GRUPO

Segurança e Política de Privacidade



Política de Segurança

1. Introdução

A Política de Segurança da Informação da Ubiquity constitui uma base comum a todos os Departamentos, permitindo a adoção de padrões de segurança organizacional, de práticas eficazes na Gestão de Segurança da Informação e fornecendo confiança nas relações com terceiros e a Ubiquity.

A Política de Segurança da Informação pretende aplicar ao Sistema de Gestão a norma internacional ISO/IEC 27001, as normas comunitárias e a legislação e recomendações nacionais específicas em matéria de Segurança da Informação.

A equipa de Gestão da Ubiquity assume o compromisso de:

• Adotar e manter todos os requisitos legais aplicáveis no contexto da Segurança da Informação;
• Assegurar as condições para a melhoria contínua do sistema, através da monitorização e revisões periódicas das componentes relacionadas com a Segurança de Informação.

Este documento descreve os princípios gerais que devem ser aplicados por cada Departamento da Ubiquity aos ativos de informação por si geridos e encontra-se estruturado do seguinte modo:

• Âmbito
• Valor da Informação
• Importância da Segurança da Informação
• Linhas orientadoras para a Gestão da Segurança da Informação
• Modelo do Sistema de Gestão de Segurança da Informação
• Políticas detalhadas de Segurança da Informação
• Organização e Responsabilidades na Segurança de Informação
• Manutenção e Comunicação das Políticas e Procedimentos de Segurança


2. Âmbito

A Política de Segurança da Informação destina-se a todos os colaboradores, consultores externos, estagiários, consultores temporários, prestadores de serviços e outras partes interessadas que, com esta, participem no tratamento de Informação.

Faz-se notar que qualquer utilização imprópria de: equipamentos da empresa, equipamento pessoal ligado a recursos da empresa, rede da empresa, Sistema de email ou quaisquer outras aplicações de tratamento de informação ou recursos da empresa – bem como a utilização destes para fins ilícitos – tem o potencial de expor a e empresa a consequências sérias. Tal inclui ações como o acesso não autorizado aos sistemas de computador, dados ou ativos, a introdução de vírus, roubo/divulgação de segredos da empresa/outras informações confidenciais e o roubo ou tratamento ilícito de dados pessoais.

Os colaboradores e outros prestadores que deliberadamente violem esta ou outras políticas ficam sujeitos a ações disciplinares/legais, que podem ir até à cessação do seu vínculo contratual e participação às autoridades judiciais das situações que indiciem a prática de crime.


3. Valor da Informação

A informação pode adotar diversas formas (estar impressa ou escrita em papel, armazenada eletronicamente, transmitida por correio ou meios eletrónicos, entre outras), devendo ser adequadamente protegida, independentemente do seu meio, utilização ou suporte. A segurança da informação deverá estar ajustada face à sua importância e valor.

A preservação da confidencialidade, integridade e disponibilidade da informação depende de uma abordagem sistemática do risco de forma a minimizar os incidentes que ponham em causa a sua segurança.

O acesso à informação é um aspeto central do funcionamento da Ubiquity, dependendo da disponibilidade dos Sistemas e infraestruturas de informação a eficiência do serviço prestado aos seus Clientes. A segurança no tratamento e transmissão da informação é, assim, um fator vital para manter a sua eficiência.

Qualquer interrupção do serviço, fuga de informação para entidades não autorizadas ou modificação não autorizada de dados pode levar a uma perda de confiança e/ou violar as obrigações para com os Clientes, parceiros ou outras obrigações legais e regulamentares vigentes.

A mudança de sistemas de processamento clássicos – baseados em centros informáticos fechados – para as mais variadas formas de processamento distribuído de dados em ambientes abertos e heterogéneos cliente/servidor, traz riscos adicionais que necessitam de ser geridos, uma vez que a informação relevante e as aplicações que a tratam aumentam continuamente, a par com a sua utilização em locais de difícil controlo.

Para atingir os seus objetivos na vertente de segurança da informação, os Departamentos da Ubiquity estão dependentes do funcionamento correto dos seus sistemas de informação e comunicações. No entanto, tal apenas se torna possível com a identificação contínua dos riscos aos quais os ativos da Ubiquity se encontram expostos, bem como, pela implementação de controlos e mecanismos de segurança que visem a utilização correta e controlada dos mesmos.

