POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
-RN360° COMUNICAÇÃO-
POR FAVOR, LEIA CUIDADOSAMENTE OS PRESENTES DOCUMENTOS, CLICANDO NO ÍCONE PARA ABRIR O TEXTO.
POLÍTICA DE PROTEÇÃO DE DADOS
A RN precisa coletar e usar certos tipos de informações sobre os indivíduos ou usuários de serviços no que tange
a prestação de serviços da RN a fim de dar continuidade ao nosso trabalho. Essas informações pessoais devem
ser coletadas e tratadas apropriadamente, se são coletadas em papel, armazenadas em um banco de dados de
computador, ou gravadas em outro material e há salvaguardas para garantir isso na LEI N⁰ 13.709, DE 14 DE
AGOSTO DE 2018.
1. Operador de dados
RN é o operador de dados a lei, o que significa que ele “realiza o tratamento de dados pessoais em nome do
controlador” e se compromete a aplicar transparência, consentimento, controle e segurança em seus processos de
coleta, armazenagem e gestão dos dados pessoais.
2. Divulgação
RN pode partilhar dados com outras agências, tais como a autoridade local e outras agências voluntárias.
O usuário individual/serviço será conscientizado na maioria das circunstâncias como e com quem suas
informações serão compartilhadas. Há circunstâncias em que a lei permite RN para divulgar dados (incluindo
dados confidenciais) sem o consentimento do titular dos dados.
Estes são:
a) Execução de um direito jurídico ou autorizado pelo Secretário de estado
b) Proteger os interesses vitais de um utilizador individual/de serviço ou de outra pessoa
c) O usuário individual/serviço já fez a informação pública
d) Realização de qualquer processo judicial, obtenção de aconselhamento jurídico ou defesa de quaisquer direitos legais
e) Monitorização para fins de igualdade de oportunidades – ou seja, raça, deficiência ou religião
f) Fornecer um serviço confidencial em que o consentimento do usuário individual/serviço não pode ser
obtido ou quando é razoável proceder sem consentimento: por exemplo, onde gostaríamos de evitar
forçar pessoas estressadas ou doentes/usuários de serviço a fornecer o consentimento Assinaturas.
RN considera o tratamento legal e correto das informações pessoais como muito importante para o trabalho bem sucedido, e para manter a confiança daqueles com quem negociamos.
RN pretende assegurar que as informações pessoais sejam tratadas de forma legal e correta.
Para esse fim, RN obedecerá aos princípios de proteção de dados, conforme detalhado na lei geral de proteção de
dados 2018.
Especificamente, os princípios exigem que as informações pessoais:
a) Devem ser processados de forma justa e legal e, em particular, não serão processados a menos que
sejam cumpridas condições específicas,
b) Deve ser obtido apenas para um ou mais dos fins especificados na lei, e não deve ser processado de
qualquer forma incompatível com esse propósito ou esses fins,
c) Deve ser adequada, relevante e não excessiva em relação a esses fins (s)
d) Devem ser precisos e, se necessário, mantidos atualizados,
e) Não deve ser mantido por mais tempo do que o necessário
f) Devem ser processados de acordo com os direitos dos titulares de dados ao abrigo da lei,
g) Deve ser mantido seguro pelo controlador de dados que toma medidas técnicas e outras apropriadas
para evitar o processamento não autorizado ou ilegal ou perda acidental ou destruição de, ou danos a,
informações pessoais,
h) Não devem ser transferidos para um país ou território, a menos que esse país ou território assegure
um nível adequado de proteção dos direitos e liberdades dos utilizadores individuais/serviços em
relação ao tratamento de pessoal Informações.
