A Ética é o ideal de conduta humana que orienta cada pessoa sobre o que é bom e correto e o que deveria assumir, orientando sua vida em relação a seus semelhantes, visando ao bem comum. A Ética no trabalho orienta não apenas o teor das decisões (o que devo fazer) como também o processo para a tomada de decisão (como devo fazer).
Cada indivíduo tem o seu próprio padrão de valores. Por isso, é importante que cada colaborador faça sua reflexão de modo a compatibilizar seus valores individuais com os valores da empresa, estabelecidos no Código de Conduta e Ética.
A Wide Educacional S.A (“Wide Educação”), espera que todos, em seu relacionamento com colegas de trabalho, clientes, fornecedores, acionistas e sociedade, ajam de acordo com o Código de Conduta e Ética, ora estabelecido.
Em sua atuação o colaborador deve levar em consideração, ainda, as legislações aplicáveis, os Códigos de Conduta e Ética das categorias profissionais e as normas internas da Empresa.
Diante de situações não previstas, indicamos que seja contatado a área de Administrativa (Alessandra Pasim e Tiago Swidzinski) e/ou seu superior imediato.
Buscar um comportamento ético pautado em valores incorporados por todos, por serem justos, pertinentes e de conhecimento comum.
Ser uma referência para a conduta pessoal e profissional de todos os colaboradores da Wide, independentemente do cargo ou função que ocupem, de forma a tornar-se um padrão de relacionamento interno e com os seus públicos de interesse: acionistas, clientes, empregados, sindicatos, parceiros, fornecedores, prestadores de serviço, concorrentes, sociedade, governo e comunidades onde atua.
Reduzir a subjetividade das interpretações pessoais sobre princípios morais e éticos.
A Wide ganhou vida como Ampla em 2007. Desenvolvendo projetos totalmente customizados em Educação Corporativa, mudou o paradigma do mercado ao estudar profundamente os públicos de cada projeto, os conteúdos e as competências que precisavam ser formadas.
Nesses 13 anos de operação, já treinamos mais de um milhão de profissionais em 130 empresas clientes, distribuindo diariamente mais de cinco terabytes de conteúdos via internet e satélite, com o objetivo de alavancar a aprendizagem e os resultados das organizações.
Experiências de aprendizagem personalizadas e eficazes que transformam pessoas, empresas e a sociedade.
Conheça mais em wideedu.com.br
Nosso Propósito: Criar experiências de aprendizagem personalizadas, desenvolvendo soluções transformadoras e eficazes.
Nossos Valores:
Paixão pelo Desenvolvimento Humano;
Olhar transformador;
Trabalho colaborativo;
Relacionamento transparente;
Reconhecimento e valorização da nossa Gente;
Respeito à diversidade;
Accountability;
Conduta Ética.
Cliente satisfeito é o objetivo principal da Wide. Portanto, é princípio básico da nossa empresa servir ao Cliente, com ênfase na qualidade, na produtividade e na inovação, com responsabilidade social e com pleno respeito às leis e regulamentos de cada região.
Os Clientes devem ser atendidos com cortesia e eficácia, sendo-lhes oferecidas informações claras, precisas e transparentes. O Cliente deve obter respostas, ainda que negativas, às suas solicitações, de forma adequada e no prazo esperado.
Deverão ser consideradas como premissas básicas:
Não copiar ou repassar quaisquer dados confidenciais de clientes que venha a ter acesso;
Ter uma escuta atenta ao ouvir os clientes internos e externos;
Tratar com empatia e com entusiasmo;
Transmitir segurança e credibilidade em tudo o que faz;
Não utilizar termos muito informais, diminutivos ou palavras ofensivas;
Não finalizar o contato com o cliente, seja ele interno ou externo, sem que tenha certeza de que sua comunicação foi clara e assertiva.
Todos os colaboradores da Wide devem ter como foco principal de suas ações a satisfação total dos Clientes.
O compromisso com a satisfação dos clientes deve refletir-se no respeito aos seus direitos e na busca por soluções que atendam a seus interesses, sempre em consonância com os objetivos e valores da Wide.
A Wide contrata fornecedores, prestadores de serviço e terceirizados que zelem pelo sigilo das informações e que não obtenham vantagens inadequadas como decorrência desta relação. Nenhum compromisso implícito ou explícito em relação à empresa pode ser assumido sem prévia autorização.
A escolha e contratação de fornecedores, prestadores de serviço e terceirizados devem sempre ser baseadas em critérios técnicos, profissionais, comerciais, éticos e nas necessidades da empresa, devendo ser conduzidas por meio de processos pré-determinados, tais como concorrência ou cotação de preços, que garantam a melhor relação custo/benefício.
Priorizaremos fornecedores e parceiros que sejam proativos e solucionadores, tragam visão consultiva, ética, tenham agilidade, pontualidade de entrega e atendam as normas da Legislação vigente.
É expressamente vedado a todos os colaboradores da Wide efetuar qualquer pagamento impróprio, duvidoso ou ilegal, ou favorecer, pela concessão de benefícios indevidos, fora das práticas usuais do comércio (clientes, fornecedores e concorrentes) em detrimento dos demais.
Caso um colaborador deseje realizar negócios em nome da Wide com um de seus familiares ou pessoas com as quais seus familiares tenham estreito relacionamento pessoal, ou mesmo com empresas em que tais pessoas sejam sócias, possuem participação relevante em companhias ou exerçam algum cargo de administração, deverá ser autorizado pela Diretoria da Wide. O conflito de interesses ocorre quando um integrante influencia ou pode influenciar uma decisão da Wide que possa resultar em algum ganho pessoal, direto ou indireto, para si, membros da sua família ou amigos. Os colaboradores devem zelar para que suas ações não conflitem com os interesses da Wide, nem causem dano à sua imagem e reputação. Ao tratar com clientes, fornecedores, empresas contratadas ou concorrentes, tanto atuais como potenciais, os colaboradores devem dar prioridade aos interesses da Wide, sempre renunciando a possíveis vantagens pessoais. As transações de negócio devem ser conduzidas de acordo com os interesses da Wide.
Ninguém, seja pessoa física, entidade comercial ou empresa, que tenha relacionamento com algum colaborador da Wide poderá beneficiar-se de maneira inapropriada em razão da posição desse profissional dentro da Wide. Além disso, nenhum colaborador poderá beneficiar-se de sua função na empresa para obter benefícios pessoais. É vetado a todo colaborador o exercício de qualquer atividade que esteja em conflito com os interesses da Wide, como identidade ou similaridade do negócio, superposição do horário de trabalho entre outras, que poderão ser definidas pelos gestores. Devem obrigatoriamente informar aos seus Gestores/Diretores quando alguma atividade particular possa interferir ou conflitar com os interesses da Wide, esclarecendo sua natureza e extensão.
Qualquer colaborador, ou seu dependente, também são proibidos de receber presentes, pagamentos ou outros benefícios por parte de qualquer pessoa física ou jurídica com quem a empresa mantenha relações de negócio.
Os conflitos de interesse podem surgir em diversas situações. Não poderemos citar todas e nem sempre são fáceis de serem identificadas. Em caso de dúvida procure a orientação do seu gestor ou procure a área Administrativa para ajudá-lo a tomar qualquer decisão. Apenas como exemplo, abaixo estão algumas situações em que o colaborador estará diante de um conflito de interesses:
Aceitar benefícios, diretos ou indiretos, que possam ser interpretados como retribuição ou para obter posição favorável da Wide em negócios de interesse de terceiros;
Sugerir ou aceitar participação, comissão ou qualquer outra forma de remuneração pessoal relacionadas a qualquer transação ou negócio envolvendo a empresa e seus fornecedores, prestadores de serviços, terceirizados, clientes e esfera pública que não estejam devidamente especificadas em sua relação trabalhista;
Receber ou solicitar presentes, em seu nome ou no de sua família, que caracterizem comprometimento na operação comercial ou na negociação com fornecedores, clientes ou terceiros com quem a empresa esteja realizando negócios;
Aceitar tarefa ou responsabilidade externa que afete o seu desempenho na Wide;
Utilizar recurso da Wide para atender a interesses particulares;
Manter relações comerciais privadas pelas quais venha a obter privilégios, em razão das suas atribuições na Wide, com empresas clientes, fornecedoras, prestadoras de serviço ou concorrentes da Wide;
Contratar familiares, ou solicitar que outro empregado, Cliente ou fornecedor o façam, fora dos princípios estabelecidos de competência e potencial; Utilizar recursos da Wide (apostilas, transparências, informações, computadores, impressoras, equipamentos, horário de trabalho etc.) para atender a interesses particulares;
Aceitar convites de caráter pessoal para hospedagem, viagens ou outras atrações que possam gerar danos à imagem e/ou aos interesses da Wide. Convites para eventos cujas despesas sejam custeadas por clientes, fornecedores, terceiros, órgãos governamentais e outros somente poderão ser aceitos se examinados e aprovados por escrito pela Diretoria;
Deixar influenciar-se na tomada de uma decisão em consequência de relações pessoais com clientes, fornecedores, parceiros e concorrentes;
Manter relações comerciais privadas com clientes, fornecedores, parceiros e concorrentes da Wide as quais venham a obter privilégios pessoais em razão de cargo ou função ocupada.
A competitividade dos produtos e serviços oferecidos pela Wide deve ser exercida com base na concorrência leal. A empresa utiliza práticas comerciais éticas na sua relação com a concorrência, sempre respeitando as leis de nosso País. Não devem ser feitos comentários que possam afetar a imagem dos concorrentes ou contribuir para a divulgação de boatos sobre eles, devendo o concorrente ser tratado com o respeito com que a Wide espera ser tratada. É expressamente proibido fornecer informações estratégicas, confidenciais ou, sob qualquer forma, prejudiciais aos negócios da Wide a quaisquer terceiros, incluindo, mas não se limitando, aos concorrentes.