É da responsabilidade de todos os colaboradores da Ubiquity (bem como dos outros intervenientes identificados no âmbito desta política) contribuir proactivamente para a proteção da informação, inclusive aquando da partilha de informação sensível, mesmo na forma verbal. Da mesma forma cabe-lhes a responsabilidade de reportar qualquer ameaça, concretizada ou por concretizar, que possa ter qualquer impacto na disponibilidade, integridade ou confidencialidade da informação.


4. Importância da Segurança da Informação

A informação gerida pela Ubiquity, os seus processos de suporte, sistemas, aplicações e redes são ativos valiosos para a organização. Qualquer perda de confidencialidade, integridade e/ou disponibilidade podem levar à perda de credibilidade dos serviços prestados pela Ubiquity.

A Segurança da Informação deverá, portanto, ser aplicada em todas as fases do ciclo de vida da mesma. O controlo das operações de inserção/recolha, processamento, armazenamento, transferência, relacionamento, pesquisa e destruição da informação são tão importantes como a funcionalidade de uma aplicação. Deve assim ser assegurada a manutenção – de forma permanente e equilibrada – de um nível de qualidade e segurança elevado, prevenindo a materialização de riscos inerentes, com vista a mitigar / limitar os potenciais danos provocados pela exploração de vulnerabilidades e incidentes de segurança, garantindo que o negócio opera conforme esperado ao longo do tempo.

A Segurança da Informação deve ser um pressuposto fundamental para o sucesso dos serviços prestados pela Ubiquity, sendo, portanto, da responsabilidade de todos os colaboradores, fornecedores, parceiros ou outras entidades que, em cada momento, tenham acesso à informação.

As ameaças à Segurança da Informação estão em constante evolução, o que implica a adaptação contínua de medidas de segurança de modo a acompanhar as alterações tecnológicas, legislativas e/ou sociais. As medidas de segurança devem ser técnica e economicamente viáveis e não devem limitar de forma inadequada a produtividade e eficiência da Ubiquity. Os riscos residuais devem ser do conhecimento da Administração e dos Gestores que possuam responsabilidades operacionais sobre os ativos associados.


5. Linhas orientadoras para a Gestão da Segurança da Informação

E tem em conta as seguintes vertentes:

• Gestão de pessoas: a Segurança da Informação é aplicável a todos os colaboradores da Ubiquity em todos os Departamentos, de forma transversal, devendo ser atribuídas responsabilidades específicas a determinadas funções;

• Gestão do risco: todos os sistemas (existentes ou planeados) devem ter um nível de segurança adequado face ao risco que a Ubiquity está disposta a assumir. A análise de risco deve traduzir as preocupações de índole técnica de forma percetível;

• Definição de responsabilidades: a responsabilidade pela qualidade, acessos, utilização e salvaguarda da informação contida nos sistemas é dos seus responsáveis. Cabe à Ubiquity definir as normas e procedimentos que implementem os níveis de segurança da informação definidos pelas entidades proprietárias da informação e monitorizar a sua efetividade;

• Regras de segurança: devem existir políticas de segurança que definam os objetivos a atingir por todos os sistemas de informação, independentemente do seu ambiente;

• Procedimentos de segurança: devem ser o mais detalhados possível e definir claramente como atingir o nível de segurança pretendido e qual o envolvimento humano na manutenção dos sistemas de informação, não devendo ser deixado nada ao acaso;

A Ubiquity assegura que não se pretende implementar, autorizar ou estabelecer qualquer monitorização remota dos sistemas ou instrumentos (abertos ou escondidos) relativamente a opiniões, hábitos ou atividades dos colaboradores – que aliás é estritamente proibida.

Esta política visa apenas criar meios para verificar se os recursos profissionais e/ou pessoais se encontram a ser corretamente utilizados, para necessidades organizativas e produtivas, segurança do local de trabalho, proteção dos ativos da Empresa e para a segurança desta (e, em particular, da sua rede, sistemas de informação).


6. Modelo do Sistema de Gestão de Segurança da Informação

O modelo do SGSI da Ubiquity assenta nos seguintes três pilares:

- Confidencialidade: garantia de que a informação está acessível apenas por pessoas e processos devidamente autorizadas para o efeito;

- Integridade: salvaguarda da exatidão da informação e dos métodos de processamento;

- Disponibilidade: garantia de que utilizadores e processos autorizados têm acesso à informação sempre que necessário.

