Cada integrante do Escritório é responsável pela confidencialidade, integridade e disponibilidade das informações e dos dados, devendo cumprir todas as normas internas e regulamentações aplicáveis, incluindo a LGPD (Lei nº 13.709/2018) e demais legislações pertinentes.

As diretrizes internas estão registradas, mas não limitadas, no Contrato do integrante com o Escritório, no Código de Boas Práticas, no Código de Ética, Conduta e Compliance e no POP.SI.01 – Controles de Pessoas e Cultura.

Regras Gerais

Adesão às Políticas: Conhecer, compreender e cumprir todas as políticas e procedimentos de segurança da informação do Escritório, e toda a legislação vigente sobre segurança da informação e dados.
Uso Adequado dos Recursos de TI: Utilizar sistemas, dispositivos e redes corporativas exclusivamente para fins profissionais e de maneira responsável, garantindo a proteção das informações e dos dados institucionais.
Proteção de Credenciais: Utilizar senhas fortes, únicas e sigilosas, sendo terminantemente proibido o compartilhamento de logins e senhas fornecidas pelo Escritório.
Confidencialidade e Sigilo: Proteger as informações institucionais, estratégicas e os dados pessoais tratados pelo Escritório, prevenindo acessos não autorizados, vazamentos ou compartilhamento indevido.
Uso de Canais Seguros: A comunicação de informações e de dados sensíveis deve ocorrer, preferencialmente, por meios autorizados, como plataformas corporativas seguras, sendo vedado o uso de e- mails pessoais ou aplicativos não criptografados.

Armazenamento, Uso e Eliminação de Documentos: Seguir rigorosamente as diretrizes internas para armazenamento seguro, uso autorizado e descarte adequado de documentos físicos e digitais. Bem como não acessar informações, arquivos ou ambientes para os quais não esteja autorizado ou que não possuam relação direta com os serviços contratados, com as funções desenvolvidas, e com a atividade do Pereira Gionédis Advogados;
Reporte de Incidentes: Qualquer suspeita ou confirmação de incidente de segurança da informação, bem como identificação de vulnerabilidades, deverá ser imediatamente comunicada à Área de TI, por meio do e- mail [email protected] , pelo telefone 41-98454-7380 ou pelo sistema de telefonia interno, conforme POP.SI.05 – Incidentes de Segurança da Informação e Processo Disciplina.
Ambiente Seguro de Trabalho: Seguir a Política de Mesa Limpa, Tela Bloqueada e Caderno Fechado (6.6. Mesa Limpa, Tela Bloqueada e Caderno Fechado), garantindo que documentos físicos e digitais sejam armazenados de forma segura, reduzindo riscos de acessos não autorizados.
Cumprimento da Legislação Aplicável: Observar todas as normas legais pertinentes, incluindo a LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e demais regulamentos sobre proteção e segurança da informação.

4.16. Spiders

A criação da função Spider do PEREIRA GIONÉDIS ADVOGADOS foi uma medida essencial para o auxílio na gestão da segurança da informação no ambiente do Escritório. Sua tarefa é prestar suporte ao Comitê Gestor da LGPD, facilitando a coleta de evidências sobre o cumprimento das políticas de gestão da segurança da informação e da Lei Geral de Proteção de Dados – LGPD.

A sua atuação promove um ambiente de trabalho mais seguro, organizado e alinhado às melhores práticas de governança e compliance, reduzindo riscos e fortalecendo a cultura de segurança, além de reforçar as politicas ligadas à gestão da segurança da informação.

A escolha da pessoa Spider é realizada pelos integrantes do Comitê Gestor da LGPD em reunião ordinária e a escolha recai sobre os integrantes mais antigos e tenham circulação diária pelo escritório. A designação da pessoa para atuar como Spider é por prazo determinado de 01 ano, podendo haver a recondução, assim como a substituição sempre que necessário, sendo que a identidade dos escolhidos é mantida em sigilo.

4.17. Mesa Limpa, Tela Bloqueada e Caderno Fechado

A Política de Mesa Limpa, Tela Bloqueada e Caderno Fechado do PEREIRA GIONÉDIS ADVOGADOS constitui medida essencial de segurança da informação, aplicável às estações de trabalho de todos os integrantes. Seu objetivo é prevenir acessos não autorizados, vazamentos, extravios, danos aos documentos e exposição indevida de dados e informações, assegurando conformidade com as diretrizes internas do SGSI.

A manutenção de ambiente organizado, com controle sobre documentos físicos e informações digitais, reduz riscos operacionais, fortalece a cultura de proteção de dados e informações e preserva o sigilo profissional inerente às atividades do Escritório.

Para assegurar um ambiente de trabalho organizado e seguro, especialmente nas áreas que abrigam equipamentos de Tecnologia da Informação e documentos estratégicos, o Escritório define diretrizes claras sobre:

Armazenamento Seguro: Não é permitido manter arquivos salvos nos endpoints, todos os arquivos deverão

ser salvos no servidor de arquivos, em suas respectivas pastas. Os documentos físicos e mídias removíveis deverão ser armazenados em locais seguros quando não estiverem em uso.
Proteção de Dispositivos Endpoints: Os integrantes deverão bloquear os dispositivos endpoints móveis

sempre que não estiverem em uso e sempre que se ausentarem da estação de trabalho.

Post-its e Anotações: O uso de post-its é proibido. Para anotações, os integrantes poderão usar cadernos,

agendas e blocos com capa.
Limpeza e Organização: Os integrantes devem manter suas estações de trabalho sempre limpas e

organizadas. Qualquer derramamento deve ser imediatamente limpo para evitar danos aos equipamentos, documentos e preservar o ambiente limpo.
Uso de Agendas e Cadernos: O uso de agendas e cadernos deve evitar qualquer exposição indevida de dados

e informações. Esses materiais devem ser utilizados apenas para registros rotineiros e não confidenciais. É expressamente proibido anotar senhas, logins, informações pessoais, dados sensíveis, sigilosos ou confidenciais nesses meios. Informações dessa natureza devem ser armazenadas exclusivamente em sistemas ou dispositivos digitais protegidos. Além disso, agendas e cadernos devem permanecer fechados sempre que o integrante se afastar da sua estação de trabalho.
Bloqueio de Tela: Para prevenir o acesso ou a visualização não autorizada de informações e dados restritos,

os monitores devem permanecer bloqueados sempre que o integrante se afastar da estação de trabalho, mesmo que por curto período. Comando: CTRL + ALT + DEL + Bloquear ou Tecla Windows + L (Windows + L).
Uso da Impressora: A impressão e fotocópia de documentos devem ser realizadas com responsabilidade e

apenas quando estritamente necessária. Documentos que contenham dados pessoais, especialmente sensíveis ou estratégicos, devem ser imediatamente retirados da impressora por quem realizou a impressão, a fim de evitar acesso indevido por terceiros. Todas as impressões e fotocópias devem ser devidamente registradas nos cadernos de controle, conforme sua finalidade: no Caderno “Particular”, quando se tratar de uso pessoal do integrante, ou no Caderno “Escritório”, quando relacionadas a clientes, fornecedores ou documentos oficiais.

6.18. Acesso Físico dos Integrantes, Visitantes e Terceiros

O PEREIRA GIONÉDIS ADVOGADOS adota controles de acesso físico destinados à proteção de seus ativos, informações, instalações e ambientes internos, com o objetivo de prevenir acessos não autorizados, danos, interferências, perdas ou comprometimento da segurança patrimonial.

O acesso às dependências do Escritório, incluindo matriz, filiais e quaisquer unidades físicas utilizadas para o exercício de suas atividades, é controlado e monitorado conforme critérios de segurança definidos pela Área Administrativa e pela Área de TI, observadas as necessidades operacionais e os requisitos de proteção da informação.

Os acessos físicos poderão ser registrados, monitorados, auditados e utilizados para fins de rastreabilidade, investigação de incidentes, verificação de conformidade e responsabilização, nos termos das normas internas e da legislação aplicável.

Controle de Acesso Físico

O controle de acesso às dependências e ambientes internos poderá ocorrer por meio de mecanismos formais de autenticação e identificação, tais como:

Biometria;

Senhas;

Crachás;

Fechaduras eletrônicas;

Portarias;

Registros físicos ou eletrônicos;

Outros mecanismos equivalentes definidos pelo Escritório.

