Termos e Definições

Visando o melhor entendimento de todos aqueles que devem tomar conhecimento da Política de Privacidade da CSI Cargo, fica estabelecido aqui a definição para os seguintes termos: 

​

Segurança da Informação 

 

Correta aplicação de controles para proteção da confidencialidade, integridade e disponibilidade da informação em qualquer formato (físico ou digital) segundo sua relevância para o cumprimento dos objetivos de negócio e responsabilidades legais da organização. Os esforços de Segurança da Informação da CSI Cargo são orientados pelas Normas Técnicas ABNT NBR ISO/IEC 27001:2013, ABNT NBR ISO/IEC 27002:2013 e pelo NIST Cybersecurity Framework; sem prejuízo de outros modelos, controles e melhores práticas que possam ser consultados e considerados.  

 

Segurança Cibernética  

 

Aplicação de medidas técnicas com objetivo de proteger a informação armazenada por meio digital em servidores, computadores, smartphones, sistemas, e-mails, bancos de dados etc. Estando estes armazenados localmente ou em nuvem.  

 

Privacidade e Proteção de Dados Pessoais 

​

Referidas neste documento de forma simplificada como “Privacidade”. Consiste no compromisso da organização com o direito humano fundamental à Privacidade do indivíduo, traduzido na aplicação de medidas técnicas e administrativas para proteção de dados pessoais e sensíveis conforme requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD). Os esforços de

Privacidade e Proteção de Dados da CSI Cargo são orientados pela Norma Técnicas ABNT NBR ISO/IEC 27701:2019, além da própria LGPD; sem prejuízo de outros modelos, controles e melhores práticas que possam ser consultados e considerados. 

 

Lei Geral de Proteção de Dados Pessoais (LGPD) 

 

Lei nº 13.709/2018, é a legislação federal brasileira que estabelece regras para tratamento de dados de indivíduos por meios físicos ou digitais, aplicada a profissionais liberais, empresas, órgãos públicos e organizações não governamentais; com objetivo de assegurar que organizações adotem processos e medidas para preservar o Direito à Privacidade e proteger os dados pessoais e sensíveis durante todo seu ciclo de vida.   

 

Dado 

 

Parte sem significado da informação. 

​

Informação 

 

Dado colocado em um contexto, com significado. Também referenciada nesta Política como ativo de informação.  

 

Proprietário da informação 

 

Responsável pela classificação e divulgação da informação quantos aos requisitos estabelecidos nesta Política, requisitos legais e objetivos de negócio da organização.  

 

Ativo 

 

Qualquer coisa com valor para a organização. Exemplos de ativos tangíveis: pessoas e suas competências, equipamentos, softwares e informações. Exemplos de ativos intangíveis: reputação e imagem da organização. 

 

Confidencialidade 

 

Característica que preza que uma informação deve estar acessível apenas para aqueles aos quais seja necessário tal acesso para a execução de suas atividades de negócio. 

 

Integridade 

 

Característica que preza que informações devem ser mantidos íntegras, válidas, livres de adulteração e não corrompidos. 

 

Disponibilidade 

 

Característica que preza que as informações devem estar disponíveis para indivíduos e sistemas que delas precisam para cumprir com suas atividades e tarefas em nome dos objetivos de negócio da organização.  

 

Autenticidade 

 

Princípio que valida a autorização de usuários, dispositivos, serviços, conexões, para acessar, transmitir e receber determinadas informações. Os mecanismos básicos para a autenticação são logins e senhas, mas também podem ser utilizados recursos como a autenticação biométrica ou a autenticação por meio de tokens. A combinação de 2 ou mais fatores de autenticação, como por exemplo: senha e confirmação de um token no smartphone do usuário, é chamado de autenticação multifatorial (MFA). Autenticidade é o princípio adotado para a confirmação da identidade dos usuários antes que seja liberado o acesso a sistemas, e-mails e recursos computacionais, minimizando os riscos de acessos e utilizações não autorizadas.  

 

Não Repúdio:   

 

Princípio baseado no princípio jurídico da irretratabilidade.  É o princípio que assegura que uma pessoa ou entidade não possa negar a autoria de seus atos, por exemplo: negar a utilização de uma informação fornecida, transações realizadas em um sistema de informação ou computador, acessos e transações realizadas na Internet etc. Na Gestão de Segurança da Informação, isso significa ser capaz de provar o que foi feito, por quem e quando foi feito, impossibilitando a negação das ações por parte de seus respectivos executores.  

 

Vulnerabilidade 

 

Ponto fraco de um ativo ou controle de segurança que possa ser explorado por uma ameaça e desta forma causar danos. 

 

Ameaça  

 

Causa potencial de um incidente indesejado, que possa resultar em danos a um ativo, sistema ou a uma organização. 

 

Ameaças humanas intencionais  

 

Extravio de informações, ataque hacker, roubo etc. 