A Wide está comprometida com a utilização prudente dos recursos financeiros. A empresa age de acordo com as prescrições legais e não mede esforços para manter a atualidade e transparência das informações devidas.
As relações da Wide com o poder público são demarcadas pela ética, pela legislação e pela transparência permanente. É dever de todos os colaboradores conhecerem e cumprirem a legislação aplicável às suas atividades vigente no país. As informações para órgãos governamentais devem ser exatas e completas, em total consonância com o cumprimento das leis e das normas vigentes. Diante da ação de órgãos arrecadadores e fiscalizadores, os colaboradores da Wide devem somar esforços para atender às solicitações dos mesmos, disponibilizando as informações solicitadas.
As campanhas publicitárias e ações de marketing devem valer-se, exclusivamente, de conteúdos não enganosos, socialmente aceitos, compatíveis com os bons costumes e a livre concorrência, e em conformidade com as leis vigentes.
Os recursos de tecnologia da informação da Wide devem ser utilizados com responsabilidade e de modo coerente com este Código e todas as diretrizes da Wide, incluindo as relacionadas à tecnologia da computação, proteção de dados, informações confidenciais e direitos de propriedade intelectual específicos.
Os recursos de tecnologia da informação incluem todos os equipamentos de informática possuídos, arrendados ou alugados pela Wide, independentemente da localização física, incluindo, mas não se limitando a computadores pessoais (PC’s), dispositivos de computadores portáteis (notebooks, tablets, discos de armazenagem), smartphones, servidores de rede, acesso à internet e Intranet e os dispositivos de acesso ao e-mail. Isso inclui, ainda, correio de voz e outros sistemas de voz, e informações obtidas ou baixadas da Internet e/ou difundidas através dela. Todos os recursos de tecnologia da informação da Wide são de propriedade da Wide, incluindo as informações criadas, armazenadas ou transmitidas utilizando tais recursos. A única informação não considerada propriedade da Wide é a obtida durante o uso pessoal limitado dos recursos de tecnologia da informação. Os usuários dos recursos de tecnologia da Informação da Wide não deverão presumir nenhum direito à privacidade pessoal ou confidencialidade ao utilizar esses recursos. A Wide se reserva o direito de monitorar o equipamento, sistemas e atividades de rede, incluindo, mas não se limitando a e-mail, correio de voz, uso da Internet e qualquer informação armazenada, em circunstâncias apropriadas e de acordo com as leis vigentes. Adicionalmente, para a manutenção de operações, segurança, negócios, requisitos legais ou regulamentares, o pessoal autorizado ou prestadores de serviço terceirizado terão acesso irrestrito às informações dos recursos de tecnologia da informação da empresa. A Wide se reserva o direito de cancelar o acesso de qualquer usuário aos recursos de tecnologia da informação a qualquer momento, com ou sem notificação prévia.
A Lei dos Direitos Autorais proíbe a instalação, cópia, venda ou distribuição de softwares e seus manuais, arquivos de música e vídeo, sem que exista uma licença de uso legalmente constituída, sendo o produto sem essas características identificado como PIRATA. É terminantemente proibida pela Wide, em suas instalações, a utilização de softwares piratas. Qualquer demanda de software na empresa deverá ser efetuada através do setor competente, devendo este software ser instalado somente por funcionários capacitados e contratados para esta atribuição. O uso de software pirata poderá representar a caracterização de falta grave pelo colaborador ou prestador, ocasionando a rescisão de seu contrato de trabalho. Regularmente, o setor que controla o sistema de informática da Wide realizará auditorias e levantamento do sistema/ softwares instalados nos diversos equipamentos em uso. Constatada a existência de software pirata em algum dos equipamentos, este será imediatamente desinstalado.
O correio eletrônico é uma ferramenta poderosa de trabalho disponibilizada pela Wide para uso no exercício de suas funções e que, eventualmente, pode também ser utilizada com propósitos pessoais. Convém utilizar com critério. Seja ético e tenha bom senso. Recebemos diariamente piadas, mensagens solicitando ajuda, correntes, mensagens de vírus. Não devemos repassar tudo o que recebemos aos nossos colegas e amigos.
Avalie sempre antes de repassar esses e-mails. Além de desperdiçar seu tempo e ocupar espaço nos servidores, poderá estar propagando vírus para outras pessoas. Nunca encaminhe qualquer mensagem alertando sobre vírus. Se você receber esse tipo de spam, encaminhe-o ao responsável pelo Suporte Técnico de Informática para que o departamento competente primeiro verifique a procedência da informação para em seguida tomar as providências cabíveis. Caso você tenha amigos que lotam a sua caixa postal com mensagens não adequadas, oriente-os sobre as normas da Wide ou peça que encaminhe para um e-mail pessoal.
Todos os colaboradores devem:
Cumprir as obrigações do seu cargo com fiel observância da política estabelecida pela empresa;
Manter-se adequadamente informados da política da empresa sobre princípios morais, legais e éticos;
Agir com rigor quanto à pontualidade e assiduidade;
Cumprir com a carga horária estipulada no seu contrato de trabalho. Os horários excedentes de trabalho serão registrados por banco de horas conforme regimento da convenção coletiva e política interna.
Comprometer-se com a compensação do banco de horas que deve ocorrer em comum acordo entre o colaborador e o seu gestor, seguindo política interna.
A confiança e a dedicação à Wide devem nortear as relações com nossos colegas de trabalho. Temos a responsabilidade de tratar-nos com respeito e dignidade. Nenhum indivíduo ou departamento deve permitir que suas prioridades prevaleçam sobre as prioridades da Wide.
No ambiente de trabalho a Wide espera dos seus colaboradores comprometimento, muito respeito, espírito de equipe, cordialidade no trato com todos, confiança, humildade e honestidade, independente de posição hierárquica, cargo ou função.
Cada colaborador é responsável por garantir aos demais um ambiente de trabalho livre de insinuações ou restrições de qualquer natureza, evitando-se possíveis constrangimentos.
Em caso de eventual relacionamento entre colaboradores, os envolvidos devem comunicar prontamente a liderança imediata e recursos humanos a fim de analisar se há ou não conflito de interesses.
Os ativos da Wide incluem seu tempo de trabalho e o produto do seu trabalho, bem como os equipamentos, computadores e softwares, informações, marcas e nome da Wide. Esses ativos destinam-se ao uso da Wide, e não ao uso pessoal, sendo assim, o bom senso deve prevalecer.
É preciso valorizar o patrimônio da empresa através de cuidados específicos, determinados para cada equipamento, bem como zelar pela sua correta manutenção, preventiva e corretiva. Compras, vendas, baixas ou alienações devem ser realizadas de acordo com as normas internas.
Não é permitido usar os ativos da Wide em seu benefício pessoal, nem em benefício de qualquer outro, que não o da Wide.
O uso abusivo e indevido de ativos da Wide pode ser considerado furto, e resultar em rescisão do contrato de trabalho ou processo criminal.
O uso dos ativos da empresa deve ser feito mediante permissão de seu gestor, incluindo informações, produtos de trabalho ou marca.
Os sistemas e equipamentos de informática da Wide destinam-se somente ao uso Profissional e, nunca devem ser usados para negócios externos, atividades ilegais, jogo ou pornografia. O colaborador é pessoalmente responsável não somente pela proteção das propriedades da Wide, que lhe são confiadas, como também por ajudar a proteger, de modo geral, o patrimônio da empresa.
O colaborador deve estar alerta para quaisquer situações ou incidentes que possam acarretar perda, uso inadequado ou furto de bens, relatando toda e qualquer irregularidade ao setor de recursos humanos, informando tais situações, tão logo cheguem ao seu conhecimento.
São proibidas as imagens e vídeos captados por celulares ou videoconferência, salvo quando autorizado pelas Partes.
As informações confidenciais da Wide (como estratégias de negócios, projetos ainda não anunciados, resultados de pesquisas, projeções financeiras ou comerciais, estatísticas de vendas, campanhas de marketing, lista de clientes, etc.) não podem ser fornecidas ou divulgadas, sem autorização prévia da Diretoria.
Os colaboradores da Wide não devem compartilhar essas informações com quem quer que seja fora da empresa, inclusive família e amigos, sem expressa autorização da Diretoria.
Todo colaborador é individualmente responsável por manter o sigilo das informações que não sejam de domínio público e não utilizar tais informações para ganho pessoal ou para terceiros. O não cumprimento destas regras poderão configurar-se como crime e serão tratadas na forma da lei.
A Wide, bem como seus conselheiros, diretores, colaboradores, agentes ou qualquer pessoa agindo em nome da contratada ou das pessoas anteriormente especificadas não pode:
A Wide deverá ter conduzido seus negócios em conformidade com a legislação anticorrupção aplicável às quais ele pode estar sujeito, bem como ter instituído e mantido, bem como continuar a manter políticas e procedimentos elaborados para garantir a contínua conformidade com referidas normas e por meio do compromisso e da garantia mencionada aqui (conjuntamente denominadas “Obrigações Anticorrupção”).
A Wide deverá informar imediatamente, por escrito, detalhes de qualquer violação relativa às Obrigações Anticorrupção que eventualmente venha a ocorrer. Esta é uma obrigação permanente e deverá perdurar até o término do presente instrumento.
A Wide deverá: (a) sempre cumprir estritamente as Obrigações Anticorrupção; (b) monitorar seus colaboradores, agentes e pessoas ou entidades que estejam agindo por sua conta ou em nome de outrem para garantir o cumprimento das Obrigações Anticorrupção; e (c) deixar claro em todas as suas transações em nome do outrem que exige o cumprimento às Obrigações Anticorrupção.