A utilização de autenticação biométrica, quando implementada, possui a finalidade de reforçar a segurança física e lógica dos ambientes corporativos, permitindo identificação individualizada do usuário autorizado e mitigação do uso indevido de credenciais. Os dados eventualmente utilizados para autenticação biométrica serão tratados exclusivamente para fins de controle de acesso e segurança patrimonial, observadas as disposições legais e normativas aplicáveis.

Áreas Restritas

Determinados ambientes são classificados como Áreas Restritas em razão da criticidade das informações, ativos ou operações neles realizadas.

São consideradas áreas restritas, dentre outras:

Área Administrativa e Financeira;

CPD Interno e Externo;

Área de TI;

Área de Documentação e História.

O acesso a áreas restritas:

Será limitado a pessoas previamente autorizadas;

Observará critérios de necessidade funcional;

Poderá exigir autenticação adicional;

Será objeto de registro e rastreabilidade;

Poderá ocorrer somente mediante acompanhamento de responsável da área.

As áreas restritas poderão possuir mecanismos reforçados de controle de acesso, incluindo fechaduras eletrônicas, registros de entrada e saída, controle de visitantes e monitoramento de acessos.

Monitoramento e Auditoria

Os controles de acesso físico poderão ser monitorados e auditados periodicamente, com o objetivo de:

Verificar conformidade com as normas internas;

Identificar acessos indevidos ou comportamentos suspeitos;

Apoiar investigações internas;

Preservar a segurança patrimonial.

Os registros relacionados ao controle de acesso deverão ser protegidos contra alterações indevidas e mantidos conforme os prazos definidos nas normas internas aplicáveis.

4.18.1. Integrantes

Os integrantes têm acesso às dependências do Escritório mediante mecanismos formais de autenticação definidos pela Área Administrativa.

O acesso às Áreas Restritas observará os perfis autorizados e as regras estabelecidas neste procedimento e demais normas internas aplicáveis.

Os integrantes deverão:

Utilizar adequadamente os mecanismos de acesso disponibilizados;

Preservar o sigilo de credenciais e dispositivos de autenticação;

Comunicar imediatamente perda, acesso indevido ou suspeita de comprometimento;

Observar integralmente as regras de segurança patrimonial estabelecidas pelo Escritório.

4.18.2. Visitantes

O ingresso de visitantes nas dependências do Escritório está condicionado a controle prévio de acesso e à observância das medidas de segurança aplicáveis.

Os visitantes:

Deverão ser identificados e registrados quando aplicável;

Poderão receber identificação temporária (crachá) de acesso;

Deverão permanecer acompanhados por integrante responsável, especialmente em áreas internas ou restritas;

Deverão observar as orientações de segurança do Escritório durante sua permanência.

O acesso às Áreas Restritas dependerá de autorização prévia e acompanhamento obrigatório por responsável autoriza- do e da observância das regras estabelecidas neste procedimento e demais normas internas aplicáveis.

Quando necessário, especialmente em situações que envolvam acesso a informações sensíveis, ambientes críticos ou dados confidenciais, poderá ser exigida a assinatura de Termo de Confidencialidade ou instrumento equivalente.

Os registros de entrada e saída de visitantes poderão ser mantidos para fins de rastreabilidade, segurança e auditoria.

4.18.3. Fornecedores e Prestadores de Serviços

Fornecedores, prestadores de serviços e terceiros que necessitem acessar as dependências do Escritório observam integralmente as normas internas de segurança patrimonial.

O acesso de terceiros:

Dependerá de autorização prévia;

Poderá exigir identificação, registro e acompanhamento;

Poderá ser limitado às áreas necessárias à execução das atividades contratadas;

Deverá observar os princípios de confidencialidade, integridade e disponibilidade das informações;

Poderão permanecer acompanhados por integrante responsável, especialmente em áreas internas ou restritas;

Deverão observar as orientações de segurança do Escritório durante sua permanência.

Quando aplicável, terceiros poderão ser submetidos à assinatura de instrumentos de confidencialidade, termos de responsabilidade ou demais documentos relacionados à segurança da informação e proteção de dados.

4.19. Contratação de Fornecedores e Prestadores de Serviços

Esta política se aplica a todos os fornecedores, prestadores de serviços e terceiros que, direta ou indiretamente, tenham acesso aos ativos de informação do PEREIRA GIONÉDIS ADVOGADOS. Ela abrange todos os contratos de fornecimento, de serviços e de qualquer outra atividade que envolva o tratamento de informações e dados. O objetivo é assegurar a confidencialidade, integridade e disponibilidade das informações e dos dados pessoais, estratégicos e sigilosos, prevenindo riscos e garantindo conformidade com as normativas internas e legais de segurança da informação.

Nesse contexto, o Escritório adota critérios para a contratação e gestão de fornecedores, prestadores de serviços, assegurando que todas as operações observem procedimentos de proteção e segurança da informação, alinhados às regulamentações aplicáveis e às melhores práticas do setor.

Requisitos de Segurança e Responsabilidade

Controle de Acesso: O terceiro deve garantir que apenas pessoas autorizadas acessem as informações e os dados fornecidos pelo Escritório.

Proteção de Informações e Dados: Todas as informações e dados tratados devem ser armazenados e transmitidos de forma segura para evitar vazamentos ou acessos indevidos.

Ambiente Seguro: O fornecedor deve assegurar que utiliza sistemas e dispositivos protegidos contra ameaças cibernéticas para tratar informações e dados do Escritório.

Confidencialidade Contratual: O fornecedor deve garantir que as informações e os dados não sejam compartilhados ou utilizados para finalidades distintas das contratadas.

Termo de Confidencialidade: Sempre que necessário, os fornecedores e prestadores de serviços poderão ser solicitados a assinar Termo de Confidencialidade, formalizando seu compromisso com a proteção das informações e dos dados sensíveis e restritos do Escritório.

4.20. Descarte e Eliminação de Dados e Informações

Esta Política estabelece diretrizes para o descarte e eliminação segura de dados e informações tratados pelo PEREIRA GIONÉDIS ADVOGADOS, assegurando que todo o processo seja conduzido de forma controlada, segura e em conformidade com as legislações aplicáveis. Para isso, a gestão adequada do ciclo de vida dos dados e informações, especialmente daqueles de natureza estratégica e sigilosa, é fundamental para preservar sua integridade, confidencialidade e disponibilidade, mitigando riscos legais, operacionais e de segurança da informação.

Esta política abrange informações e dados de clientes, processos judiciais, contratos, registros internos e quaisquer dados e informações protegidos por sigilo profissional. Nos casos em que se aplica, seu objetivo é garantir a eliminação definitiva e irreversível dessas informações e dados, prevenindo acessos não autorizados.

O procedimento de descarte e eliminação de dados e informações esta documentado no POP.SI.02 – Controles de Ativos de Informação.

Conceitos:

Irreversibilidade: É a garantia técnica de que os dados e as informações em meios físicos ou digitais foram destruídas de tal forma que se torna impossível recuperá-las ou reconstruí-las por qualquer meio tecnológico disponível no momento, considerando o equilíbrio entre o custo de recuperação e o valor da informação.

Necessidade: Ocorre quando os dados e/ou as informações não forem mais essenciais para sua finalidade original, podendo ser descartados de acordo com os prazos e/ou critérios previamente estabelecidos para evitar retenção indevida.

Segurança: São medidas para proteger a integridade, confidencialidade e disponibilidade dos dados e informações, prevenindo acessos não autorizados e reduzindo riscos operacionais e jurídicos.

Conformidade: A eliminação dos dados e informações deve seguir as normativas regulatórias e contratuais aplicáveis, evitando eventuais penalidades.

Legítimo Interesse: Os dados e informações vinculados a ações judiciais, administrativa, pareceres, consultas jurídicas entre outros, decorrentes da atividade profissional da advocacia serão mantidos em arquivos seguros com acesso restrito, enquanto forem objetos do legítimo interesse do Escritório.