RN será, através da gestão adequada e aplicação rigorosa dos critérios e controlos:
• Observar plenamente as condições relativas à recolha e utilização justas de informações
• Cumprir as suas obrigações legais para especificar as finalidades para as quais as informações são utilizadas
• Recolher e processar informações apropriadas, e apenas na medida em que seja necessário para cumprir as suas necessidades operacionais ou para cumprir quaisquer requisitos legais
• Garantir a qualidade das informações utilizadas
• Assegurar que os direitos das pessoas sobre quem são mantidas as informações podem ser plenamente exercidos a lei. Estes incluam:
· O direito de ser informado de que o processamento está sendo realizado, o direito de
acesso à sua informação pessoal o direito de evitar o processamento em determinadas
circunstâncias e
· O direito de corrigir, retificar, bloquear ou apagar informações que são consideradas como informações erradas.
• Tomar medidas de segurança técnicas e organizacionais apropriadas para salvaguardar as informações pessoais
• Garantir que as informações pessoais não sejam transferidas para o exterior sem salvaguardas
adequadas
• Trate as pessoas justa e razoavelmente qualquer que seja a sua idade, religião, deficiência, sexo,
orientação sexual ou etnia ao lidar com os pedidos de informação
• Definir procedimentos claros para responder aos pedidos de informação
3. Coleta de dados e consentimento
Consentimento informado é quando
• Um usuário individual/de serviço entende claramente por que suas informações são necessárias, com
quem ele será compartilhado, as possíveis consequências deles concordando ou recusando o uso
proposto dos dados
• E então dá o seu consentimento.
RN garantirá que os dados sejam coletados dentro dos limites definidos nesta política. Isso se aplica aos dados
coletados pessoalmente ou ao preencher um formulário.
Ao coletar dados, RN garantirá que o usuário individual/de serviço:
a) Compreende claramente por que a informação é necessária
b) Entende o que será usado e quais são as consequências se o usuário individual/serviço decidir não dar
consentimento para o processamento
c) Na medida do possível, concede consentimento explícito, seja escrito ou verbal, para que os dados
sejam processados
d) É, tanto quanto razoavelmente praticável, competente o suficiente para dar o consentimento e tem
dado tão livremente, sem qualquer coação
e) Recebeu informações suficientes sobre por que seus dados são necessários e como ele será usado
4. Armazenamento de dados
As informações e os registos relativos aos utilizadores dos serviços serão guardados de forma segura e só serão
acessíveis aos funcionários autorizados e aos voluntários.
As informações serão armazenadas por apenas enquanto for necessário ou exigido estatuto e será descartado de
forma adequada.
É RN responsabilidade para garantir que todos os dados pessoais e da empresa são não recuperáveis a partir de
qualquer sistema informático anteriormente utilizado dentro da organização, que foi transmitido/vendido a um
terceiro.
5. Acesso a dados e precisão
Todos os indivíduos/usuários do serviço têm o direito de acessar as informações RN detém sobre eles. RN
também tomarão medidas razoáveis para garantir que essas informações sejam mantidas atualizadas
perguntando aos titulares dos dados se houve alguma alteração. Na adição, RN vai assegurar isso:
• Tem um encarregado da proteção de dados com responsabilidade específica para assegurar a
conformidade com a proteção de dados
• Todos os que processam informações pessoais entendem que são contratualmente responsáveis por
seguir boas práticas de proteção de dados
• Todos os que processam informações pessoais são devidamente treinados para o fazer
• Qualquer pessoa querendo fazer perguntas sobre o manuseio de informações pessoais sabe o que fazer
• Ele revisará e auditará regularmente as formas de manter, gerenciar e usar informações pessoais
• Todos os funcionários estão cientes de que uma violação das regras e procedimentos identificados nesta
política pode levar a medidas disciplinares sendo tomadas contra eles
Esta política será atualizada conforme necessário para refletir as melhores práticas em gerenciamento de dados,
segurança e controle e para garantir o cumprimento de quaisquer alterações ou emendas feitas à lei geral de
proteção de dados 2018.
Em caso de dúvidas ou perguntas em relação a esta política, entre em contato com a nossa gestão de
conformidades através do e-mail: lgpd@rn360.com.br.