 

Ameaças humanas não intencionais 

 

Pen drive infectado, usuário clica em um link malicioso por acidente, perda de um laptop ou smartphone etc. 

 

Ameaças não humanas 

 

Incêndio, inundação, falha no ar-condicionado, queda de energia etc. 

 

Risco 

 

Potencial que uma ameaça tem de explorar vulnerabilidades de um ativo ou grupo de ativos e, desta forma, causar danos à organização. Os riscos devem ser calculados segundo sua probabilidade (ocorrência) X consequência (impacto). 

 

Controle 

 

Medida administrativa, técnica ou física integrada aos processos da organização com objetivo de mitigar riscos. Tais como políticas, processos, sistemas de segurança, práticas etc.  

 

Incidente 

 

Evento indesejável e/ou inesperado que pode comprometer os objetivos de negócio explorando um risco à confidencialidade, integridade ou disponibilidade das informações. 

 

Medidas físicas 

 

Crachás para identificação colaboradores de visitantes, geradores e sistemas para alimentação ininterrupta de energia (UPS), extintores de incêndio, câmeras de segurança, controle de acesso, trituradores de papel etc. 

 

Medidas técnicas 

 

Controle de identidades, autenticação multifatorial (MFA), soluções antimalware, backup, criptografia, firewall, sistemas para detecção de intrusos, sistemas para recuperação de desastres, sistemas para prevenção contra extravio e perda de dados, atualização e correção de sistemas etc. 

 

Medidas administrativas 

 

Políticas de Segurança da Informação e Privacidade, inventário de ativos, programa de treinamento e capacitação de colaboradores, seguros de responsabilidade empresarial e contra ameaças cibernéticas, termos de confidencialidade etc. 

 

Dado confidencial 

 

Qualquer dado cuja revelação deva ser controlada por envolver conteúdo classificado pela organização como de acesso restrito, o qual deve estar acessível apenas a pessoas prévia e explicitamente autorizadas, que precisem conhecer tal dado para execução de suas atividades a favor da organização. Convém que o acesso a dados confidenciais da organização esteja protegido por Acordos de Confidencialidade e Não Divulgação, conforme cláusula 13.2.4 da Norma ABNT NBR ISO/IEC 27002:2013.  

 

Dado pessoal 

 

Qualquer informação relacionada a um indivíduo identificado ou identificável. Exemplo: nome, sobrenome, data de nascimento, CPF, RG, CNH, sexo, endereço, e-mail, telefone etc. 

 

Dado pessoal sensível 

 

Referido neste documento de forma simplificada como “dado sensível”, são Informações de caráter íntimo, muito pessoal e que podem levar à discriminação do indivíduo. Exemplo: dados sobre a saúde (prontuários, exames, laudos cirúrgicos etc.) genéticos, biométricos, referente a origem racial ou étnica, convicção religiosa ou política e referentes a vida sexual.  

 

Dado pseudo-anonimizado 

 

Dados que estão aparentemente anonimizados, mas podem identificar o titular caso alguma informação seja complementada. Exemplo: informações que combinadas possam levar a identificação do indivíduo. 

 

Dado anonimizado 

 

Qualquer dado relacionado a um indivíduo, mas que não possa identificá-lo. Exemplo: dados expostos genericamente em uma pesquisa. 

 

Titular dos dados 

 

Pessoa física natural, ou seja, o indivíduo possuidor dos dados. 

 

Tratamento de dados 

 

Toda e qualquer operação realizada com um dado pessoal, desde simplesmente acesso, até coleta, produção, recepção, classificação, utilização, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação, modificação, comunicação, transferência etc. 

 

Agentes de tratamento 

 

Pessoas físicas ou jurídicas, de direito público ou privado, que tratam dados pessoais ou sensíveis. Os agentes de tratamento se dividem em controladores e operadores e uma mesma organização pode ser controladora de determinados dados e operadora de outros. 

 

Controlador 

 

Aquele que toma decisões referente ao tratamento dos dados pessoais. Exemplo: a CSI Cargo é controladora dos dados dos colaboradores da organização.  

 

Operador 

 

Aquele que trata dados pessoais por orientação do controlador. Exemplo: um sistema contratado pela CSI Cargo para uma determinada finalidade. 

 

Encarregado de Dados ou Data Protection Officer (DPO) 

 

Profissional ou empresa designado para responder pelas tratativas de privacidade de dados de uma empresa, sendo responsável por disseminar a cultura de proteção de dados conscientizando os demais colaboradores e desenvolvendo um programa de governança em privacidade. É responsável também por atender solicitações dos titulares de dados e por interagir com a ANPD, inclusive comunicando incidentes.  

 

Autoridade Nacional de Proteção de Dados (ANPD) 

 

É um órgão federal brasileiro independente e autônomo, criado com o objetivo elaborar diretrizes nacionais para proteção de dados pessoais, bem como elaborar regulamentações e estudos complementares; fiscalizar o cumprimento da LGPD e punir eventuais infrações.