Métodos de Descarte Dados e Informações

Para o descarte dos dados e informações em meios físicos e digitais o Escritório utiliza métodos que impeçam a reconstrução ou recuperação dos dados, tais como: fragmentação mecânica (trituradores), incineração certificada, uso de softwares especializados (sobrescrita segura) e destruição física de mídias, considerando o nível de criticidade da informação e do dado, e os requisitos legais aplicáveis.

O Escritório poderá contratar empresas especializadas para realizar a destruição segura dos documentos. Esses prestadores devem possuir certificações adequadas e fornecer comprovantes formais de eliminação definitiva (Laudo de Destruição com a evidência de que os documentos foram eliminados de forma irreversível), garantindo que o descarte ocorra de acordo com as melhores práticas e exigências regulatórias.

Monitoramento e Revisão

Monitoramento Contínuo: Os processos de descarte e eliminação são monitorados conforme POP.SI.02 – Controles de Ativos de Informação.

Revisão dos Procedimentos de Eliminação: A revisão do processo de descarte deve ser realizada regularmente com base nesta Política para garantir a eficácia dos procedimentos, corrigir falhas e aprimorar as práticas adotadas.

4.21. Incidentes de Segurança

A resposta a incidentes de segurança da informação é essencial para preservar a integridade, confidencialidade e disponibilidade dos dados tratados pelo Escritório. O POP.SI.05 – Incidentes de Segurança da Informação e Processo Disciplinar estabelece diretrizes e procedimentos para a identificação, contenção, mitigação e recuperação de incidentes, garantindo conformidade com a legislação aplicável, como a LGPD (Lei nº 13.709/2018) e as melhores práticas de segurança da informação, alinhadas à ISO 27001 e ao Marco Civil da Internet.

O cumprimento dessas diretrizes é obrigatório para todos os integrantes do Escritório, assegurando a segurança jurídica e tecnológica da organização, bem como o pleno atendimento aos princípios e normativas que regem a proteção de informação e a gestão dos dados.

4.22. Treinamentos

O Escritório promove treinamentos e ações de conscientização relacionada à segurança da informação, proteção de dados, compliance, ética e demais normas internas aplicáveis, com o objetivo de fortalecer a cultura organizacional, reduzir riscos operacionais e assegurar a adequada proteção dos ativos informacionais.

Todos os treinamentos deverão observar as diretrizes estabelecidas no POP.SI.01 – Controles de Pessoas e Cultura, bem como as demais normas internas correlatas.

4.23. Violações

O descumprimento desta política pelos integrantes do Escritório, fornecedores, prestadores de serviços ou terceirizados configura infração passível de medidas administrativas, contratuais, disciplinares e legais, aplicáveis conforme a gravidade da violação e o impacto à segurança da informação.

Dentre as medidas aplicáveis, poderão ser adotadas advertências formais, rescisão contratual, aplicação de penalidades previstas em contrato, comunicação às autoridades competentes e a adoção de medidas judiciais para a reparação de eventuais danos.

Casos que envolvam a violação de informações e/ou de dados pessoais, o acesso indevido, a divulgação não autorizada de informações e/ou dados sigilosos, bem como qualquer conduta que comprometa a integridade, a confidencialidade ou a disponibilidade das informações e dos dados sob a guarda do Escritório, serão tratados em conformidade com a legislação vigente, em especial à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), ao Marco Civil da Internet (Lei nº 12.965/2014), bem como às normativas internas aplicáveis, podendo ensejar a adoção de medidas disciplinares, administrativas, cíveis e/ou penais, conforme o caso.

As violações serão objeto de processo disciplinar previsto no Código de Ética, Conduta e Compliance e no POP.SI.05 – Incidentes de Segurança da Informação e Processo Disciplinar.

4.24. Auditorias e Acompanhamento

Com o propósito de assegurar, fomentar e fortalecer a observância das normas do Sistema de Gestão da Segurança da Informação, bem como a conformidade com os regramentos internos e as exigências das regulamentações externas, o PEREIRA GIONÉDIS ADVOGADOS realiza as seguintes auditorias e acompanhamento:

Acompanhamento PGA: O Comitê ISO é responsável pelo acompanhamento e cumprimento dos procedimentos do SGSI com o propósito de avaliar a conformidade, a eficácia e a adequação das medidas de proteção adotadas, identificando eventuais vulnerabilidades e propondo ações corretivas para o fortalecimento contínuo dos controles internos.

Auditoria Interna: O Escritório optou por contratar auditor certificado para validar, anualmente, a conformidade do Sistema de Gestão da Segurança da Informação.

Neste contexto, o Escritório adota as seguintes diretrizes:

Responsabilidades e Autoridade: Os responsáveis pelas auditorias possuem autoridade definida para conduzir avaliações, documentar achados, reportar irregularidades e recomendar ações corretivas, sem interferências que possam comprometer sua autonomia.

Relatórios e Análises: Os dados coletados durante auditorias são analisados para identificar tendências, vulnerabilidades e possíveis ameaças.

Melhoria Contínua: As conclusões das auditorias são utilizadas para aprimorar continuamente as políticas de segurança da informação, fortalecendo a cultura organizacional focada na proteção dos dados e no cumprimento das normas vigentes.

4.25. Revisão e Atualização

A presente Política de Segurança da Informação, bem como os demais documentos integrantes do Sistema de Gestão da Segurança da Informação (SGSI), deverão ser revisados e atualizados periodicamente, em intervalo definido pelas normas internas do Escritório, com o objetivo de assegurar sua adequação operacional, efetividade e conformidade com requisitos legais, regulatórios, contratuais e normativos aplicáveis.

Comunicação e Conscientização

As alterações relevantes realizadas na presente Política ou nos demais documentos do SGSI deverão ser comunicadas aos integrantes e demais públicos aplicáveis, conforme critérios definidos pelo Escritório.

Quando necessário, poderão ser realizadas ações de conscientização, treinamentos, atualizações operacionais ou novos registros de ciência e aceite.

5. Considerações Finais

Todos os integrantes do PEREIRA GIONÉDIS ADVOGADOS, independentemente do nível hierárquico ou da natureza do vínculo, têm o dever de cumprir integralmente as disposições do Sistema de Gestão da Segurança da Informação, assumindo igualmente a obrigação de fazer cumprir tais diretrizes no âmbito de suas atribuições.

O dever de fazer cumprir compreende a responsabilidade de orientar subordinados, colaboradores, terceiros e prestadores sob sua supervisão quanto às regras estabelecidas, bem como adotar medidas razoáveis para prevenir, identificar e interromper condutas em desconformidade, inclusive mediante comunicação imediata à Área de TI.

A omissão na fiscalização, na adoção de providências cabíveis ou na comunicação de irregularidades poderá caracterizar infração às normas internas, sujeitando o responsável às medidas disciplinares previstas nos regulamentos do Escritório, sem prejuízo das responsabilidades civil, contratual, administrativa e, quando cabível, penal.

Esta Política de Segurança da Informação entra em vigor a partir da data de aprovação pela Alta Direção, ficará disponível para leitura no servidor de arquivo Novo_Grupos: \INTEGRAÇÃO\ISO 27.001 e no site do Pereira Gionédis Advogados.

As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação deverão ser encaminhadas ao endereço de e-mail [email protected] .

PEREIRA GIONÉDIS ADVOGADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DADOS

1 INTRODUÇÃO

O Pereira Gionédis Advogados é um escritório comprometido com a privacidade, com a proteção e com a segurança da informação e dados de seus clientes, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços.

Assim, o Pereira Gionédis Advogados institui a presente Política de Segurança da Informação e Dados estabelecendo a forma como se dará o tratamento de informações e dos dados, de acordo com a legislação brasileira, em especial a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados – LGPD e legislação correlata.

2 OBJETIVO

A Política de Segurança da Informação e Dados tem como objetivo estabelecer orientações gerais, diretrizes, processos, procedimentos, responsabilidades, indicadores, para a proteção da informação e dados, que promovam a segurança, uma vez que, no desenvolvimento de suas atividades, o Pereira Gionédis Advogados coleta, manuseia e trata informações e dados que podem estar relacionados a pessoas físicas identificadas e/ou identificáveis.