PSI – Política de Segurança da Informação
1. Objetivo
A Política de Segurança da Informação (“PSI”) visa preservar a confidencialidade, integridade e disponibilidade das
informações utilizadas e geridas na RN. Nesta política descrevemos a conduta adequada para uso, manuseio,
controle, proteção e descarte dos recursos de tecnologia utilizados na RN.
2. Abrangência
Esta política abrange todos os funcionários, visitantes e prestadores de serviço que possam ter acesso as instalações
da “RN” ou aos dados e sistemas dela.
Ambiente de tecnologia, entende-se como: acesso as instalações físicas, áreas de confidencialidade, rede de dados,
internet e quaisquer sistemas utilizados em nosso ambiente de trabalho.
Só terão acesso as informações tais como: arquivos, áreas de confidencialidade e sistemas da RN, os
colaboradores que concordarem com esta política registrando o aceite através de assinatura no “ACEITE DA
POLÍTICA E DAS NORMAS” da RN.
Embora este termo determine a adesão profissional a todas as políticas e normas internas da RN, torna-se
indispensável a leitura de todas as outras políticas relacionadas à segurança da informação.
3. Reponsabilidades RN
• Inclusão no orçamento anual de valores referentes a investimentos em recursos computacionais, incluindo
aquisição e renovação de equipamentos, softwares e requisitos de segurança digital;
• Fornecer espaço suficiente em servidores para armazenamento de arquivos e dados de seus sistemas;
• Fornecer espaço suficiente para o armazenamento de uma rotina de backup que contemple todos os dados
referentes aos processos e atividades da empresa;
• Atender as necessidades de recursos de T.I, no intuito de garantir a integridade, disponibilidade e
confidencialidade das informações do ambiente de tecnologia;
• Atender as necessidades de T.I relacionadas ao desenvolvimento e manutenção de um plano de
continuidade do negócio.
4. Política de confidencialidade
Todos os colaboradores devem estar cientes e zelar pela confidencialidade das informações e processos pertinentes
a RN.
E devem seguir com as orientações de manuseio, tratamento e não divulgação de informações confidenciais, sem
autorização prévia.
5. Dever de sigilo
Para prestadores de serviço e terceirizados, o termo de dever de sigilo se inicia no contrato de prestação de serviços
e é reforçado no início das atividades.
Todos os contratos devem possuir o termo de confidencialidade para proteção das informações da RN. Cabe a cada
gestor contratante averiguar ou impor uma cláusula de confidencialidade para cada contrato que por ele for gerido.
6. Política de mesa e tela limpa
Zelar pela segurança das informações mantendo o ambiente de trabalho de maneira que não gere exposição
excessiva de informações.
Seguir a política de mesa e tela limpa como rotina em seu dia a dia. Evitando informações confidenciais, pessoais e
senhas em formato, impresso, em anotações, rascunhos ou post-it sobre a mesa ou colados no computador .E se utilizar computador em locais públicos, não abra informações pessoais ou confidenciais, mas se assim for
necessário, utilizem protetores de privacidade.
7. Dispositivos de gravação e filmagem
Dispositivos com função de gravação, fotografia e filmagem só podem ser executados nas dependências da RN
quando autorizados, e o motivo para a execução de tais funções deve estar claramente definido ou fazer parte do
escopo de atuação do colaborador.
Gravação, fotografia ou filmagens são proibidas por visitantes nas instalações da RN.
Em reuniões importantes que contenham informações confidenciais e altamente confidenciais, o uso de dispositivos
de gravação e fotografia também está proibido. E deve-se executar um procedimento de recolhimento de dispositivos
Smartphones antes do início de tais reuniões.
8. Acesso a rede sem fio (Wi-Fi)
Para acesso à internet utilizando as redes sem fio “Wi-fi” considerem a distinção e o uso adequado de acordo com o
tipo de conexão, sendo “GUEST” para visitantes, “CORP” para notebooks da RN e para Smartphones corporativos
da RN.
9. Uso de notebooks
Os colaboradores que possuem notebooks da RN como ferramenta de trabalho, devem zelar pela integridade dos
equipamentos. E devem seguir com o uso deles apenas para “fins comerciais” de interesse da RN.
