Portal da Privacidade
Fortics
Segurança da Informação, Proteção de Dados e Privacidade
Última atualização em: 17/11/2020
1. INTRODUÇÃO
O mercado brasileiro está passando pela exigência de novas adequações e, para além disso, a criação de nova cultura. Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), as empresas precisam demonstrar que são capazes de cumprir com os princípios e requisitos de boas práticas. Em conformidade com as principais legislações em matéria de proteção de dados ao redor do mundo, a LGPD também exige que as organizações implementem medidas de segurança técnicas e administrativas para proteger e garantir a privacidade desde a concepção de um produto ou serviço até a sua efetiva entrega e manutenção.
Aliado ao cenário de transformação digital das empresas, surge a necessidade de demonstração aos nossos clientes e parceiros, da aderência da nossa empresa às normas de segurança da informação e legislações de privacidade e proteção de dados pessoais.
Deste modo, visando desde logo o cumprimento do princípio da transparência, elaboramos o presente documento que objetiva demonstrar de forma sucinta, o compromisso da FORTICS TECNOLOGIA com a adoção das melhores práticas de segurança da informação, privacidade e proteção de dados, atenta aos atuais requisitos legais e normativos direcionados ao tema.
Importante salientar que o presente documento não traduz a integralidade da Política de Segurança da Informação, Proteção de Dados e Privacidade da empresa, que está sendo aprimorada com a implementação do Sistema de Gestão de Proteção de Dados e Privacidade. Esse documento é uma DECLARAÇÃO DE CONFORMIDADE e visa demonstrar aos clientes e parceiros os compromissos da FORTICS TECNOLOGIA com a temática da proteção de dados e privacidade, bem como o cumprimento das determinações legais.
2. OBJETIVO
Garantir aos nossos clientes e parceiros que os produtos desenvolvidos pela FORTICS TECNOLOGIA, estão em plena consonância com as normas de segurança da informação e legislações de privacidade e proteção de dados pessoais, com capacidade de auxiliar as empresas parceiras a demonstrar a conformidade legal nos aspectos a eles relacionados.
Para isso, temos como fundamento um conjunto de boas práticas e padrões de segurança técnicas e organizacionais a fim de cumprir e fazer cumprir os requisitos legais, além dos demais requisitos normativos externos e internos, fomentando o desenvolvimento de uma nova cultura corporativa de segurança da informação, privacidade e proteção de dados pessoais.
3. LINHAS GERAIS SOBRE OS ASPECTOS DA PROTEÇÃO DE DADOS E PRIVACIDADE
O Contrato Licenciamento e Atualização dos Módulos de Software não personalizado que integram a plataforma FORTICS TECNOLOGIA possui um Anexo que reflete o acordo da empresa e seus clientes com relação ao tratamento de dados pessoais pela FORTICS TECNOLOGIA, que tratará Dados Pessoais conforme necessário e instruído pelo Controlador de Dados no uso dos produtos licenciados.
A FORTICS TECNOLOGIA CUMPRE, através de suas Políticas Internas de Proteção de Dados e Privacidade, as medidas técnicas e organizacionais apropriadas, de maneira que o Tratamento de Dados Pessoais atende aos requisitos da Lei de Proteção de Dados, as boas práticas de governança e a possibilidade de atendimento dos direitos dos titulares dos dados.
Os dados pessoais tratados não serão utilizados para outros fins que não os especificados em Contrato de Licenciamento e Atualização dos Módulos de Software não personalizado que integram a plataforma FORTICS TECNOLOGIA. Da mesma forma, não serão mantidos por mais tempo que o Controlador de Dados tenha determinado.
Conforme Política de Privacidade e Proteção de Dados Pessoais da FORTICS TECNOLOGIA, os sistemas geram relatórios a partir de logins específicos e da autorização expressa do Controlador, sendo que a FORTICS TECNOLOGIA só visualizará, acessará, editará ou usará os Dados Pessoais tratados com a devida autorização do Controlador, ou quando necessário para cumprir determinação legal ou normativa. Toda intervenção desta natureza gerará um log com as informações necessárias para identificação do interventor, motivação, tratamento efetuado, horário.
A FORTICS TECNOLOGIA garante que as pessoas autorizadas a tratar os Dados Pessoais estão comprometidas com a confidencialidade, em documento escrito, antes de iniciar a atividade. Além disso, garante que seus colaboradores são suficientemente informados e treinados sobre as Leis de Proteção de Dados, bem como outros requisitos relevantes de proteção de dados e estejam familiarizados com as instruções do Controlador.
Por fim, insta destacar que a FORTICS TECNOLOGIA, através da sua Política Interna de Proteção de Dados e Privacidade possui capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento dos Dados Pessoais dos Titulares, em consonância com os requisitos da norma ISO/IEC 27.001:2013 (Segurança da Informação) e ISO/IEC 27.701:2019 (Privacidade). O detalhamento consta na Política de Segurança da Informação da Empresa.
4. COMPROMISSO DE CONFIDENCIALIDADE DE PESSOAL
Os colaboradores da FORTICS TECNOLOGIA são obrigados a assinar um contrato de confidencialidade e a concluir treinamentos obrigatórios de confidencialidade e privacidade, bem como nosso treinamento no código de conduta. Nosso código de conduta trata especificamente das responsabilidades e do comportamento esperado em relação à proteção das informações.