Esta política visa:

adotar um conjunto de estratégias para proteger dados e informações relacionadas à tecnologia, evitando o acesso de pessoas não autorizadas a dispositivos físicos, computadores, redes, internet e sistemas computacionais, bem como a realização de backups de informações;
assegurar que as informações e dados estejam acessíveis somente aos seus responsáveis de direito ou as pessoas às quais foram enviados;
adequar o Pereira Gionédis Advogados às leis e regulamentos, seguindo as melhores práticas na proteção da informação e dados pessoais;
proteger as informações e dados dos clientes, de advogados, de colaboradores, de estagiários, de fornecedores, de parceiros e de terceiros;
a transparência com relação aos procedimentos no tratamento de informações e dados pessoais; e
promover a conscientização do público interno em relação à proteção de informações e dados pessoais, em especial a confidencialidade, a integridade, a transparência e a disponibilidade destes.

3 REFERÊNCIAS

As principais normas observadas na confecção deste instrumento foram:

Código de Ética e Conduta do Pereira Gionédis Advogados;
Código de Ética da Ordem dos Advogados do Brasil;
Lei Geral de Proteção de

4 GLOSSÁRIO

Definição de termos e palavras no sentido em que são utilizadas neste instrumento, em ordem não alfabética:

política da informação: conjunto de regras que dizem sobre o acesso, o controle e a comunicação da informação e dados pelo Pereira Gionédis Advogados, com o objetivo de propiciar a integridade do sistema de informações, alterável por conta de atualizações e inovações tecnológicas e legislativas;
garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, integridade, confidencialidade e autenticidade da informação;
informação: recepção de um conhecimento, reunião ou conjunto de conhecimentos que contenham dados;
documentação orientadora: documentos formais contendo diretrizes e regras que orientam as boas práticas do Pereira Gionédis Advogados no desenvolvimento da atividade profissional, alinhada com o modo, a conduta, a honestidade e o cumprimento da lei, os quais devem ser observados e praticados pelos seus clientes, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços;
dado pessoal: informação relacionada a pessoa natural identificada ou identificável, nos termos do artigo 5º, inciso I, da LGPD;
dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do artigo 5º, inciso II, da LGPD;
dado anonimizado: informação relativa a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, nos termos do artigo 5º, inciso III, da LGPD;
titular: pessoa natural a quem se refere o dado pessoal que é objeto de tratamento, nos termos do artigo 5º, inciso V, da LGPD;
controlador: pessoa natural ou jurídica de direito privado, a quem compete as decisões referentes ao tratamento de dados pessoais, nos termos do artigo 5º, inciso VI, da LGPD;
operador: pessoa natural ou jurídica de direito privado, que realiza o tratamento de dados pessoais em nome do controlador, nos termos do artigo 5º, inciso VII, da LGPD;
encarregado: pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, nos termos do artigo 5º, inciso VIII, da LGPD;
tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do artigo 5º, inciso X, da LGPD;
anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, nos termos do artigo 5º, inciso XI, da LGPD;
consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, nos termos do artigo 5º, inciso XII, da LGPD;
bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados, nos termos do artigo 5º, inciso XIII, da LGPD;
eliminação ou descarte: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, nos termos do artigo 5º, inciso XIV, da LGPD;
login: significa “se conectar”, iniciar sessão, resultado de várias credenciais que servem para identificar os usuários, permitindo o acesso de um usuário a um site, e-mail, plataforma, rede privada ou pública, ou ainda a uma rede social;
acesso: estabelecer conexão à internet ou a um dispositivo, conectar, ligar, entrar, comunicar, logar;
senha ou password: palavra ou código privado, previamente convencionado entre as partes como forma de reconhecimento para autenticar usuários, permitindo-lhes o acesso a informações e dados armazenados em determinado sistema ou a agir como administrador e a identificar o próprio computador;
senha compartilhada: senha criada, cadastrada e fornecida aos profissionais do Pereira Gionédis Advogados por clientes que possuem portal/programa específico para registro de suas informações, esta senha é compartilhada pelos diversos profissionais que atendem ao cliente, porque este não disponibiliza senhas individuais suficientes para a quantidade de usuários necessários ao efetivo desenvolvimento das atividades profissionais pelo escritório;
senha forte: senha que contém no mínimo oito caracteres, contendo letras maiúsculas, minúsculas, numerais e caracteres especiais.
criptografia: mecanismo de segurança que visa proteger a informação, tornando-a ininteligível para os que não tenham acesso às convenções combinadas, por meios próprios ou esforços razoáveis;
CPJ: programa utilizado pelo Pereira Gionédis Advogados para cadastro, atualização de informações, lançamento de tarefas, controle de prazos, auditorias, audiências, agendas, pagamentos, faturamento e eliminação/descarte;
transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o Brasil seja membro, nos termos do artigo 5º, inciso XV, da LGPD;
relatório de impacto à proteção de dados pessoais: documentação produzida pelo controlador, que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, nos termos do artigo 5º, inciso XVII, da LGPD;
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, nos termos do artigo 5º, inciso XIX, da LGPD;
sócio: profissional que participa da sociedade de advogados como membro;
associado: advogado que integra o escritório participando das atividades profissionais do Direito e aufere seus honorários com base no contrato de associação;
prestador de serviço: profissional que realiza atividades sem vínculo empregatício;
funcionário/empregado: aquele que executa uma função com vínculo empregatício;
estagiário: acadêmico que faz estágio, prática e aprimoramento profissional no escritório;
colaborador: aquele que colabora, integrando-se à equipe e ao trabalho, isto é, não executam apenas função ou atividade;
terceiro: pessoa física ou jurídica que não participa diretamente do Pereira Gionédis Advogados, em um contrato, ato jurídico ou negócio, ou que, para além das partes envolvidas, pode ter interesse no processo;
fornecedor: pessoa ou empresa que abastece ou provê o Pereira Gionédis Advogados de bens e/ou serviços;
parceiro: pessoa física ou jurídica não integrante do Pereira Gionédis Advogados, com quem se mantém parceria visando alcançar um objetivo comum;
cliente: pessoa física ou jurídica para a qual o Pereira Gionédis Advogados presta serviços;
usuário: agente externo ao sistema de informação que usufrui da tecnologia para realizar um trabalho específico, ou a sua função em determinada prestação de serviços, ou ainda desenvolver um serviço, podendo ser desde o usuário comum do sistema até administradores, programadores ou analistas de sistemas, em suma qualquer pessoa física ou jurídica para quem o produto ou serviço é concebido e que explora pelo menos uma das suas funções, em qualquer momento do seu ciclo de vida;
líder: pessoa que lidera equipe;
Spiders PGA: todos os colaboradores que auxiliam na verificação do cumprimento da Política da Segurança da Informação e Dados do Pereira Gionédis Advogados;
Alta Direção – AD: sócios do Pereira Gionédis Advogados;
Comitê Gestor da LGPD: grupo perene de membros do Pereira Gionédis Advogados responsável pela Política de Segurança da Informação e Dados, classificação e estrutura de dados pessoais, constituído para adequar o escritório à LGPD e legislação relativa à informação e dados;
Tecnologia da Informação – TI: setor responsável pelas atividades e soluções providas por recursos de computação que visam a produção, o tratamento, a transmissão, o acesso, a segurança e o uso de informações e dados;
Segurança da Informação – SI: proteção de dados contra ameaças diversas, esforço pautado por ações que objetivam mitigar riscos e garantir a continuidade das operações;
Segurança da Tecnologia em Informação – STI: medidas de proteção adotadas para proteger a integridade das tecnologias de informação usadas, adquiridas, desenvolvidas pelo Pereira Gionédis Advogados, como sistemas de computadores, software, hardware, redes e suas informações, contra incidentes de segurança;

auditoria interna: processo de exame de validação da Política de Segurança da Informação e Dados do Pereira Gionédis Advogados, levada a cabo por um comitê de auditores escolhidos dentre os seus integrantes;
indicadores: levantamentos, números e relatórios, que indicam se uma política, programa ou sistema está alcançando ou alcançou seus objetivos;
Comitê de Descarte/Eliminação: grupo constituído para orientar e zelar pelo adequado descarte/eliminação das informações e dados tratados pelo Pereira Gionédis Advogados;
Comitê de Desastre: grupo constituído para prever as possibilidades de incidentes de segurança que poderão atingir as informações, os dados, tratados do Pereira Gionédis Advogados, e apresentar soluções para estas hipóteses;
Comitê de Mitigação de Risco: grupo constituído para, quando da ocorrência de incidentes de segurança, atuar, avisar, diminuir ao menor número percentual ou zerar os efeitos de um desastre às informações e aos dados do Pereira Gionédis Advogados;
prestação de contas/accountability: informação sobre a adequação do tratamento da informação e dos dados pessoais pelo Pereira Gionédis Advogados;
Governança Corporativa: é a maneira pela qual o Pereira Gionédis Advogados é administrado, dirigido, estabelece seu sistema de direção, reflete a sua cultura, política, metas e regulamento interno, visando a excelência em gestão e estratégia junto a seus clientes.