E só devem sair das dependências da RN portando o dispositivo quando autorizado pelo seu Gestor, e efetuando o
registro necessário conforme procedimento para saída com dispositivos de armazenamento de dados.
Dados pessoais, confidenciais ou de uso interno, só podem ser armazenados no disco local, se estiverem protegidos
por criptografia.
10. Uso de celular corporativo
Para os colaboradores que possuem o celular corporativo fornecidos pela RN, considerem algumas regras e medidas
de uso do equipamento, o colaborador torna-se responsável pelo aparelho devendo zelar pela integridade física do
dispositivo e pelas informações nas quais ele portar.
O celular corporativo deve ser utilizado apenas para “fins comerciais” de interesse da RN. Não sendo permitida a
instalação de aplicativos não autorizados.
Em caso de perda ou furto do aparelho, o colaborador responsável por ele, deve comunicar imediatamente ao Gestor
Administrativo sobre o incidente.
11. E-mail
O serviço de e-mail deve ser utilizado apenas para “fins comerciais” de interesse da RN. E os colaboradores devem
seguir e se atentar com as medidas de segurança da informação exigidas pela política de uso.
Ao enviar um e-mail para fora da empresa, o colaborador deve considerar o nível da informação e seguir com os
procedimentos de envio adequado para tal.
Informações pessoais, confidenciais e altamente confidenciais, não podem ser enviadas no corpo do e-mail, apenas
em arquivos anexos protegidos por senha.
12. Classificação da informação
Todos os arquivos digitais não rotulados ou não classificados são definidos como de informação pública, portanto
todos os arquivos e informações criados e administrados no ambiente de dados da RN devem ser classificados e
gerenciados de acordo com o seu nível de classificação.
Todos os arquivos da RN devem seguir com algum tipo de rótulo de classificação, sendo eles:
Pessoal: Informações coletadas e tratadas internamente que contenham: nome, sobrenome, endereço, telefone, email, CPF, RG ou dado biométrico. Tendo também dados pessoais sensíveis, tais como: origem racial, opinião
política, opção sexual e informação de saúde.
Protegido: Arquivo para uso interno. Ex. políticas e procedimentos internos.
Confidencial: Informação que quando exposta externamente poderá ocasionar em perdas financeiras, de imagem
ou competitividade ao negócio.
Altamente Confidencial: Informação que quando exposta externamente poderá ocasionar em perdas financeiras,
de imagem, competitividade ao negócio e afetar o Contratado e Contratante.
Informações classificadas como “Pessoal”, “Confidencial” e “Altamente Confidencial” não podem ser enviadas por email sem que estejam criptografadas, protegidas por senha.
Para mais detalhes sobre as informações de classificação, consultem a política de classificação de arquivos
disponível no diretório de rede interno “POLÍTICAS”.
13. Acesso aos diretórios de rede
Os acessos aos diretórios de dados da RN são configurados por grupos de permissões do domínio local, e seguem
regras definidas pela alta direção da RN. E se baseiam em práticas de governança de informações e regras de
relacionamento para o bom funcionamento do negócio como um todo.
Estas regras de acesso são definidas pela alta Direção da RN e executadas pela equipe técnica responsável pela
gestão do ambiente de Tecnologia.
Para solicitação de novo acesso ou criação de um novo diretório, o colaborador deve fazê-lo por e-mail ao Gestor
Administrativo da RN, e deve colocar o seu superior em “Cc” para aprovação da solicitação.
14. Logins de acesso aos sistemas
A criação dos logins de acesso aos sistemas da RN é confeccionada no ato da contratação do colaborador, mediante
solicitação do Gestor contratante junto ao departamento de RH.
O RH mediante solicitação do contratante encaminha ao executor de T.I a necessidade de criação dos logins. E o
executor de T.I é responsável pela criação e entrega dos logins diretamente ao colaborador.