Os colaboradores têm uma imagem a preservar junto a clientes, fornecedores e comunidade. Por isso, devem sempre oferecer o melhor de si a cada momento, tendo para com todos cortesia, atenção e solicitude, além de mostrar serenidade, eficiência, otimismo e acessibilidade. É fundamental também o cuidado com a imagem pessoal em redes sociais (mensagens, sites de relacionamento, blogs, fotos, vídeos, etc.), visto que os colaboradores mantêm um vínculo com a empresa da qual faz parte.
A Wide entende que cada colaborador é responsável pelo que expõe de si e pelo que é exposto por terceiros. Portanto, é essencial construir uma reputação com cautela e respeito, considerando que as informações se perpetuem no meio virtual de forma inadequada ou desconfortável para os envolvidos.
É incompatível com um ambiente de trabalho saudável e harmonioso qualquer tipo de ofensa, difamação, restrição à liberdade de expressão, discriminação racial, assim como o assédio moral ou sexual.
A sustentabilidade é um valor, e a Wide espera que todos os colaboradores busquem continuamente em suas atividades priorizar produtos, matérias-primas, fornecedores e materiais que estejam de acordo com este conceito.
A Wide também estimula que todos os seus públicos tenham como base no desenvolvimento dos seus negócios, e no dia-a-dia, atitudes que sejam sustentáveis, que contribuam para a reciclagem, a diminuição da geração de resíduos, a economia de água, de energia elétrica, entre outras ações, que serão promovidas eventualmente através de campanhas de conscientização. A atuação da Wide busca atingir níveis crescentes de competitividade e rentabilidade, sem descuidar da responsabilidade social. Esse compromisso se traduz pela valorização dos colaboradores como seres humanos, pela priorização às questões de saúde, segurança e preservação do meio ambiente.
Estímulo à atividade de voluntariado, doações, patrocínios e outras formas de apoio ao desenvolvimento e à melhoria das condições de vida das comunidades onde a Wide está localizada, devem ser praticadas conforme diretrizes traçadas pela Wide.
A Wide não é condescendente com a exploração do trabalho escravo ou infantil, nem com quaisquer outras formas de degradação das condições humanas de trabalho.
São repudiados quaisquer tipos de discriminação nos processos de recrutamento, seleção, treinamento, remuneração, promoção ou qualquer outro fator que esteja relacionado ao ambiente de trabalho. A ocupação de funções/cargos é sujeita a procedimentos de avaliação, bem como, a processos internos ou externos de seleção, e não pode ser assegurado, antecipado ou arbitrado a ninguém. Toda seleção será encaminhada visando o melhor aproveitamento das pessoas, com critérios justos e racionais.
A área Administrativa priorizará, sempre que possível, a seleção interna, e informará os colaboradores sobre os procedimentos e as respectivas exigências quanto ao perfil e responsabilidades do cargo ou função correspondente.
A Wide acredita que a capacitação de suas equipes é a base para o sucesso, tanto da Wide quanto a de seus colaboradores. O conhecimento é altamente valorizado pela Wide, e esta espera que seus colaboradores o valorizem da mesma forma.
A empresa orienta que todo colaborador treinado e/ou que participa de cursos, deverá repassar ou multiplicar os conhecimentos adquiridos a outros colegas, para que assim o conhecimento seja disseminado, a fim de que seja construído um ambiente mais técnico e produtivo para todos.
Espera-se de todos os colaboradores comprometimento e participação ativa nos cursos, treinamentos e palestras oferecidos. Portanto, busca-se a aplicação prática e imediata dos conhecimentos adquiridos.
O departamento Administrativo está constantemente atualizando suas políticas, a fim de adequá-las às melhores práticas do mercado e otimizar a gestão interna.
A revisão das políticas e atualização quando necessária ocorre anualmente, ou sempre que surja nova legislação ou necessidade interna.
Todas as políticas e formulários competentes estão disponíveis em sua íntegra no link https://wideedu.com.br/politicas para consulta de todos os colaboradores da Wide.
As políticas Administrativas vigentes atualmente são:
Código de Ética e Conduta – CO001V2;
Política de Privacidade – PO002V2;
Política da Segurança da Informação – PO003V2;
Política de Utilização dos Cookies – PO004V2;
Política de Resposta à Incidentes – PO005V2;
Adotamos desde 15 de março de 2019, a modalidade de teletrabalho (home office), onde todos os colaboradores passaram a trabalhar remotamente.
Estão descritas neste Código de Ética e Conduta as diretrizes de trabalho de nossa empresa. Elas revelam o ideal de uma atuação empresarial focada no conceito de responsabilidade social corporativa, que prioriza a ética e a transparência em todas as suas relações. As diretrizes deste Código permitem avaliar grande parte das situações, e minimizar a subjetividade das interpretações pessoais sobre princípios morais e éticos, mas não detalham necessariamente todas as situações que podem surgir no dia-a-dia de cada colaborador. Assim, em caso de dúvidas na aplicação das diretrizes deste Código, o Gestor ou a Diretoria deverão ser consultados.
O colaborador que violar uma conduta, prática ou política da Wide, ou que permita que um liderado o faça, estará sujeito a ação disciplinar, inclusive a de ser dispensado, com ou sem justa causa. O colaborador que tiver conhecimento de violação a qualquer aspecto deste Código, por parte de qualquer pessoa, deverá levar tal fato ao conhecimento do Gestor de sua área ou da Diretoria.
No que tange aos dados pessoais, a realização das atividades desenvolvidas pela Wide é viabilizada por meio do acesso a plataformas digitais e à informação, que incluem os dados pessoais de Participantes e Beneficiários coletados e mantidos pela Wide. Assim, é fundamental resguardar as operações da Wide relacionadas à Segurança da Informação, bem como a proteção de direitos fundamentais de liberdade e de privacidade de cada pessoa. Portanto, em consonância com a Lei nº 13.709/18 – Lei Geral de Proteção de Dados (LGPD) e alterações posteriores, os membros dos Órgãos Estatutários da Wide, os Empregados, os Estagiários, os prestadores de serviços e os contratados deverão efetuar o tratamento dos dados pessoais dos Participantes e dos Beneficiários com boa-fé, observando a finalidade para a qual se destinam estes dados e a necessidade deste tratamento. Na condução das atividades da Wide, se for indispensável o compartilhamento dos dados pessoais dos Participantes e Beneficiários a terceiros, o Empregado, membro dos Órgãos Estatutários, Estagiário, prestador de serviço ou contratado deverá se certificar se foram adotados os cuidados com a preservação da confidencialidade destes dados e estrita finalidade para a qual foram compartilhados. Nos demais casos, é terminantemente proibido o compartilhamento dos dados pessoais mantidos pela Wide.
O Comitê de Ética e Conduta é constituído por Diretores e Gestores da empresa, e é responsável por tratar as situações de conflito e ocorrências relacionadas ao não cumprimento deste código. O Comitê receberá todas as dúvidas ou de necessidade de interpretação na aplicação deste Código, de forma direta ou através dos canais de comunicação disponibilizados pela empresa. Nos casos de suspeita de violação a este Código, o Comitê poderá ser chamado a apreciar os fatos, contribuir para o seu esclarecimento e formular sugestões de solução para os problemas eventualmente ocorridos ou existentes. Caberá ainda ao Comitê de Ética promover a discussão e efetuar a revisão periódica deste Código.
A Wide disponibiliza aos colaboradores, fornecedores, clientes e demais partes interessadas, um canal de comunicação direto com o Administrativo e confiável para que possam ser relatadas situações identificadas de desvio ao atendimento deste Código.
Sendo assim, caso seja constatada alguma atitude que seja conflitante com este Código, qualquer pessoa poderá acessar este canal e fazer o seu relato, de forma sigilosa, sendo preservada a sua identidade.
Estes canais possuem [PHD8] profissionais capacitados (incluindo psicólogos e advogados), que orientarão as pessoas sobre a forma adequada de comunicar os fatos. Todos os relatos serão tratados pelo Comitê de Ética e Conduta, e terão uma devolutiva de atendimento, preservando a identidade de quem fez o relato. A empresa espera que todos contribuam com a consolidação deste Código, e conta com o empenho de todos na informação de situações que possam estar afetando o atendimento das premissas aqui descritas.
Acesse https://wideedu.com.br/politicas ou envie uma mensagem direta ao endereço de e-mail: falecom@wideedu.com.br.
Documento: Código de Ética e Conduta – CO001V2
Código: CO001V2
Versão: V2
Data de criação: 30/09/2021
Data de revisão: 07/12/2023
1. Informações Gerais
A presente Política de Privacidade contém informações a respeito do modo como a Wide Educação trata, total ou parcialmente, de forma automatizada ou não, os dados pessoais que porventura sejam necessários para os serviços realizados ou contratados.
O objetivo é esclarecer aos interessados acerca dos tipos de dados que são coletados, dos motivos da coleta e da forma como o titular do dado poderá consultar, atualizar ou requerer a exclusão dessas informações.
Essa Política de Privacidade foi elaborada em conformidade com a Lei Federal n. 12.965 de 23 de abril de 2014 (Marco Civil da Internet) e com a Lei Federal n. 13.709, de 14 de agosto de 2018 (Lei de Proteção de Dados Pessoais), doravante denominadas simplesmente como “legislações aplicáveis”.
Essa Política de Privacidade poderá ser atualizada em decorrência de eventual atualização normativa, razão pela qual se convida o titular do dado a consultar periodicamente esse documento.
Dados Pessoais são todas as informações que permitem a sua identificação. Como por exemplo, seu nome, CPF, e-mail, telefone, entre outros.
Dados Pessoais Sensíveis são dados pessoais relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a Você.
Tratamento de Dados Pessoais significa qualquer operação, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, realizada com dados pessoais.