5 ATRIBUIÇÕES E RESPONSABILIDADES

São comuns aos integrantes do Pereira Gionédis Advogados as seguintes atribuições e responsabilidades:

usar adequadamente as informações e/ou dados pessoais no desenvolvimento de suas atividades;
cumprir a legislação e regulamentação aplicáveis, bem como toda a documentação orientadora do Pereira Gionédis Advogados relativa à proteção de informação e dados pessoais, bem como aplicação das medidas adequadas de segurança de TI;
relatar ao Comitê Gestor a ocorrência de incidente de segurança, assim como as deficiências identificadas relacionadas a adequação da LGPD, por e-mail, para o endereço eletrônico [email protected] , além de reportar também para a AD e a qualquer líder;
participar das atividades de treinamento de proteção de dados conforme informado e solicitado pela AD, pelo Comitê Gestor da LGPD ou pela administração.
CONTROLADOR 1

Controlador é a pessoa jurídica do Pereira Gionédis Advogados, representada na forma de seu estatuto a quem compete tomar as decisões referente ao tratamento de dados pessoais.

¹Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado – No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos. 7. Mas, além disso, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento. 8. Conforme se verificará adiante, pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais. Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento. O operador deve ser uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.

7 ALTA DIREÇÃO – AD

São atribuições da Alta Direção do Pereira Gionédis Advogados:

criar e aprovar esta Política e suas futuras alterações, a partir de sugestões apresentadas pelo comitê gestor da LGPD, instituído para o fim de adequação do escritório à LGPD;
responsabilizar-se pelo uso adequado de informações e dados no desenvolvimento das atividades de todos os integrantes do Pereira Gionédis Advogados e demais pessoas físicas ou jurídicas com quem estes tenham vínculo;
avaliar o impacto no negócio quando da classificação e reclassificação da informação e dados, juntamente com o Comitê Gestor da LGPD;
garantir a conformidade do escritório com a LGPD e demais leis e normas que tratam da matéria;
decidir sobre o compartilhamento das informações e dados do Pereira Gionédis Advogados;
participar e orientar, os projetos que envolvam privacidade e tratamento de dados pessoais, a fim de validar o respeito aos requisitos da legislação aplicável;
deliberar sobre treinamentos, programas de conscientização e comunicação interna do tema de privacidade de informação e dados;
manter atualizada a documentação orientadora que serve de base à segurança de informação e dados do Pereira Gionédis Advogados;
monitorar, através do Comitê Gestor da LGPD, as ações para prevenir e/ou interromper o uso indevido da informação, considerando os atributos da confidencialidade, integridade, transparência, privacidade e disponibilidade;
alinhar, periodicamente, as definições e critérios com o Comitê Gestor da LGPD, o Comitê de Descarte/Eliminação e os Spiders PGA
deliberar sobre a definição, revisão e atualização de avisos de privacidade, juntamente com o Comitê Gestor da LGPD e a Auditoria Interna;
conduzir, periodicamente, através do Comitê Gestor da LGPD, avaliações de maturidade do Pereira Gionédis Advogados em relação às iniciativas de privacidade, identificando melhorias, assim como analisando a sua evolução;
acompanhar e apoiar a implementação dos planos de ação instituídas pelo Comitê Gestor da LGPD, para correção de lacunas das iniciativas de privacidade;
aprovar a contratação do Encarregado, Data Protection Officer (DPO), conforme a LGPD;
exigir de todos os integrantes do Pereira Gionédis Advogados, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços, e clientes a assinatura de termo de confidencialidade referente às informações a que terão acesso;
definir as regras para instalação de software and hardware no escritório, a serem executadas sob a responsabilidade da TI e do Comitê Gestor da LGPD;
indicar o Encarregado, dentre os seus integrantes, e formalizar a indicação mediante instrumento próprio;
comunicar à ANPD e ao titular de dados, em caso de incidente de segurança nos termos do artigo 48 da LGPD, no prazo legal.

8 COMITÊ GESTOR DA LGPD

Cabe ao Comitê Gestor da LGPD:

revisar e recomendar a aprovação desta política e suas alterações à AD;
definir, classificar e reclassificar as informações e dados sempre que necessário;
avaliar o impacto no negócio quando da reclassificação da informação e dados, conjuntamente com a AD e o operador;
responsabilizar-se pelo uso adequado de informações e dados no desenvolvimento das atividades do Pereira Gionédis Advogados;
definir como serão classificados e tratados os assuntos relacionados à privacidade, proteção das informações e dados e incidentes de segurança, inclusive templates;
monitorar e verificar, de forma permanente, a implementação das iniciativas de privacidade, a política de incidente de segurança, a mitigação de riscos, incluindo-se as verificações periódicas, em conjunto com os Comitês de Desastre e de Mitigação de Riscos;
apresentar para a governança corporativa a necessidade de aquisição de bens, softwares e programas, que venham a garantir a política de privacidade de informação e dados, envidando esforços, tanto no planejamento como para a aquisição e instalação, uma vez comprovada a necessidade;
propor à AD a solução de algum evento de alto risco não previsto ou extraordinário;
reportar à AD, na forma dos estatutos, os eventos relacionados a incidentes de segurança e as medidas adotadas;
responder solicitações de titulares de dados pessoais, de acordo com a legislação e regulamentação vigente, tempestivamente e seguindo as orientações estabelecidas pela AD;
receber as comunicações da Autoridade Nacional de Proteção de Dados Pessoais e atender aos proprietários de informações e aos titulares de dados;
assegurar que os contratos que contemplem o uso ou o tratamento de informações e dados contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;
prestar suporte e informações na ocorrência de incidente de segurança, aos sócios ou a quem estes indicarem;
prestar apoio técnico na interpretação da legislação e regulamentação relativas a LGPD;
apoiar a renegociação de contratos e aditivos com fornecedores e clientes que realizam o tratamento de informações e dados;
exigir a atualização, constante e periódica, do inventário atualizado dos ativos de informação (documentais e informacionais eletrônicos e não eletrônicos);
criar um canal de comunicação para o recebimento de solicitações de Titulares de Dados.

9 OPERADOR

Operador é a pessoa natural ou jurídica que realizará o tratamento de dados pessoais em nome do Pereira Gionédis Advogados de acordo com a Política de Segurança da Informação e Dados definida, a quem cabe:

monitorar os acessos às informações, dados e os ativos de tecnologia (sistemas, bancos de dados, recursos de rede);
avaliar incidentes de segurança e propor ações corretivas ao Comitê Gestor da LGPD;
monitorar e sugerir ações, pelo Comitê Gestor da LGPD, para prevenir e/ou interromper o uso indevido do acesso, considerando os atributos da confidencialidade, integridade, transparência e disponibilidade da informação;
somente tratar as informações e dados para a finalidade previamente estabelecida² e seguir as instruções determinadas pela AD, bem como pelo seu Comitê Gestor da LGPD.

10 AUDITORIA INTERNA

² AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . OPERADOR. Guia Orientativo

para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 16-17. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.