5. DESENVOLVIMENTO E QUALIDADE DE SOFTWARE
A FORTICS TECNOLOGIA possui um processo enxuto e institucionalizado de Desenvolvimento e Qualidade de Software e possui em seu quadro, um grupo seleto de profissionais qualificados que atuam em projetos de alta performance e seguem uma abordagem própria que possibilita uma atuação ágil e ao mesmo tempo aderente aos padrões de qualidade com foco na satisfação do cliente.
| Processo | Atividades |
|---|---|
| Desenvolvimento e Qualidade de Software | Verificação e Aprovação de Requisitos |
| Automação de Testes | |
| Inspeção de código/Análise Estática | |
| Testes Funcionais | |
| Testes de Performance | |
| Testes de Segurança |
Verificação e Aprovação de Requisitos: Atividades formais de inspeção e revisão de requisitos, baseado em padrões estabelecidos e institucionalizados, possibilitando a detecção de desvios e ajustes, além da preocupação em relação aos requisitos não funcionais.
Inspeção de Código/Teste Estático: Análise do código fonte, com o auxílio de ferramentas, de forma automatizada, em relação a aderência aos padrões de codificação adotadas, possibilitando a identificação de possíveis bugs, ameaças e vulnerabilidades.
Testes Funcionais: Atividades de validação dos requisitos em relação ao sistema, visando a simulação real dos cenários de negócio, permitindo a identificação antecipada de defeitos. Os testes funcionais contemplam as atividades relacionadas às mudanças, como testes de regressão e de confirmação.
Testes de Performance: Avalia condições atípicas de utilização do sistema, simulando situações de volume e carga em relação a quantidade de acessos e tempo de resposta definidos no documento de requisitos não funcionais.
Testes de Segurança: Permite avaliar vulnerabilidades em aplicações, redes e serviços frente aos diferentes tipos de ataques de segurança: ataques de negação de serviço (DOS), SQL Injection, ataque man-in-the-middle (MITM) entre outros, e descobrir novas vulnerabilidades antes que sejam exploradas por atacantes.
6. SEGURANÇA DE NOSSOS PRODUTOS
A FORTICS TECNOLOGIA atua de forma sistemática e proativa e tem como preceito fundamental no desenvolvimento de seus produtos, a segurança, a proteção e a privacidade dos dados. Para isso trabalha com uma infraestrutura projetada para fornecer segurança em todo o ciclo de vida do processamento de informações. Nesse modelo de segurança priorizamos ações de proteções de privacidade do usuário final, comunicações seguras entre serviços, além da comunicação particular e segura com clientes na Internet e com os respectivos administradores.
6.1 Privacy by Design e Privacy by Default
Os produtos da FORTICS TECNOLOGIA são desenvolvidos sob a perspectiva da centralidade no usuário. Por isso adora a filosofia e abordagem de incorporação da privacidade nas especificações de design de suas tecnologias. A estrutura Privacy by Design não espera que os riscos de privacidade se materializem, nem oferece remédios para resolver infrações de privacidade depois que elas ocorrerem; visa impedir que eles ocorram. Já na aplicação do Privacy by Default observada no desenvolvimento dos produtos, os dados pessoais são automaticamente protegidos, de modo que as pessoas não precisem fazer esforços para ter a sua privacidade garantida. Assim, nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade – ela é embutida no sistema, por padrão.
7. ISO/IEC 27001/2013
Entendemos que a adoção de um modelo de Sistema de Gestão da Segurança da Informação (SGSI) é fundamental para governança e acompanhamento de todas as atividades relacionadas à segurança, privacidade e proteção de dados dos nossos clientes, colaboradores e fornecedores. Para isso, a FORTICS TECNOLOGIA adota em seu SGSI o atendimento aos requisitos da norma ISO/IEC 27001:2013 e ISO/IEC 27.701:2019. Esta escolha justifica-se pelo reconhecimento internacional que é dado a estas normas, principalmente na União Europeia e EUA
8. CONFORMIDADES HERDADAS
Além do conjunto de práticas e políticas de compliance adotadas rigorosamente pela FORTICS TECNOLOGIA, cabe ressaltar que em virtude da utilização e integração de tecnologias de alguns de nossos parceiros, herdamos também o conjunto de conformidades preconizados nas políticas de segurança e privacidade de terceiros. São eles:
8.1 Conformidades do Google Cloud
Os produtos do Google Cloud são submetidos regularmente a verificações independentes de controles de segurança, privacidade e conformidade, e têm certificações, atestados de conformidade ou relatórios de auditoria de acordo com normas do mundo todo. Abaixo referenciamos toda a documentação e mapeamentos de recursos que cumprem frameworks e legislações em países onde certificações ou atestados formais não são exigidos ou aplicados.
Para oferecer essa segurança, o G Suite e o Google Cloud Platform passam regularmente por diversas auditorias independentes realizadas por terceiros. Para ver uma lista completa das ofertas de conformidade, acesse https://cloud.google.com/security/compliance/.
As respectivas ofertas de conformidade vão além de certificações, atestados e relatórios.
Também são fornecidas orientações, documentações e compromissos legais de referência em relação as legislações, as regulamentações, aos alinhamentos e aos frameworks adotados.
8.2 CONFORMIDADES DO AZURE
Possui mais de 90 certificações de conformidade, incluindo as específicas para regiões e países em todo o mundo, como EUA, União Europeia, Alemanha, Japão, Reino Unido, Índia e China.
Além disso possui 35 ofertas de conformidade específicas para as necessidades dos principais setores, incluindo saúde, governo, finanças, educação, manufatura e mídia. Todas as necessidades de conformidade emergentes também são cobertas: A Microsoft se envolve globalmente com governos, reguladores, organizações de padronização e organizações não governamentais.