Todos os mecanismos de segurança da informação existentes na Ubiquity visam a confidencialidade, integridade e/ou disponibilidade da informação, e devem ser regulados por um corpo normativo constituído por políticas detalhadas, processos e procedimentos de segurança da informação, encontrando-se estruturado da seguinte forma:



Política de Privacidade

1. OBJETIVO E ENQUADRAMENTO

O objetivo desta política é definir de que forma são tratados e utilizados os dados fornecidos pelos titulares de dados pessoais, aqui designados por partes interessadas (atuais, antigas e futuras, nomeadamente: Clientes, fornecedores, parceiros, colaboradores, Estado e comunidade envolvente), envolvidas na atividade da Ubiquity, sempre que se verifique necessidade de recolha e tratamento de dados pessoais para os fins comerciais, marketing e divulgação, legais, laborais ou regulamentares.


2. ÂMBITO

De acordo com o previsto no Regulamento da União Europeia nº 2016/679 de Proteção de Dados Pessoais e Decreto-Lei nº 67/98, esta política aplica-se aos dados pessoais, ou seja, “qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável”.


3. OPERACIONALIDADE DA POLÍTICA

Fundamentos de Tratamento dos Dados

Os dados pessoais recolhidos podem ser tratados de acordo com os seguintes fundamentos:

• Execução de Contrato e Diligências Pré-contratuais
Quando o tratamento dos dados pessoais for necessário para a celebração e gestão de contratos com a Ubiquity. São exemplos os contratos celebrados com colaboradores, clientes e prestadores de serviços/fornecedores.

• Interesse Legítimo da Empresa
Quando o tratamento dos dados corresponda a um interesse legítimo por parte da Ubiquity. Como exemplo da utilização deste fundamento temos o sistema CCTV que garante a segurança de pessoas e bens.

• Consentimento
Implica o consentimento prévio, expresso de forma livre e informada, por escrito ou através de validação de uma opção por via digital. Como exemplo temos o consentimento para utilização de dados para efeitos de marketing e divulgação.

• Cumprimento de Obrigação Legal
Quando o tratamento dos dados pessoais seja necessário para cumprir uma obrigação legal. Neste contexto temos os exemplos de cumprimento de obrigações fiscais


Recolha e tratamento de dados pessoais

No âmbito das funções dos colaboradores da Ubiquity ocorre a recolha, registo, organização, conservação, utilização e consulta de dados pessoais. Poderão ainda ocorrer outras operações que, nos termos do RGPD são denominadas por “tratamento de dados pessoais”.

Os dados pessoais recolhidos respeitam não só a colaboradores como também a fornecedores, candidatos e a clientes.

Aquando da recolha dos Dados Pessoais, a Ubiquity presta aos titulares dos dados informações detalhadas acerca da natureza dos dados recolhidos e acerca da finalidade e do tratamento que será realizado relativamente aos dados pessoais, e, bem assim, as informações relativas ao direito de acesso aos dados pessoais.
A Ubiquity garante que o tratamento dos dados pessoais cumpre os requisitos indicados pelo Responsável pelo Tratamento dos Dados, bem como garante as medidas técnicas e organizacionais para a proteção dos dados pessoais.


Utilização e finalidades do tratamento de dados pessoais

Em termos gerais, a Ubiquity utiliza os dados do titular dos dados para diversas finalidades, nomeadamente a faturação e cobrança, para efeitos de marketing e para gestão recursos humanos e recrutamento de colaboradores, entre outras.

Os dados pessoais recolhidos pela Ubiquity não são partilhados com terceiros sem consentimento do titular, com exceção das situações referidas no parágrafo seguinte. No caso de o titular contratar junto da Ubiquity serviços que sejam prestados por outras entidades responsáveis pelo tratamento de dados pessoais, os dados do titular poderão ser consultados ou acedidos por essas entidades, na medida em que tal seja necessário à prestação dos referidos serviços.