Controlador/Operador: WIDE EDUCACIONAL S.A., com sede na Cidade de Barueri, Estado de São Paulo, à Rua Alameda Rio Negro, nº 500, Andar 22 – Conj 2208 – Torre 01, bairro Alphaville Industrial, CEP 06.454-000, inscrita no CNPJ/MF sob o nº 06.229.342/0001-64, representada pelo Compliance Chief Office – Sr. Tiago Swidzinski da Silva, e-mail: tiago.silva@wideedu.com.br.
Operador do servidor que hospeda dados: AMAZON AWS SERVICOS BRASIL LTDA, com sede na cidade de São Paulo, à Avenida Presidente Juscelino Kubitschek, n° 2.041 – 18° e 19° andar – Vila Nova Conceição – São Paulo – SP – CEP: 04.543-000.
DPO: Sr. Felipe Galesi Raimo – e-mail: felipe.raimo@wideedu.com.br.
2. Princípios
A Wide Educação, assim como seus Fornecedores, Prestadores de Serviços e Terceiros envolvidos se comprometem a cumprir as exigências previstas na legislação aplicável, em respeito aos seguintes princípios:
3. Tratamento de Dados Pessoais
A coleta de dados pessoais dependerá do consentimento do titular, sendo esse dispensável nas hipóteses abaixo:
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o usuário, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular dos dados que exijam a proteção dos dados pessoais.
Dentre os vários titulares de dados com os quais a Wide Educação se relaciona (acionistas, clientes, colaboradores, fornecedores e parceiros), podem ser coletados os dados pessoais conforme descritos abaixo:
Nome;
Data de nascimento;
Biometria (restrito a colaboradores);
Reconhecimento facial (restrito a colaboradores);
Endereço de e-mail;
Endereço postal;
Número de telefone;
Número de CPF;
Número de RG;
Empresa, cargo/função
Dados relativos à sua localização.
Eventualmente, outros tipos de dados não previstos expressamente nesta Política de Privacidade poderão ser coletados.
A Wide Educação reconhece que os Dados Pessoais Sensíveis estão sujeitos a um maior rigor legal e, portanto, exigem maior proteção técnica e organizacional. Assim, quando realizadas as operações de Tratamento de Dados Pessoais Sensíveis, deverá garantir que as proteções técnicas apropriadas, aptas a manter a integridade, confidencialidade e segurança destas informações sejam implementadas.
A Wide Educação concorda em realizar o Tratamento de Dados Pessoais Sensíveis apenas quando indispensável, conforme as hipóteses do art. 11, inciso II, da Lei Geral de Proteção de Dados.
O tratamento de dados pessoais ocorre, principalmente, para que seja possível viabilizar a relação comercial e cumprir obrigações contratuais e legais.
As informações de clientes, fornecedores, parceiros, os quais são coletados, estão relacionados a seguir:
O nome e informações de contato;
Razão social da empresa, endereço, CNPJ;
Qualificação completa dos representantes legais das empresas.
O caráter da comunicação;
O intuito da interação e a ação que nós tomamos em resposta à solicitação;
Qualquer ação que o contato realize (por exemplo, se solicita recebimento de documentações).
Nota: Os dados do cliente, fornecedores e parceiros, poderão ser complementados por meio de coletas em mídias sociais ou em outras fontes digitais para análises e formação da base de prospecção.
Todos os dados são necessários e a falta de fornecimento poderá impossibilitar o fornecimento de serviços, portanto, são exclusivos para a finalidade de interação com o requisitante para fins comerciais e de promoção dos nossos produtos e serviços.
Para o cumprimento de contratos de trabalho (colaboradores), de fornecimento, ou de prestação de serviços entre Wide Educação e terceiros serão coletados e armazenados dados pessoais relacionados ou necessários à sua execução.
As informações coletadas dos colaboradores serão especificadas em cada contrato de trabalho.
A coleta de dados é realizada por meio de e-mails, whatsapp, gravações em vídeo conferências ou formulários específicos.
Os dados pessoais coletados terão sempre por finalidade atender ao disposto no objeto das respectivas contratações, devendo facilitar, agilizar e cumprir os compromissos estabelecidos entre as Partes.
O tratamento de dados pessoais para finalidades não previstas nesta Política de Privacidade somente ocorrerá mediante consentimento do titular do dado ou premissas estabelecidas no art. 7º da Lei Federal n. 13.709/2018.
Os dados pessoais coletados pela Wide Educação serão utilizados e armazenados durante o tempo necessário para a prestação do serviço ou para que as finalidades elencadas na presente Política de Privacidade sejam atingidas, considerando os direitos dos titulares dos dados e dos controladores.
De modo geral, os dados serão mantidos pelo prazo de 02 (dois anos). Findado o período de armazenamento dos dados pessoais, estes serão excluídos de nossas bases de dados ou anonimizados, ressalvadas as hipóteses legalmente previstas no artigo 16 Lei Geral de Proteção de Dados, a saber:
Isto é, informações pessoais sobre você que sejam imprescindíveis para o cumprimento de determinações legais, judiciais e administrativas e/ou para o exercício do direito de defesa em processos judiciais e administrativos serão mantidas.
O armazenamento de dados coletados pela Wide Educação reflete o nosso compromisso com a segurança e privacidade dos seus dados. Empregamos medidas e soluções técnicas de proteção aptas a garantir a confidencialidade, integridade e inviolabilidade dos seus dados. Além disso, também contamos com medidas de segurança apropriadas aos riscos e com controle de acesso às informações armazenadas.
Durante o relacionamento, a Wide Educação compartilhará os dados pessoais com algumas entidades.
Prestadores de serviços: empresas terceiras que nos auxiliam na operacionalização do negócio. Nesta hipótese, apenas colaboradores selecionados estarão autorizados a acessar dados pessoais para as finalidades específicas. Ademais, estes terceiros serão obrigados a mantê-los confidenciais e seguros;
Agência bancárias: empresas terceiras que realizam o pagamento de prestadores de serviços e colaboradores;
Contabilidade: folha de pagamentos, férias, 13° salário, afastamentos temporários pelo INSS;
Medicina do Trabalho: ASO admissional e ASO demissional.
Benefícios: Vale alimentação, Vale refeição, Seguro de vida, plano odontológico e plano de saúde.
4. Direitos do titular
A Wide Educação assegura a seus usuários/clientes seus direitos de titular previstos no artigo 18 da Lei Geral de Proteção de Dados. Dessa forma, você pode, de maneira gratuita e a qualquer tempo:
Confirmar a existência de tratamento de dados, de maneira simplificada ou em formato claro e completo.
Acessar seus dados, podendo solicitá-los em uma cópia legível sob forma impressa ou por meio eletrônico, seguro e idôneo.
Corrigir seus dados, ao solicitar a edição, correção ou atualização destes.
Limitar seus dados, quando desnecessários, excessivos ou tratados em desconformidade com a legislação através da anonimização, bloqueio ou eliminação.
Solicitar a portabilidade de seus dados, por meio de um relatório de dados cadastrais que a Wide Educação trate a seu respeito.
Eliminar seus dados tratados a partir de seu consentimento, exceto nos casos previstos em lei.
Revogar seu consentimento, desautorizando o tratamento de seus dados.
Informa-se sobre a possibilidade de não fornecer seu consentimento e sobre as consequências da negativa.
Para exercer seus direitos de titular, você deve entrar em contato com a Wide Educação por meio dos seguintes meios disponíveis:
De forma a garantir a sua correta identificação como titular dos dados pessoais objeto da solicitação, é possível que solicitemos documentos ou demais comprovações que possam comprovar sua identidade. Nessa hipótese, você será informado previamente.
5. Papéis e responsabilidades no tratamento dos dados pessoais
O controlador (Wide Educação) determina as finalidades, os mecanismos e assume a responsabilidade final pelos dados pessoais tratados na organização.
Em algumas situações, a Wide Educação atua como operador, tratando dados pessoais fornecidos por controladores externos (clientes), assumindo a responsabilidade de proteção e privacidade em atendimento às obrigações legais, bem como, as diretrizes lícitas dos operadores (clientes).
O profissional designado como encarregado de proteção de dados (DPO) tem a responsabilidade de informar, aconselhar e difundir a cultura de privacidade, assim como receber reclamações e comunicação de titulares, prestar esclarecimentos, adotar providências e interagir com a ANPD.
6. Segurança da Informação
A Wide Educação, adota medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Seguimos os padrões em gerenciamento de segurança da informação para proteger informações confidenciais, tais como informações financeiras, propriedade intelectual e qualquer outro dado pessoal, dentre as medidas:
Apenas pessoas autorizadas têm acesso aos dados pessoais;
O acesso aos dados pessoais é realizado somente após o compromisso de confidencialidade e proteção de dados.
Ressalta-se que, apesar de todos os protocolos de segurança, poderá ocorrer ataques cibernéticos de hackers, ou em decorrência de negligência ou imprudência do próprio usuário/cliente.
Em caso de incidente de segurança, que possa gerar risco ou dano relevante a todos, a Wide Educação se compromete, a comunicar ao titular e à ANPD, em prazo de até 48 (quarenta e oito) horas, os casos de violações que tenham potenciais de causar risco ou dano relevantes.
7. Dados de Navegação (cookies)
Os dados de navegação (cookies) estão disponíveis na Política de Utilização dos Cookies.
8. Transferência internacional de dados
Alguns terceiros com quem compartilhamos seus dados podem ser localizados ou possuir instalações localizadas em países estrangeiros.
A política de privacidade do operador do servidor que hospeda o site está prevista no link: https://aws.amazon.com/pt/compliance/data-privacy-faq/.
Neste sentido, a Wide Educação se compromete a sempre adotar eficientes padrões de segurança cibernética e de proteção de dados, a fim de garantir e cumprir as exigências legislativas.
Ao concordar com esta Política de Privacidade, anuirá com o compartilhamento, que se dará, conforme as finalidades descritas no presente instrumento.