Cabe à Auditoria Interna:

em dia, hora e mês por ela escolhidos e comunicados ao Comitê Gestor da LGPD, com antecedência mínima de sete dias, e no mínimo duas vezes ao ano, realizar uma auditoria, cujo objetivo é verificar a adequação do Pereira Gionédis Advogados à LGPD e demais normas aplicáveis;
elaborar e encaminhar para a AD e para o Comitê Gestor da LGPD, a avaliação de aderência à documentação orientadora de trato da informação e dados e se há caso para registro de oportunidade e/ou de adequação fundamentando na documentação orientadora e/ou na legislação, o que não está adequado;
apoiar no preparo dos relatórios de impacto à proteção de Dados Pessoais (DPIA – Data Protection Impact Analysis) e na tomada de decisão para a manutenção desta Política;
verificar e auxiliar, as atividades e consultas desenvolvidas pelo

11 ENCARREGADO

Encarregado é a pessoa física ou jurídica, com conhecimentos de segurança da informação e proteção de dados, necessários ao desenvolvimento da atividade, responsável por garantir a conformidade do Pereira Gionédis Advogados à LGPD³, a quem cabe:

aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

³ AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . SUBOPERADOR. Guia

Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 18-22. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.

receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
orientar os funcionários e os contratados do Pereira Gionédis Advogados a respeito das práticas a serem tomadas em relação à proteção informações e dados;
executar as demais atribuições determinadas pelo Pereira Gionédis Advogados ou estabelecidas na legislação aplicável;
fornecer ao Pereira Gionédis Advogados e ao seu Comitê Gestor da LGPD⁴, todas as possibilidades de contato, que pode ser feito por e-mail, através do endereço [email protected]; telefone fixo (41) 3028-4022; celular (41) 99284-9472; ou no endereço Rua David Carneiro, 270, bairro São Francisco, CEP 80530-040, informações que serão divulgadas através do site do Pereira Gionédis Advogados, no sítio eletrônico pereiragionedis.com.br ;
em caso de incidente de segurança que possa acarretar risco ou dano relevantes aos titulares, o Encarregado do Pereira Gionédis Advogados, em conjunto com o Comitê Gestor da LGPD, deverá preencher o formulário de comunicação de incidente de segurança com dados pessoais da ANPD, com as informações que constam da Política de Incidente de Segurança.

12 COMITÊ DE DESASTRE

Cabe ao comitê de Gestão de Incidente de Segurança:

⁴ AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . ENCARREGADO. Guia

Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 16-17. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.

avaliar internamente o incidente de segurança, a natureza, a categoria e a quantidade de titulares de dados afetados, consequências concretas e prováveis;
comunicar a ocorrência de desastre ao encarregado, aos representantes legais da AD estabelecidos no estatuto, ao Comitê Gestor da LGPD e ao Operador;
elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas/accountability, nos termos do artigo 6º, inciso X, da LGPD;
fazer a verificação diária, semanal e mensal do checklist de segurança.

13 COMITÊ DE MITIGAÇÃO DE RISCOS

Cabe ao Comitê de Mitigação de Riscos:

identificado o incidente de segurança, acionar as ações para mitigar o risco interna e externamente;
informar ao Pereira Gionédis Advogados, pela intranet, endereços eletrônicos e números telefônicos, a ocorrência do desastre e as atitudes que foram tomadas;
verificar as linhas de ação para a continuidade das atividades do Pereira Gionédis Advogados;
cumprir todos os checklist para a continuação do desenvolvimento das atividades do Pereira Gionédis Advogados.

14 LÍDERES

Líderes são os responsáveis pelo uso adequado de informações e dados no âmbito das respectivas atividades e áreas de atuação, a quem cabe:

garantir que os requisitos da legislação referente as informações e dados sejam atendidos, bem como que os seus liderados atuem de acordo com esta política e a legislação pertinente;
ajudar a manter e revisar a classificação das informações e dados conforme a política de segurança da informação e dados do Pereira Gionédis Advogados;
apresentar ao AD, através do Comitê Gestor da LGPD, quaisquer mudanças ou desconformidade substanciais, tão logo verificarem estas situações;
adotar medidas administrativas e técnicas de modo a obter o consentimento para o tratamento de informações e dados, de forma clara e objetiva, de modo a não gerar dúvidas;
auxiliar na verificação do cumprimento da Política da Segurança da Informação e Dados.
SPIDERS PGA

Cabe aos Spiders PGA:

auxiliar na verificação do cumprimento da Política da Segurança da Informação e Dados;
prestar suporte ao Comitê Gestor da LGPD, em virtude dos treinamentos recebidos e a receber daquele comitê;
facilitar a coleta de evidências sobre a aplicação das regras internas de privacidade e proteção de dados pessoais e a boa prática no trato da informação e dados;
auxiliar na disseminação da cultura de privacidade de informações e proteção de dados pessoais nas respectivas áreas de atuação.

16 DIREITOS DOS PROPRIETÁRIOS DE INFORMAÇÃO E TITULARES DE DADOS PESSOAIS

O Pereira Gionédis Advogados está permanentemente empenhado na proteção dos direitos dos proprietários de informação e dos titulares de dados pessoais, os quais incluem:

a informação sobre o tratamento dos dados pessoais até o descarte/eliminação;
o direito a informação de acesso aos dados pessoais;
a correção de dados pessoais se estiverem imprecisos, incorretos ou incompletos;
a exclusão, bloqueio e/ou anonimização de dados pessoais em determinadas circunstâncias, também de acordo com o interesse legítimo do Pereira Gionédis Advogados;
revogar o consentimento a qualquer momento, se o tratamento de dados pessoais se basear em um propósito específico que não estiver de acordo com o previsto nesta política e na legislação que trata da matéria.

17 SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO – STI

A Segurança da Tecnologia da Informação visa:

a segurança de sistemas, softwares, plataformas, programas, aplicativos, maquinário, e toda a infraestrutura com que opera o Pereira Gionédis Advogados;
fazer análises de risco, administrar sistemas de informações e gerenciar redes de computadores, tratando a informação e/ou dados de forma íntegra, confiável, transparente, disponível;
fazer backups, de forma on line and off line, dos arquivos, bancos de dados e e- mail;
manter a redundância da rede de informações e dados de forma operante, íntegra, confiável, transparente, disponível;
manter atualizada a tecnologia de informação, a fim de proteger sistemas de computadores, redes e dados contra ataques, danos e acessos não autorizados;
assegurar que os dados sejam acessíveis somente aos seus responsáveis de direito ou às pessoas por estes autorizadas;
responsabilizar-se pelo uso adequado de informações e dados aos quais acessa em virtude do desenvolvimento das atividades da TI, observando as diretrizes estabelecidas pela AD, pelo Comitê Gestor da LGPD;
analisar incidentes de segurança, bem como efetuar a coleta de evidências técnicas, informando de imediato à AD, ao Comitê de Gestão de Incidente de Segurança, ao Encarregado e ao Comitê Gestor da LGPD;
monitorar e implementar medidas de segurança para garantir o cumprimento da LGPD;
revisar e manter atualizada a documentação/planilhas com checklist and check up relativa à segurança da informação que estiver sob sua responsabilidade;
prestar suporte técnico e analisar novas ferramentas e sistemas com foco na proteção da informação e dados;
garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo tratamento de informação e dados, garantindo a integridade, disponibilidade e confidencialidade;
estruturar e manter atualizado o inventário dos ativos de informação, documentais e informacionais eletrônicos e não eletrônicos;
definir as regras para instalação de software and hardware no Pereira Gionédis Advogados, em conjunto com a AD e o Comitê Gestor da LGPD.