Nos termos legais aplicáveis, a Ubiquity poderá transmitir ou comunicar os dados do titular a outras entidades no caso de essa transmissão ou comunicação ser necessária para a execução do contrato estabelecido entre o titular e a Ubiquity, ou para diligências pré-contratuais a pedido do titular, no caso de ser necessária para o cumprimento de uma obrigação jurídica a que a Ubiquity esteja sujeita ou no caso de ser necessária para efeito da prossecução de interesses legítimos da Ubiquity ou de terceiro.

Ocorrendo uma transmissão de dados do titular a terceiros, serão envidados os esforços considerados razoáveis para que o destinatário utilize os dados de forma consentânea com esta Política de Privacidade.


Período de Conservação dos Dados

O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

Efetivamente, existem requisitos legais que obrigam a conservar os dados por um período de tempo mínimo. Assim, e sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.


Direitos dos Titulares dos Dados Pessoais

Nos termos da legislação aplicável, é concedido ao titular dos dados o direito de acesso, retificação, apagamento, limitação, oposição, esquecimento, portabilidade e não estar sujeito a processamento automatizado dos dados. Para garantir a segurança no processo é exigida prova de identidade de modo a assegurar a confidencialidade.

O titular dos dados pode, a qualquer momento, aceder aos dados que nos facultou, solicitar correção ou alteração, sempre que se justificar, com o compromisso de darmos o respetivo seguimento no prazo de 30 dias.

Também lhe é concedido o direito a ser esquecido, pelo que os dados pessoais serão eliminados, no prazo acima referido, a contar da data do pedido, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo os casos em que a Ubiquity tem de conservar os dados para cumprir uma imposição legal.

Tem ainda o direito de apresentar uma reclamação à Autoridade Nacional – Comissão Nacional de Proteção de Dados (CNPD).


Medidas técnicas, organizacionais e de segurança

Para garantir a segurança dos dados do titular, a Ubiquity trata a informação que este nos forneceu de forma absolutamente confidencial, de acordo com as suas políticas e procedimentos internos de segurança e confidencialidade, os quais são atualizados periodicamente consoante as necessidades, bem como de acordo com os termos e condições legalmente previstos.

Em função da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos decorrentes do tratamento para os direitos e liberdades do titular, a Ubiquity compromete-se a aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas necessárias e adequadas à proteção dos dados e ao cumprimento dos requisitos legais.

Compromete-se ainda a assegurar que apenas são tratados os dados que forem necessários para cada finalidade específica do tratamento e que esses dados não são disponibilizados a um número indeterminado de pessoas.

Em termos de medidas gerais, a Ubiquity adopta as seguintes:
a) Auditorias regulares com vista a aferir a eficácia das medidas técnicas e organizativas implementadas;
b) Sensibilização e formação do pessoal implicado nas operações de tratamento de dados;
c) Pseudonimização e cifragem de dados pessoais, sempre que justificável;
d) Mecanismos capazes de assegurar a confidencialidade, disponibilidade dos sistemas de informação;
e) Mecanismos que asseguram o restabelecimento dos sistemas de informação e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;


Responsável pelo tratamento de dados

O responsável pela recolha e tratamento dos seus dados pessoais é empresa Ubiquity que decide quais os dados recolhidos, meios de tratamento e finalidades para que os dados são usados. A Ubiquity possui um Encarregado de Proteção de Dados que tem como principais responsabilidades:
• Informar e aconselhar o responsável pelo tratamento e os subcontratados, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações face à proteção de dados;
• Controlar a conformidade com o regulamento de proteção de dados pessoais, políticas e procedimentos internos associados, formação e auditorias;
• Dar seguimento aos pedidos apresentados pelos titulares dos dados;
• Cooperar com a autoridade de controlo – CNPD;
• Ser o ponto de contacto com a autoridade de controlo sobre questões relacionadas com o tratamento de dados pessoais.

Caso pretenda exercer os seus direitos, obter informação adicional ou esclarecer qualquer dúvida sobre esta política deverá remeter as suas questões para:

Ubiquity Technology, Lda
A/C Encarregado de Proteção de Dados
Av. da República, 754
4430-190 Vila Nova de Gaia
Tel.: +351 225 400 105
ou para o endereço- de correio eletrónico: privacy@ubiquity.pt


- Alterações à Política de Privacidade

A Ubiquity reserva-se o direito de, a qualquer momento, proceder a modificações ou atualizações à presente Política de Privacidade, sendo essas alterações devidamente atualizadas.


- atualizado a 2 Março 2021