Caso o usuário/cliente/parceiro seja menor de 18 anos, este poderá compartilhar seus dados pessoais, desde que seja validado por, ao menos, um dos seus pais ou representante legal, por meio de assinatura aposta ao final do instrumento.
A atual versão da Política de Privacidade foi formulada em 01/09/2021 e atualizada pela última vez em: 07/12/2023.
Reservamos o direito de modificar essa Política de Privacidade a qualquer tempo, principalmente em função da adequação a eventuais alterações realizadas em nosso site ou em âmbito legislativo. Recomendamos que você a revise com frequência.
Eventuais alterações entrarão em vigor a partir de sua publicação em nosso site e sempre lhe notificaremos acerca das mudanças ocorridas.
Ao utilizar nossos serviços e fornecer seus dados pessoais após tais modificações, poderá ler novamente o documento com as modificações e se concordar com os termos, informar que consente e autoriza.
A Wide Educação prevê a responsabilidade dos agentes que atuam nos processos de tratamento de dados, em conformidade com os artigos 42 ao 45 da Lei Geral de Proteção de Dados.
Nos comprometemos em manter esta Política de Privacidade atualizada, observando suas disposições e zelando por seu cumprimento.
Além disso, também assumimos o compromisso de buscar condições técnicas e organizativas seguras aptas a proteger todo o processo de tratamento de dados.
Caso a Autoridade Nacional de Proteção de Dados exija a adoção de providências em relação ao tratamento de dados realizado pela Wide Educação, comprometemo-nos a segui-las.
Conforme mencionado no Tópico 6, embora adotemos elevados padrões de segurança a fim de evitar incidentes, não há nenhuma página virtual ou software inteiramente livre de riscos.
Nesse sentido, a Wide Educação não se responsabiliza por:
12. Fundamento Jurídico Para o Tratamento dos Dados Pessoais
Ao “Aceitar os Termos de Condições” da presente Política, o colaborador ou parceiro de negócio (clientes, fornecedores, prestadores de serviços) está consentindo com a presente Política de Privacidade.
13. Do direito aplicável e do foro
Para a solução das controvérsias decorrentes do presente instrumento, será aplicado integralmente o direito brasileiro.
Os eventuais litígios deverão ser apresentados no foro da comarca de São Paulo.
Documento: Política de Privacidade – PO002V2
Código: PO002V2
Versão: V2
Data de criação: 01/09/2021
Data de revisão: 07/12/2023
1. Objetivo dos cookies
Assim como muitos sites institucionais utilizam dessa prática comum, o site oficial da Wide Educação publicado em www.wideedu.com.br, também utiliza cookies, que são pequenos arquivos acoplados ao seu navegador de internet e computador local, para melhorar a sua experiência de navegação. Esta política descreve quais informações eles coletam, como as usamos e armazenamos esses cookies. Também compartilharemos como é possível desativar o funcionamento desses cookies, no entanto, isso pode desconfigurar a visualização de certos elementos ou funcionalidades do site.
2. Utilização dos cookies
A utilização dos cookies, infelizmente na maioria dos casos, não existe opções de forma padrão do desenvolvedor para desativar de forma completa algumas funcionalidades ou recursos adicionados ao site. Sendo assim, é recomendável que durante a sua visita ao site, todos os cookies permaneçam ativos.
3. Desativar cookies
A qualquer momento de sua visita ao site, é possível impedir a configuração de cookies ajustando as próprias configurações nativas do seu navegador de internet (consulte a ajuda do navegador padrão utilizado para saber como proceder da maneira correta). Esteja ciente de que a desativação de cookies poderá afetar a visualização de alguns elementos presentes nos outros sites que visita. Portanto, é recomendável que você não desative totalmente as cookies.
Ao utilizar o nosso website sem desativar ou apagar os cookies, você concorda que podemos utilizá-los.
4. Cookies de Terceiros
É utilizado no site somente cookies fornecidos por terceiros confiáveis e homologados. Alguns detalhes que definem essa utilização de cookies de terceiros você pode encontrar a seguir:
Google Analytics, que é uma das soluções de análise mais difundidas e confiáveis da web, para nos ajudar a entender como você usa o site e como podemos melhorar sua experiência. Esses cookies podem rastrear itens como quanto tempo você navega no site e as páginas visitadas, para que possamos continuar produzindo conteúdo atraente. Para mais informações sobre os cookies do Google Analytics, consulte a página de suporte oficial do Google Analytics em support.google.com/analytics.
Facebook Pixel Code, para campanhas de marketing externas ao site. O pixel do Facebook é um trecho de código colocado no site que permite medir a eficácia da sua publicidade por meio da compreensão das ações que as pessoas realizam e como foram abordadas até chegar ao seu site. Mensurar os resultados dos nossos anúncios e entender melhor o impacto de cada anúncio ao mensurar o que acontece quando as pessoas os visualizaram, e assim proporcionar melhores experiências durante a visita ao site da Wide Educação. Para mais informações sobre os cookies do Facebook Pixel Code, consulte a página de suporte oficial do em facebook.com/business/help.
LinkedIn, utilizamos cookies do LinkedIn em nosso site para análise e aprimoramento contínuo. O LinkedIn é uma plataforma confiável que nos auxilia a compreender melhor como os visitantes interagem com o nosso site, permitindo-nos melhorar a experiência de navegação. Para mais informações sobre os cookies, consulte a página de suporte oficial em br.linkedin.com/legal/cookie-policy.
RD Station, utilizamos cookies do RD Station em nosso site para aprimorar a experiência dos visitantes e entender melhor como você interage com nosso conteúdo. O RD Station é uma ferramenta confiável de automação de marketing que nos auxilia a oferecer conteúdo mais relevante e personalizado. Para mais informações sobre os cookies, consulte a página de suporte oficial em www.rdstation.com/lgpd.
Esses cookies podem coletar informações, como a duração da visita ao site, páginas visualizadas e outras interações, com o objetivo de otimizar o conteúdo que oferecemos. Essas informações são essenciais para garantir que possamos continuar fornecendo conteúdo relevante e interessante.
As análises de terceiros são usadas para rastrear e medir o uso deste site, para que possamos continuar produzindo conteúdo atrativo. Esses cookies podem rastrear itens como o tempo que você passa no site ou as páginas visitadas, o que nos ajuda a entender como podemos melhorar o site para você.
Periodicamente testamos novos recursos e fazemos alterações sutis na maneira como o site se apresenta. Quando ainda estamos testando novos recursos, esses cookies podem ser usados para garantir que você receba uma experiência consistente enquanto estiver no site, enquanto entendemos quais otimizações os nossos usuários mais apreciam.
1. Informações Gerais
As informações da Wide Educação, colaboradores, clientes e parceiros, são bens que requerem proteção e tratamento de forma ética e sigilosa, de acordo com a legislação vigente e as normas internas da empresa, se evitando o mau uso, a perda e a expropriação indevida.
Esta política tem como objetivo estabelecer fundamentos e diretrizes, a serem obrigatoriamente observados pela empresa e todos os envolvidos (colaboradores, clientes e fornecedores), de segurança cibernética que assegurem a confidencialidade, integridade e a disponibilidade de dados e sistemas de informações.
Entende-se como informação, não apenas o que está armazenado nos computadores, redes ou sistemas utilizados pela empresa, mas, também, o que foi impresso ou salvo em mídias digitais, ou por meio de arquivos eletrônicos ou de conversas em ambientes internos e externos à empresa.
Esta política é um conjunto de diretrizes que visa conscientizar e orientar os colaboradores, parceiros e clientes para o uso seguro da informação, garantindo a observância aos princípios da segurança da informação, tais como:
Integridade: salvaguarda da exatidão e correção da informação, bem como, dos métodos de processamento;
Confidencialidade: propriedade que garante que a informação seja acessada somente pelas pessoas ou processos que tenham autorização para tal;
Integridade: garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida.
Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. Para assegurar estes itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra furto, roubo, fraude, espionagem e perda não intencional, acidentes ou outras ameaças.
2. Abrangência
Esta política se aplica a todos os colaboradores, parceiros, fornecedores e clientes, cientificando-os de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados, em qualquer tempo e circunstância.
É obrigação de todos (colaboradores, parceiros, fornecedores e clientes) se manterem atualizados em relação a esta política e aos procedimentos e normas a elas relacionadas, por meio de atualização do site: wideedu.com.br/politicas, orientações do comitê de proteção de dados e área de TI.
O cumprimento desta política poderá ser auditado pela Wide Educação.
Esta política se aplica aos seguintes ativos:
3. Diretrizes para a segurança da informação
A presente política define as diretrizes para a segurança da informação, visando preservar a integridade, confidencialidade, autenticidade e disponibilidade das informações sob gestão da Wide Educação.
Descreve a conduta adequada para o manuseio, controle e proteção de informações em face de acessos não autorizados, destruição, modificação e divulgação indevida, seja acidental ou intencionalmente.
As informações produzidas, acessadas, recebidas, manuseadas e/ou armazenadas por todos, como a reputação, a marca e demais ativos são de propriedade e de direito de uso exclusivo da Wide Educação, sendo proibidas as cópias, reproduções ou distribuição sem a devida autorização.
A utilização da marca, identidade visual e demais sinais distintivos da Wide Educação, em qualquer veículo de comunicação, inclusive na internet e nas mídias sociais, só poderão ser realizados para atender às atividades profissionais da organização.
Portanto, os colabores que estiverem em posse de qualquer equipamento (desktop, notebook, celular ou tablet) de propriedade da Wide Educação se comprometem:
Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais;
A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário;
É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo;
O usuário não deve alterar a configuração do equipamento recebido;
O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado;
Mantenha o equipamento sempre com você;
Atenção em hall de hotéis, aeroportos, aviões, táxi e etc.
Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível;
Atenção ao transportar o equipamento na rua.
Em caso de furto, registre a ocorrência em uma delegacia de polícia, comunique o fato o mais rápido possível ao gestor imediato e envie uma cópia do Boletim de Ocorrência para o Administrativo.
A Wide Educação, por meio da área de TI, poderá registrar todo e qualquer uso dos sistemas e serviços, visando garantir a disponibilidade e segurança das informações utilizadas.
A responsabilidade em relação à segurança da informação será comunicada na fase de contratação dos colaboradores, os quais deverão assinar um termo de responsabilidade dos equipamentos e confidencialidade das informações.
Ressalte-se que os drives compartilhados possuem rastreabilidade de todas as atividades executadas, sendo assim, é de responsabilidade de cada usuário zelar pelos respectivos acessos.
É de responsabilidade de cada departamento estabelecer critérios relativos ao nível de confidencialidade da informação gerada ou recebida por cada área, de acordo com os critérios a seguir:
Pública: Informações dedicadas à divulgação ao público em geral, sendo de caráter informativo, comercial ou promocional. É destinada ao público externo ou em decorrência ao cumprimento de legislação;
Corporativa: Informações cujo conhecimento é de interesse de toda a empresa, podendo ser divulgado para beneficiários, participantes e parceiros;
Uso interno: Informações de conhecimento exclusivo dos colaboradores da organização e deve ser divulgada apenas para o público interno;
Restrita: Toda comunicação ou informações que poderá ser acessada somente por colaboradores de áreas previamente definidas;
Confidencial: Informações críticas para os negócios da organização ou de parceiros, os quais são realizadas previamente pelo acordo de confidencialidade (NDA), bem como, cláusula contratual de confidencialidade nos contratos.
Documentos que contenham informações classificadas como uso interno, restrito e confidencial, não podem ficar expostos na estação de trabalho, impressoras, fax, scanner, telas de computadores, áreas comuns e locais de trânsito de pessoas.
O colaborador que estiver trabalhando de forma remota, deverá ter os mesmos cuidados.
Documentos que contenham informações classificadas como restritas ou confidenciais devem ser acondicionadas em armários de acesso controlado, sua destruição, quando for o caso, deverá ser realizada por meio de triturador de papel.
Nenhuma das informações restritas ou confidenciais podem ser repassadas a terceiros sem o consentimento da Wide Educação.
As áreas deverão observar as disposições sobre o prazo de armazenamento contidos na Política de Privacidade. Decorridos os prazos para armazenamento, os documentos devem ser destruídos antes de descartados, mediante autorização prévia do gestor imediato.
A empresa terceirizada de guarda externa deverá emitir certificado ou declaração de destruição segura dos documentos indicados na organização.
Os Backups devem ser realizados por sistemas de agendamento e executados, preferencialmente, fora do horário comercial.
O responsável pela gestão dos sistemas de backup deverá realizar pesquisas frequentes para identificação de atualizações e correções, novas versões do produto, ciclo de vida, sugestões de melhorias e entre outros.
Ademais, além dos backups realizados no servidor, deverá ser realizado backup adicional e mantido em dispositivos externos com as informações criptografadas em ambiente seguro para armazenagem fora da Wide Educação.
A rotina implementada de backup deverá estar formalmente documentada para consultas e auditorias (interna ou externa).
Para cada colaborador deverá ser fornecido logins de acesso e senhas, os quais, não poderão ser compartilhados, divulgados ou transferidos a outra pessoa.
O colaborador é responsável por todas as atividades desenvolvidas por meio de seus logins de acesso pessoal. É terminantemente vetada a utilização de acesso pessoal de outro colaborador, mesmo que cedido por este.
É de responsabilidade do colaborador a guarda dos logins de acessos que lhe forem designados, bem como, a memorização da sua senha. As senhas não devem ser baseadas em informações pessoais, como o próprio nome, nome de familiares, data de nascimento e etc.
O usuário terá acesso apenas às informações imprescindíveis para o pleno desenvolvimento de suas atividades.
Caso haja alterações de cargos, cada gestor, por meio do helpdesk, solicitar à equipe de TI, as inclusões, alterações, ou exclusões de acesso do usuário, definindo os serviços que serão incluídos, alterados ou excluídos, justificando quanto à necessidade da solicitação.
Na ocasião de desligamento do colaborador, os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. A equipe de TI deverá ser comunicada via helpdesk para providenciar o imediato cancelamento de todas as senhas de acesso a equipamentos e sistemas corporativos, incluindo o e-mail.
É vedado o acesso de pessoas não autorizadas ao Data Center.
As áreas de acesso restrito, somente podem ser acessadas por colaboradores devidamente autorizados.
Não é permitido aos colaboradores tirarem fotos, filmar, publicar e/ou compartilhar imagens dos ambientes internos da Wide Educação que possam:
Comprometer a segurança dos demais colaboradores;
Comprometer o sigilo das informações;
Impactar a imagem da Wide Educação e de outros colaboradores, clientes, parceiros e/ou visitantes.
Deve ser seguido o princípio estabelecido na Norma ABNT NBR/ISO/IEC 27.001 da Mesa limpa / Tela limpa. Este princípio tem como objetivo a redução dos riscos de acesso não autorizado, perda de informações ou danos às informações durante e fora do horário de expediente.
A adoção de uma política de “mesas limpas” para os papéis e mídias de armazenamento removível e, igualmente, uma política de “telas limpas”, contra, por exemplo, o perigo de ter um usuário já autenticado / registrado, porém ausente e com sua sessão de trabalho aberta.
A política de Mesa Limpa / Tela Limpa busca resguardar a Wide Educação, bem como, o próprio usuário contra o acesso não autorizado a informações como, por exemplo, terceiros observando dados expostos em mesas ou telas. Assim, sinteticamente, entre outros:
É proibido o procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento da área de TI ou de quem determinar.
Todos os sistemas de computadores de colaboradores e fornecedores deverão ter versões de software antivírus instalados, ativados e atualizados constantemente. Em caso de suspeita de incidência de vírus ou problemas de funcionalidades, o colaborador e o fornecedor deverão acionar a área de TI via helpdesk.
Os colaboradores deverão proteger o acesso a seus computadores por meio de tela de bloqueio a ser liberada mediante senha, quando estes não estiverem em uso. Ao final do expediente de trabalho, o computador deverá ser desligado.
Os colaboradores e fornecedores específicos, têm acesso ao drive compartilhado do Google para atender a todos.
O acesso à rede da Wide Educação só poderá ser efetivado após o registro obrigatório de computadores e usuários, de acordo com os sistemas de registros implementados e para acesso ao drive compartilhado do por meio de autenticação via e-mail corporativo.
O usuário se compromete a utilizar a rede interna da Wide Educação e drive compartilhado para uso exclusivo de atividades relacionadas ao departamento no qual o usuário pertence.
É vetado o uso das planilhas e quaisquer documentos dispostos do ambiente de compartilhamento para atividades alheias às prestações de serviços.
Não é permitida a gravação de arquivos particulares (músicas, filmes e fotos etc.) nos drivers da rede e ambiente de compartilhamento. Caso identificada a existência desses arquivos, serão excluídos definitivamente, sem prévia comunicação.
Ademais, todos os arquivos e informações de cunho profissional, não poderão, em hipótese alguma, serem salvos na área de trabalho da máquina, devendo sempre serem salvos nas pastas do servidor e do ambiente de compartilhamento.
O uso da internet, e-mail corporativo, pastas e diretórios do servidor e ambiente de compartilhamento, serão constantemente monitorados pela Wide Educação, por meio de registros, informando qual usuário, tempo e quais páginas foram acessadas.
A definição dos funcionários que terão acesso para o uso de determinados softwares e sites, será atribuição da administração de cada gestor.
Os usuários devem assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licenças de uso ou patentes de terceiros.
Portanto, qualquer acesso que não seja relacionado com o objeto do contrato entre a Wide Educação com o colaborador, não é permitido, sendo assim, passível de punição.
Assim, a organização, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos.
O correio eletrônico fornecido é um instrumento de comunicação interna e externa para a execução dos negócios da empresa.
As mensagens devem ser escritas na linguagem formal profissional, não devem comprometer a imagem da Wide Educação, não podem ser contrárias à legislação vigente e, tão pouco, aos princípios estabelecidos do Código de ética e conduta.
Portanto, cada usuário é responsável por utilizar os serviços de correio eletrônico de maneira profissional, ética e legal.
O acesso às mensagens nos servidores de correio eletrônico deve ser feito usando protocolos seguros.
Os colaboradores e parceiros com acesso, aos serviços de mensagem eletrônica disponibilizados pela Wide Educação devem observar o seguinte:
O uso de aplicativos de comunicação pelos colaboradores, a partir de recursos da Wide Educação, para compartilhar informações profissionais, deverá ser realizado de forma responsável para evitar riscos que possam comprometer as atividades, projetos ou a própria organização.
O colaborador, ainda, sempre que possível, preservar o sigilo e a confidencialidade das informações, atender aos requisitos de segurança previstos nesta política e a respeitar a legislação vigente.
Dispositivos móveis corporativos são equipamentos portáteis dotados de capacidade computacional, e dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se limitando a estes: notebooks, netbooks, smartphones, tablets, pen drives, USB drives, HD externos e cartões de memória.
É expressamente proibida a divulgação e/ou o compartilhamento indevido de informações de uso interno, restritas ou confidenciais por meio de dispositivos móveis corporativos.
O usuário deve utilizar os dispositivos móveis corporativos de forma adequada e diligente, de forma a prevenir ações que possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnológicos (hardware e software), bem como os documentos e arquivos de qualquer tipo, de seu uso ou de uso de terceiros.