18 RESPONSABILIDADE DOS USUÁRIOS DA INFORMAÇÃO E DADOS

Ao usuário da informação e dados cabe:

observar as referências, normas, procedimentos e diretrizes, citadas nesta política, e toda a legislação vigente sobre segurança da informação e dados;
fazer uso das informações e dados somente no interesse da atividade desenvolvida e no âmbito desta, observadas as limitações contratuais e legais, não podendo utilizar, acessar, reproduzir, transportar, transmitir e distribuir tais informações e dados;
tratar as informações e dados às quais tiver acesso, de acordo com critérios de tratamento da informação, definidos conforme sua classificação;
zelar pela proteção e sigilo das senhas vinculadas ao acesso a e-mails e demais sistemas que vier a receber do Pereira Gionédis Advogados para acesso aos ativos da informação e dados, assumindo a responsabilidade por todas as transações efetuadas sob esse código, bem como pela divulgação ou fragilização do sigilo das respectivas credenciais e senhas;
não acessar informações, arquivos ou ambientes para os quais não esteja autorizado ou que não possuam relação direta com os serviços contratados, com as funções desenvolvidas, e com a atividade do Pereira Gionédis Advogados;
não distribuir e/ou compartilhar mensagens não solicitadas (spam), em qualquer veículo de comunicação do Pereira Gionédis Advogados, prejudicando o andamento dos serviços e/ou causando excessivo tráfego na rede;
não enviar mensagens que contenham vírus eletrônico ou códigos maliciosos (malware, spyware ) ou que representem risco à segurança da rede ou que contrariem legislação vigente, podendo causar danos ao Pereira Gionédis Advogados, a seus clientes ou a terceiros;
não utilizar endereços eletrônicos do Pereira Gionédis Advogados para a distribuição de mensagens que não sejam de estrito interesse profissional ou que não guardem relação com atividade desenvolvida pelo escritório ou função desempenhada no Pereira Gionédis Advogados;
respeitar os direitos de propriedade intelectual ou autorais, de acordo com a legislação vigente;
utilizar nos equipamentos do Pereira Gionédis Advogados apenas softwares com as licenças de uso válidas e, no caso de código livre, que tenham sido homologados pelo Pereira Gionédis Advogados;
não conectar física ou remotamente nenhum dispositivo, tais como modem/roteador, dispositivos de rede, computadores, sistemas de vídeo, disco rígido externo, dispositivos de armazenamento móveis ou pen drive a um recurso computacional do Pereira Gionédis Advogados;
utilizar recurso de bloqueio de acesso à estação de trabalho que deve ser ativado quando do afastamento temporário, não podendo utilizar-se de artifício para burlar sua ativação;
desligar a estação de trabalho ao encerrar as atividades, bem como em períodos de ausência junto ao equipamento de uso, ainda que breves;
proceder a guarda de todas as informações (documentos, relatórios e demais impressos) em local adequado, quando se afastar da estação de trabalho, mesmo que temporariamente.

19 PRINCÍPIOS QUE NORTEIAM A INFORMAÇÃO E DADOS NO PEREIRA GIONÉDIS ADVOGADOS

O Pereira Gionédis Advogados tratará a informação e dados de maneira a respeitar o seu objetivo, adotando medidas razoáveis, técnicas e administrativas, que visem assegurar a atuação de acordo com os seguintes princípios:

boa fé: ética de conduta, moldada na ideia de proceder com correção, com dignidade no tratamento da informação e dos dados, pautando sua atuação e atitude na honestidade, na boa intenção, na lei, e no propósito de a ninguém prejudicar;
confidencialidade: informações e sistemas devem ser acessíveis apenas às pessoas que previamente tenham autorização de acesso;
finalidade: tratamento da informação e dados para propósitos legítimos, específicos, explícitos e informados ao titular, respeitando a sua finalidade;
adequação: compatibilidade de tratamento com as finalidades informadas ao titular;
necessidade: limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos, na medida necessária para atingir propósitos específicos;
livre acesso: titulares devem ter consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
qualidade dos dados: os titulares de dados devem ter a segurança de que os dados que estejam em posse do escritório sejam mantidos exatos, precisos, claros, atualizados tendo em vista as finalidades para os quais foram tratados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
transparência: fornecer aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
segurana: proteger a informação e os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
prevenção: tomar ações prévias, tendentes a evitar a ocorrência de danos em virtude do tratamento de dados pessoais;
não discriminação: não realizar tratamento para fins discriminatórios, ilícitos ou abusivos.
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS/ACCOUNTABILITY

O Pereira Gionédis Advogados deve adotar medidas, técnicas e administrativas, eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas, demonstrando:

o exercício dos direitos pelos proprietários de informações ou titulares de dados;
o registro de atividades de mapeamento e tratamento de dados pessoais;
ter exigido de terceiros agir de acordo com esta política e com a legislação e regulamentação aplicáveis.

21 TRATAMENTO DA INFORMAÇÃO E DADOS – REQUISITOS PARA O TRATAMENTO

O Pereira Gionédis Advogados trata da informação e dados quando o objetivo do tratamento se enquadrar em uma das hipóteses legais permitidas, observando as seguintes bases:

para a execução de contrato, ou de procedimentos preliminares relacionados a este, do qual seja parte o titular;
para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
para atender aos interesses legítimos do controlador ou de terceiro;
para o cumprimento de obrigação legal ou regulatória pelo controlador;
mediante o fornecimento de consentimento pelo titular, nas hipóteses legais, por não se enquadrar nos requisitos acima, caso em que o Pereira Gionédis Advogados obterá o consentimento de forma livre, clara e especifica, sendo permitido ao titular de dados retirar o consentimento quando lhe convier;
para atendimento de outra base legal que se verifique adequada nos termos da lei.

22 CLASSIFICAÇÃO DA INFORMAÇÃO E DADOS

O Pereira Giondis Advogados classifica e identifica as informações e dados conforme segue:

públicas: aqueles cuja divulgação externa não compromete o proprietário da informação ou o titular de dados e por isso, não necessitam de proteção efetiva ou tratamento específico, porque já foram tornados públicos pelo titular, respeitando a finalidade, a boa-fé, e dispensando o consentimento;
internas: aqueles disponíveis aos usuários para o desenvolvimento de suas atividades profissionais, funcionais, contratuais, não se destinando ao uso do público externo, pelos quais os usuários que as manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;
confidenciais: aqueles de acesso restrito em razão de sigilo empresarial e comercial, pelos quais os usuários que as tratam e/ou manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;
confidenciais restritas: informações de acesso restrito a um usuário ou a um grupo de usuários, em geral, associadas ao interesse estratégico do Pereira Gionédis Advogados e/ou do cliente, pelos quais os usuários que as tratam

e/ou manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;

dados pessoais: são os cadastrais e aqueles que identificam ou tornam identificável uma pessoa;
dados pessoais sensíveis: aqueles que revelam a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; filiação sindical, dados relativos à vida sexual ou orientação sexual da pessoa, dados relativos à saúde, dados genéticos e dados biométricos para identificar um ser humano.

O Pereira Gionédis Advogados adotará medidas administrativas e técnicas conforme sua Política de Segurança da Informação e Dados, na qual somente é possível o tratamento de dados pessoais sensíveis, com padrões de segurança para as seguintes situações:

cumprimentode obrigação legal ou regulatória;
exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais;
cumprimento de obrigações e exercício de direitos em matéria de emprego, previdência social e proteção social;
para proteção da vida ou da incolumidade física do titular de dados, incluindo dados médicos com fins preventivos e ocupacionais;
quando houver o consentimento livre e explicito do titular de dados, de acordo com a legislação e/ou contrato;
outros casos previstos na legislação.

23 DESCARTE/ELIMINAÇÃO DE INFORMAÇÃO E DADOS

O Pereira Gionédis Advogados adotará medidas administrativas e técnicas no sentido de que é de responsabilidade do usuário o descarte/eliminação de informações e dados, impressos ou em meio eletrônico, não necessários ao desenvolvimento de sua atividade, de forma a não permitir sua recuperação, nos termos da política de descarte, observando o seguinte:

documentos físicos: deverão ser inutilizados em máquina fragmentadora (trituradora) de papéis, observando-se a legislação e o objetivo do tratamento;
documentos em meio eletrônico: deverão ser inutilizados conforme as medidas administrativas e técnicas nominadas na política de descarte, a fim de garantir a total exclusão de informações e de dados do sistema, cumprindo a legislação e o objetivo do tratamento.