O usuário é pessoalmente responsável por todas as atividades realizadas por intermédio de dispositivos móveis corporativos, tanto por sua guarda, quanto pelos conteúdos neles instalados.
Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel corporativo. Não é permitida a alteração da configuração dos sistemas operacionais dos equipamentos, em especial, os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um colaborador da área de TI.
O colaborador deverá responsabilizar-se por não utilizar quaisquer programas e/ou aplicativos, inclusive gratuitos, que não tenham sido instalados ou autorizados por um colaborador da área de TI.
É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela Wide Educação, notificar imediatamente seu gestor e a área de TI. Também deverá, assim que possível, registrar um Boletim de Ocorrência na Delegacia de Furtos de Roubos (BO).
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracteriza a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a organização e/ou a terceiros.
Em caso de desligamento, o colaborador deve realizar imediata devolução de seus dispositivos móveis à área de TI e assinar o termo de devolução do equipamento.
O uso de mídias removíveis deve ser tratado como exceção à regra, pois a porta USB é o principal ponto de vulnerabilidade de segurança, podendo ser usada para a fuga de informações corporativas confidenciais.
Os usuários de mídias removíveis são diretamente responsáveis pelos riscos e impactos que tais dispositivos possam vir a causar, uma vez que esse tipo de mídia pode conter vírus e softwares maliciosos, capazes de danificar e corromper dados.
O usuário é proibido de remover toda e qualquer versão de software obsoleto, mesmo em casos em que exista uma versão atualizada da aplicação utilizada.
Caso o usuário necessite instalar ou remover qualquer software, deverá solicitar a área de TI via helpdesk.
Não é permitida a instalação / uso de softwares ilegais (sem licenciamento), sendo que a área de TI poderá valer-se desta Política para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à Lei 9.609/98 (Lei do Software).
É proibido executar programas, instalar equipamentos, armazenar arquivos ou promover ações que possam facilitar o acesso de usuários não autorizados à rede corporativa da organização.
4. Engenharia Social
É um termo utilizado coloquialmente que representa a habilidade de enganar pessoas com o objetivo de obter informações sigilosas. Essa ação pode ocorrer de diversas formas, mas o comum é os engenheiros utilizarem a falta de conscientização dos colaboradores em relação à segurança da informação da organização. O ataque pode ser feito (i) de forma direta, quando há um contato entre o engenheiro social e a vítima, por meio de telefonemas ou pessoalmente, ou (ii) de forma indireta, quando há a utilização de softwares ou outras ferramentas, a fim de captar dados que facilitem o acesso às informações desejadas. Podem ser, por exemplo, mensagens que contenham avisos de premiações, ofertas de sociedade em grandes somas de dinheiro, heranças e negócios em outros países etc.
Assim, se o colaborador suspeitar de um possível ataque, por meio dos meios tecnológicos, deverá comunicar imediatamente à área de TI.
Caso a tentativa de ataque tenha ocorrido por outros meios (não tecnológicos), deverá ser comunicada ao comitê de proteção de dados.
No que se refere especificamente a incidentes de segurança, conterá em Política de Incidente de Segurança.
5. Papéis e responsabilidades
A correta utilização dos recursos disponibilizados é dever de todos, sendo que o uso indevido, negligente, ou imprudente, será responsabilizado, conforme normativos internos e legais.
A Wide Educação se reserva no direito de analisar dados e evidências, a fim de obter provas, que possam ser utilizadas nos processos investigatórios, bem como, adotar as medidas legais cabíveis.
As responsabilidades serão distribuídas das seguintes formas:
Determinar a adoção de medidas necessárias para o cumprimento da política;
Implantar e implementar a presente política;
Orientar e informar aos colaboradores as práticas necessárias à segurança da informação;
Receber o report de todo e qualquer usuário e/ou área para tratar de assuntos pertinentes à segurança da informação de que trata este instrumento;
Receber e tratar as notificações dos casos de violação das diretrizes de segurança descrita neste instrumento;
Realização de testes e atualizações nos diversos acessos aos recursos de TI.
Avaliar os riscos do processo juntamente com os responsáveis;
Elaborar e executar planos de testes e realizar auditorias nos controles relacionados à segurança da informação;
Monitorar o resultado e sugerir novos controles no ambiente de segurança da informação, quando aplicável.
Monitorar o ambiente de TI e a atividade de todos os usuários durante os acessos às redes internas e externas, por exemplo: sites, e-mails, sistemas e outros.
Executar as ações necessárias para tratar violações de segurança;
Configurar equipamentos, instalar softwares e implementar os controles necessários, bem como, definir regras para a instalação de software e hardware nos equipamentos da organização;
Configurar os equipamentos, instalar softwares e implementar os controles necessários, bem como, definir regras para a instalação de software e hardware nos equipamentos da organização;
Coordenar as atividades de tratamento e resposta a incidentes de TI;
Promover a recuperação de sistemas, se necessário;
Administrar, proteger e testar cópias de segurança de sistemas e dados relacionados aos processos operacionais considerados críticos;
Planejar e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida e a disponibilidade da rede interna;
Assegurar-se de que não sejam introduzidas vulnerabilidades ou fragilidades na rede e nos equipamentos;
Promover juntamente com os gestores dos processos e a equipe de segurança da informação a segregação de acessos necessários aos sistemas da Wide Educação, evitando conflitos de interesse e adotando perfis de acesso;
Promover guarda de logs de auditoria dos sistemas da Wide Educação sempre que estes fornecerem a referida possibilidade.
6. Divulgação e treinamentos
O Comitê de Proteção de Dados definirá um plano de divulgação e treinamento a fim de que todos os colaboradores estejam cientes das normas constantes na presente política.
Todos assinarão termo de responsabilidade de confidencialidade, se comprometendo a agirem em conformidade com as diretrizes aqui estipuladas.
7. Violações a Política de Segurança da Informação
Os casos de violação das diretrizes de segurança expostas neste instrumento poderão ser notificados, conforme disposto abaixo:
O responsável por receber a notificação da transgressão deverá acionar imediatamente o Comitê de Proteção de Dados, o qual fará a comunicação ao usuário infrator e à gerência, superintendência ou diretoria correspondente, para aplicação das penalidades previstas no código de ética da Wide Educação e na legislação vigente no Brasil.
8. Vigência, validade e atualizações
A presente política passa a vigorar a partir da data de sua aprovação no Comitê de Proteção de Dados, sendo válida por tempo indeterminado.
Após a implantação desta política, com o objetivo de mantê-la atualizada e condizente com as necessidades da organização, deverão ser realizadas, anualmente, ou sempre que houver incidentes, revisões com a implantação de novas ações e controles para sua melhoria contínua.
Documento: Política da Segurança da Informação – PO003V2
Código: PO003V2
Versão: V2
Data de criação: 01/09/2021
Data de revisão: 07/12/2023
1. Informações Gerais
Esta política estabelece o processo de tratamento de incidentes de segurança da informação no âmbito da empresa.
O processo de tratamento de incidentes de segurança e privacidade consiste na implementação de procedimentos e etapas definidas que conduzirão a equipe para a resolução do incidente.
Dessa forma, este plano descreve o processo para responder às situações de evento de risco que venham ocasionar impacto aos ativos da Wide Educação.
O processo de tratamento de incidentes de segurança da informação tem como objetivos principais:
A diminuição por danos causados por incidentes que não puderem ser evitados, bem como, a sua reincidência.
A diminuição do número total de incidentes de segurança, por meio da prevenção dos eventos e eliminação de situações que permitam a sua ocorrência.
Estabelecimento de diretrizes para identificação de incidentes que possam comprometer a confidencialidade, integridade e disponibilidade dos dados que estejam em tratamento.
2. Abrangência
Esta política se aplica a todos (colaboradores, clientes, parceiros e fornecedores), abrangendo os recursos computacionais pertencentes, operados, mantidos e controlados pela Wide Educação.
3. Incidentes de segurança
O processo de tratamento de incidentes de segurança da informação abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou a propriedade da Wide Educação.
São considerados incidentes de segurança:
Violação das políticas de privacidade de segurança da informação (PSI);
Dispositivos que estejam conectados à rede da Wide Educação que estejam contaminados com vírus de computador;
Utilização de credenciais de autenticação por indivíduo não proprietário;
Atividade maliciosa por detecção padrão ou manual, envolvendo dispositivos identificados por grupos como fonte de atividades maliciosas;
Ausência de comunicação de fragilidade de segurança conhecida em processo ou sistema de TI;
Tentativa de fraude, independente do dano causado;
Quaisquer situações que possam colocar em risco dados pessoais de indivíduos que se relacionam com a Wide Educação, sejam realizados por fatores internos ou externos à empresa.
4. Procedimentos
Em caso de incidentes de segurança, a pessoa que identificar, deverá seguir os passos abaixo:
A pessoa que identificar qualquer incidente, seja interno ou externo, deverá no prazo de 24 (vinte e quatro) horas, por meio do endereço de e-mail: dpo@wideedu.com.br e deverá relatar de forma detalhada, as informações a seguir:
Origem do incidente: unidade, setor, ou organização a qual o dispositivo ou o processo que originou o incidente;
Contato da origem: e-mail, telefone, ou outro contato disponível do informante do incidente;
Registro do tempo da ocorrência do incidente: data e hora na qual o incidente foi identificado;
Endereço de IP do dispositivo;
Protocolos e portas alvos do incidente: especificação do tipo de protocolo (IP, TCP, UDP) e portas utilizadas;
Serviços envolvidos: especificação do serviço que foi alvo do incidente;
Descrição do incidente: qual tipo de ataque, se houve a motivação aparente etc.;
Evidências: anexar imagens, códigos de erros ou outros registros que possam evidenciar a ocorrência do incidente.
O DPO (Data Protection Officer), em até 24 horas, analisará a notificação e fará a análise do incidente e concluirá se envolve dados pessoais e/ou dados pessoais sensíveis.