24 UTILIZAÇÃO DA REDE E E-MAILS

A política para utilização da rede e e-mails pelos membros do Pereira Gionédis Advogados adota as seguintes diretrizes:

ingresso controlado na rede interna, com o objetivo de evitar acessos não autorizados ou indisponibilidade das informações e dados;
monitoramento e registro do acesso à internet como forma de inibir a proliferação de programas maliciosos, garantindo a integridade da rede, sistemas, informações e dados internos;
equipamentos, tecnologias e serviços fornecidos aos usuários para o acesso à internet são de propriedade do Pereira Gionédis Advogados, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação, visando assegurar o cumprimento desta Política de Segurança da Informação e Dados;
vedar a divulgação ou o compartilhamento de informações e dados pessoais, tratados pelo Pereira Gionédis Advogados, pelos seus integrantes, em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet como via, de forma deliberada ou inadvertidamente, sob pena, de sofrer penalidades previstas nos procedimentos internos e/ou na forma da legislação, contrato, e termos;

o endereço eletrônico de domínio @pereiragionedis.com.br é destinado para fins profissionais e poderá ser monitorado com o objetivo de bloquear spams, vírus ou outros conteúdos maliciosos que violem a Política de Segurança da Informação e Dados.

25 POLÍTICA DE SENHAS

Sobre a política de senhas adotada pelo Pereira Gionédis Advogados:

a senha é a forma mais convencional de identificação e acesso de usuário, sendo um recurso pessoal e intransferível que protege a identidade do usuário, evitando uma pessoa se passar por outra;
os usuários internos devem criar e usar senhas de no mínimo oito caracteres, as quais devem conter letras, números e caracteres especiais;
o acesso do usuário será imediatamente cancelado nas situações de desligamento, mudança de área, no caso de associados, prestadores de serviços, funcionários, ou quando, por qualquer razão, cessar a necessidade de acesso do usuário ao sistema, à informação ou aos dados.

26 SEGURANÇA DO AMBIENTE DE TI

O Pereira Gionédis Advogados deve adotar medidas, técnicas e administrativas para:

as máquinas (servidores) que armazenam seus sistemas estarem instalados em área protegida, sendo que todos os sistemas ou equipamentos classificados como críticos são mantidos em áreas seguras cujo acesso é devidamente controlado e monitorado por sistemas de alarme, inclusive de

incêndio, portas digitais, senhas fortes, sistemas de proteção de equipamentos, softwares e programas;

o backup de informação e dados observar os procedimentos, checklist e política de backup (cópia de segurança), permitindo recuperar (restaurar) as informações e dados de forma íntegra, em caso de um incidente de segurança;
a entrada ou retirada de quaisquer equipamentos somente ser feita por solicitação do TI, mediante autorização prévia e expressa da AD, através do Comitê Gestor da LGPD, com protocolo, contendo dia, hora, ano, a pessoa que retirou, e a justificativa para a retirada;
o TI manter sempre atualizado o checklist que permite verificar se os processos e procedimentos de segurança da informação e de dados estão sendo realizados de forma a atingir os seus objetivos, estando a verificação deste checklist atualizado a cargo do chefe da TI, com verificação semanal pela(o) sócia(io) do Pereira Gionédis Advogados responsável pela área tecnológica.
POLÍTICA DE INCIDENTE DE SEGURANÇA E PLANO DE CONTINGENCIAMENTO DE RISCOS
O Pereira Gionédis Advogados zela pela segurança e proteção de informações e dados.
Em caso de incidente de segurança, o Pereira Gionédis Advogados observará as medidas administrativas e técnicas constantes em sua política de incidente de segurança e no plano de contingenciamento de riscos.

28 VIOLAÇÃO DA POLÍTICA E PENALIDADES

No caso de não cumprimento das normas estabelecidas nesta Política de Segurança, o sócio, associado, estagiário, funcionário, colaborador, parceiro, terceiro, fornecedor, prestador de serviços poderá sofrer as penalidades previstas em contrato e/ou na legislação.

29 CONSIDERAÇÕES FINAIS

As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação e Dados deverão ser encaminhadas ao endereço de e-mail [email protected] .
Todos os integrantes, sócios, associados, estagiários, funcionários, colaboradores, terceiros, fornecedores, prestadores de serviços são responsáveis por conhecer e compreender todos os documentos orientadores do Pereira Gionédis Advogados e legislação aplicável.
Os líderes são responsáveis por garantir que todos os integrantes de sua equipe compreendam e sigam os documentos orientadores do Pereira Gionédis Advogados sobre informações e dados pessoais.
Os integrantes, sócios, associados, estagiários, funcionários, colaboradores, prestadores de serviços que tenham conhecimento de uma potencial conduta ilegal ou antiética, devem reportá-la através do endereço de e-mail [email protected] .
Esta Política de Segurança da Informação e Dados entra em vigor a partir da data de sua publicação na intranet, ficará disponível para leitura na pasta grupos/PGA – LGPD – POLITICAS – PLANOS, e resumo no site do Pereira Gionédis Advogados, podendo ser alterada a qualquer tempo, pelo Comitê Gestor da LGPD, a partir de orientação da AD.

MENU

Política da segurança da informação e dados

Política da segurança da informação e dados

Política de Segurança da Informação

1. INTRODUÇÃO

2. OBJETIVO

Segurança do Ambiente de Tecnologia da Informação

4.3. Utilização dos Recursos de TI

4.4. BYOD (Bring Your Own Device)

4.5. Acesso, Logins e Senhas

Concessão, Revisão e Cancelamento de Acessos

Requisitos de Senhas

Autenticação Multifator

4.6. Gestão de Chaves e Certificados Digitais

4.7. Redes

Estrutura e Segregação de Redes

Segurança das Redes e Serviços

Monitoramento e Registro

Gestão de Vulnerabilidades e Configurações

Gestão e Inventário de Serviços de Rede

4.8. Acesso à Internet e Uso do E-mail Corporativo

4.9. Trabalho Remoto

Regras Gerais de Segurança

Segurança Durante o Trabalho Remoto

4.10. Softwares andPlataformas

Aquisição

Gestão e Utilização

4.11. Inteligência Artificial

Princípios Norteadores

Diretrizes de Uso

4.12. Proteção Contra Ameaças Físicas e Ambientais

4.13. Gestão de Riscos, Oportunidades e Controle de Mudanças

4.14. Política de Backup e Espelhamento

4.15. Obrigações e Responsabilidades dos Integrantes

Regras Gerais

4.16. Spiders

4.17. Mesa Limpa, Tela Bloqueada e Caderno Fechado

6.18. Acesso Físico dos Integrantes, Visitantes e Terceiros

Controle de Acesso Físico

Áreas Restritas

O acesso a áreas restritas:

Monitoramento e Auditoria

4.18.1. Integrantes

4.18.2. Visitantes

4.18.3. Fornecedores e Prestadores de Serviços

4.19. Contratação de Fornecedores e Prestadores de Serviços

Requisitos de Segurança e Responsabilidade

4.20. Descarte e Eliminação de Dados e Informações

Conceitos:

Métodos de Descarte Dados e Informações

Monitoramento e Revisão

4.21. Incidentes de Segurança

4.22. Treinamentos

4.23. Violações

4.24. Auditorias e Acompanhamento

4.25. Revisão e Atualização

Comunicação e Conscientização

5. Considerações Finais

PEREIRA GIONÉDIS ADVOGADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DADOS

1 INTRODUÇÃO

2 OBJETIVO

3 REFERÊNCIAS

4 GLOSSÁRIO

5 ATRIBUIÇÕES E RESPONSABILIDADES

7 ALTA DIREÇÃO – AD

8 COMITÊ GESTOR DA LGPD

9 OPERADOR

10 AUDITORIA INTERNA

11 ENCARREGADO

12 COMITÊ DE DESASTRE

13 COMITÊ DE MITIGAÇÃO DE RISCOS

14 LÍDERES

16 DIREITOS DOS PROPRIETÁRIOS DE INFORMAÇÃO E TITULARES DE DADOS PESSOAIS

17 SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO – STI

18 RESPONSABILIDADE DOS USUÁRIOS DA INFORMAÇÃO E DADOS

19 PRINCÍPIOS QUE NORTEIAM A INFORMAÇÃO E DADOS NO PEREIRA GIONÉDIS ADVOGADOS

21 TRATAMENTO DA INFORMAÇÃO E DADOS – REQUISITOS PARA O TRATAMENTO

22 CLASSIFICAÇÃO DA INFORMAÇÃO E DADOS

23 DESCARTE/ELIMINAÇÃO DE INFORMAÇÃO E DADOS

4.8. Acesso à Internet **e Uso do E-mail Corporativo**