O DPO, quando necessário, solicitará detalhes complementares ao notificante, dessa forma, é de suma importância na notificação conter todas as informações do item 2.
Em até 12 (doze) horas, o DPO em conjunto com o Comitê de Proteção de Dados, conduzirá as investigações e classificará conforme os itens 6 e 7, classificando o incidente e criticidade.
A classificação será de extrema valia para ajudar a definir a criticidade:
Conteúdo abusivo: spam, assédio, etc;
Código malicioso: bot, worm, trojan, spyware, scripts;
Tentativa de intrusão: tentativa de exploração de vulnerabilidades, tentativa de acessos e etc;
Intrusão: Acesso indesejado, comprometimento de conta de usuário, comprometimento de aplicação;
Indisponibilidade de serviço ou informação: sabotagem;
Segurança da informação: acesso e alterações das informações de forma não autorizada.
Fraude: violação de direitos autorais, falsificação, usos de recursos não autorizados;
Outros: abrange situações que não estão escalonadas.
Determinar a classificação de criticidade de acordo com as seguintes classificações:
Alto (impacto grave): Incidente que afeta sistemas relevantes ou informações críticas, dados sensíveis, com potencial de gerar impacto negativo sobre a empresa;
Médio (Impacto significativo): Incidente que afeta sistemas ou informações não críticas, sem impacto negativo à empresa;
Baixo (Impacto mínimo): Possível incidente de sistemas não críticos;
A cada incidente será elaborado plano de ação, em até 24 (horas), contados a partir da ciência sobre o incidente, devendo conter:
Notificação de terceiros: Conforme previsto no art. 48 da LGPD – Lei Geral de Proteção de Dados, avaliará a necessidade de notificar terceiros sobre o incidente (ANPD – Autoridade Nacional de Proteção de Dados, titulares, parte Controladora ou Operadora), sempre que seja passível de causar riscos ou dano aos Titulares dos Dados, sendo obrigatório a elaboração do RIPD (Relatório de Impacto à Proteção de Dados).
RIPD: O relatório de impacto de proteção de dados deverá conter:
Identificação e dados de contato de:
Entidade ou pessoa responsável pelo tratamento.
Encarregado de dados ou outra pessoa de contato.
Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
Informações sobre o incidente de segurança com dados pessoais:
Data e hora da detecção.
Data e hora do incidente e sua duração.
Circunstâncias em que ocorreram a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.
Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.
Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
Resumo das medidas implementadas até o momento para controlar os possíveis danos.
Possíveis problemas de natureza transfronteiriça.
Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
A recomendação é que seja realizada a comunicação à ANPD no prazo de até 2 (dias) úteis, contados da data de conhecimento do incidente.
Ressalta-se que a comunicação à ANPD será necessária, tão somente, se houver risco ou dano aos direitos e liberdades individuais dos titulares afetados pelo incidente de segurança.
Ademais, além de todas as medidas de segurança aqui mencionadas, a Wide Educação seguirá as orientações descritas no site da ANPD: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca.
Por fim, todos os documentos e relatórios relacionados aos incidentes de segurança deverão ser arquivados pelo período de 5 (cinco) anos para que, em caso de fiscalização das autoridades competentes, seja possível demonstrar o que foi realizado e para eventuais defesas.
Notificação aos Titulares de Dados afetados: Caso ainda não tenha sido realizada a notificação da alínea “a”, considerando que houve risco ou dano relevante aos titulares afetados, o DPO, deverá entrar em contato com o indivíduo e o informar: a) sobre o ocorrido; b) indicar as medidas de mitigação; b) orientação de como se prevenir; c) coloca-se à disposição para quaisquer dúvidas;
Ressalta-se a importância da preservação de provas para a identificação correta da causa do incidente e, posteriormente, para a recuperação dos sistemas afetados.
5. Processos de mitigação do incidente de segurança:
As etapas de resposta à incidentes de segurança consistem:
Consiste em identificar, prever e descrever possíveis situações de violação de dados, bem como, as respectivas ações que deverão ser realizadas, tais como: prazos e formas de registro.
Implementar mecanismos de defesa e controle de ameaças.
Desenvolver procedimentos para lidar com incidentes de forma eficiente;
Definição da área que deverá ser informada em situação de ocorrência do sinistro e como reportar;
Detalhamento e ações necessárias que devem escalonar a criticidade do evento.
Exemplo de detalhamento:
Incidente | Criticidade | Categoria Dado Digital ou Físico | Como é monitorado | A quem reportar | Ações para contenção | Ações para erradicação | Ações de Recuperação |
001 | ALTA | Digital | Ferramentas de monitoramento de segurança, como sistemas de detecção de intrusão, firewalls, etc. | Equipe de segurança da informação ou responsável designado para incidentes de segurança. | Isolamento imediato do sistema afetado. Desativação de contas comprometidas, se aplicável. Bloqueio de tráfego malicioso, se identificado. | Identificação da causa raiz do incidente. Atualização de sistemas e aplicativos para corrigir vulnerabilidades. Revisão e melhoria das políticas de segurança. | Restauração de serviços afetados. Monitoramento contínuo para garantir que não haja persistência do ataque. Revisão e atualização dos planos de resposta a incidentes. |
Detectar o incidente, determinar o escopo e as partes envolvidas:
Identificar todos os sistemas e serviços afetados;
Avaliar o impacto do incidente e os potenciais riscos (dados vazados, impacto na organização e na reputação);
Identificar a existência de outros eventos;
Identificar que modalidade de informação e processos foram afetados;
Identificação dos responsáveis.
Deve-se avaliar todas as possíveis fontes capazes de representar ameaça, como por exemplo:
Risco Baixo: classificação utilizada quando o incidente de segurança de dados afetar apenas dados pessoais, não incluído o número do CPF;
Risco Moderado: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF, e/ou pelo menos um dado sensível, não incluído raça, religião, nome social e dados de saúde;
Risco Alto: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF e/ou mais que um dado sensível, incluindo raça, religião, nome social e dados de saúde.
Dados legíveis/ilegíveis: dados protegidos por algum sistema de anonimização (criptografia, por exemplo).
Volume de dados pessoais: expresso em quantidade de registros, arquivos, documentos e/ou em períodos de uma semana, um ano, etc.
Facilidade de identificação de indivíduos: facilidade com que se pode deduzir a identidade das pessoas a partir dos dados envolvidos no incidente.
Indivíduos com características especiais: se o incidente afeta pessoas com características ou necessidades especiais.
Número de indivíduos afetados: dentro de uma determinada escala, por exemplo, mais de 100 indivíduos.
Realizar a contenção do incidente de forma a atenuar os danos e evitar que demais dados sejam comprometidos:
Desconectar o sistema comprometido ou isolá-lo;
Desativação do sistema para evitar quaisquer perdas;
Bloquear padrões de tráfego, interrompendo os fluxos maliciosos;
Desabilitar quaisquer serviços vulneráveis, inibindo comprometimento de outros sistemas;
Eliminação das causas do incidente, removendo os eventos relacionados, de forma a operarem em sua normalidade.
Garantir que as causas do incidente foram removidas, assim como todas as atividades e arquivos associados ao incidente;
Assegurar a remoção de todos os métodos de acesso utilizados.
Restauração do sistema ao estado normal:
Restauração da integridade do sistema;
Garantir que o sistema foi recuperado de forma correta e que as funcionalidades estejam 100% integradas;
Implementar medidas de segurança para evitar novos comprometimentos;
Restaurar o backup completo e armazenado.
Avaliação das ações resolvidas e realizadas e discutir lições aprendidas.
Caracterizar o conjunto de lições aprendidas de forma a aprimorar os procedimentos existentes;
Identificar características de incidentes para treinamento dos novos membros da equipe;
Será avaliado o processo e verificará a eficácia das soluções realizadas. Deverá ser analisado as falhas da detecção e os recursos inexistentes ou insuficientes, para que sejam sanados.
Será discutido com todas as equipes envolvidas os erros e dificuldades enfrentados na mitigação do ocorrido, propondo melhorias técnicas e nos processos.
6. Canal de report e dúvidas:
Todas as dúvidas ou denúncias acerca de qualquer incidente de segurança deverão ser encaminhadas diretamente ao endereço de e-mail: dpo@widedu.com.br.
As informações relatadas poderão ser reportadas por meio de anonimato, bem como, a não retaliação dos denunciantes que estiverem agindo de boa fé.
7. Vigência, validade e atualizações:
A presente política passa a vigorar a partir da data de sua aprovação no Comitê de Proteção de Dados, sendo válida por tempo indeterminado.
Após a implantação desta política, com o objetivo de mantê-la atualizada e condizente com as necessidades da organização, deverão ser realizadas, anualmente, ou sempre que houver incidentes, revisões com a implantação de novas ações e controles para sua melhoria contínua.
Documento: Política de Resposta à Incidentes de Segurança – PO005V2
Código: PO005V2
Versão: V2
Data de criação: 05/10/2021
Data de revisão: 07/12/2023
A Wide disponibiliza um canal de comunicação exclusivo com o Administrativo e confiável para que possam ser relatadas situações identificadas de desvio de Código de Ética e Conduta.
Sendo assim, caso seja constatada alguma atitude que seja conflitante com este Código, qualquer pessoa poderá acessar este canal e fazer o seu relato, de forma sigilosa, sendo preservada a sua identidade.
Estes canais possuem [PHD8] profissionais capacitados (incluindo Psicólogos e Advogados), que orientarão as pessoas sobre a forma adequada de comunicar os fatos.
Todos os relatos serão tratados pelo Comitê de Ética e Conduta, e terão uma devolutiva de atendimento, preservando a identidade de quem fez o relato.
Envie uma mensagem direta ao endereço de e-mail: falecom@wideedu.com.br.