Revisões e revogações de acessos seguem as mesmas regras de criação de logins, devem ser feitas por escrito, e
os registros devem ser mantidos durante todo o vínculo do colaborador com a RN.
Para colaboradores desligados, deve-se manter o histórico de credenciais de acesso por 1 ano após o seu
desligamento.
E o RH é o responsável por manter estes registros de solicitações de acesso de todos os colaboradores da RN, pois
ele é responsável pela solicitação de criação e cancelamento de logins.
15. Política de Backup
Todos os arquivos e sistemas da RN possuem políticas de backup e retenção de dados que seguem as boas práticas
de governança de dados de tecnologia. E para que todas as informações estejam protegidas contra perdas
inesperadas ou acidentais, determinamos que nenhuma informação seja armazenada nos discos locais de seus PCs
e Notebooks.
Para restauração de backup de algum arquivo, o colaborador poderá solicitar a restauração do mesmo junto a equipe
técnica executora de T.I.
16. Política de uso aceitável (Softwares e Computadores)
Por questão de segurança digital e conformidade com direitos autorais, os softwares utilizados e instalados nos
computadores, notebooks e servidores da RN são inventariados e controlados via sistema.
Não estão permitidas a instalação ou atualização de quaisquer softwares sem a autorização e consentimento da
equipe executora de T.I.
Os computadores e notebooks não possuem permissões administrativas para instalação, atualização ou remoção
de softwares, portanto, caso necessária alguma intervenção, a equipe técnica de T.I deverá ser acionada.
Para solicitação de novos softwares, o colaborador deverá submeter a solicitação ao Gestor Administrativo da RN.
17. Descarte de ativos de T.I
Por questão de segurança das informações da RN o descarte de ativos de T.I só deve ser efetuado seguindo algumas
ações técnicas, sendo elas:
a) Baixa do ativo no sistema de inventario e na contabilidade;
b) Destruição dos dados armazenados em discos, utilizando ferramentas especificas WipeDisk para eliminar a
possibilidade de recuperação de dados;
c) CPUs, notebooks e drives externos (HDs externos e pendrives) devem passar pelo processo de WipeDisk;
d) Em casos de doações de equipamentos de tecnologia, seguir com procedimentos de WipeDisk, baixa em
inventario e NF de doação do equipamento.
18. Dispositivos de armazenamento e portas de comunicação USB
Dispositivos de armazenamento interno são os Hard Disk (HDs) ou Solid State Drive (SSD) presentes internamente
nos computadores, notebooks e servidores.
Já os dispositivos de armazenamento externo, são as mídias de fácil remoção, tais como: Pen drive, HD externo,
cartão de memória, CDs, DVDs, Fitas de Backup e Disquete.
Para os itens de fácil remoção (pen drive, hd externo e cartões de memória) aplicamos alguns controles de segurança
para que se evitem vazamento de dados e infecção por malwares no ambiente de tecnologia.
Considerem que o uso de dispositivos de armazenamento externo é um risco para segurança da informação no que
diz respeito a vazamento de informações, portanto, informações classificadas como “PESSOAL, CONFIDENCIAL e
ALTAMENTE CONFIDENCIAL só podem ser transferidas por estes meios, quando estiverem criptografadas.
Considerem proibido o uso de dispositivos externos sem criptografia.
19. Senha segura
Regras de segurança são implementadas para garantir o uso seguro do conjunto de logins e senhas do ambiente de
sistemas da RN.
A senha possui complexidade de combinação entre letras, números, caracteres especiais, e letras em maiúsculo e
minúsculo.
A senha não deve conter parte do nome do login, e deve ter no mínimo 9 caracteres de cumprimento.
Todo colaborador ao receber uma senha, deve alterara-la no ato do recebimento.
O colaborador é responsável pelo seu login e senha, e jamais deve anotá-la ou compartilhá-la com terceiros. Não se
deve utilizar a mesma senha para vários sistemas, recomenda-se uso distinto para cada sistema ou ambiente
acessado.
20. Notificação de incidentes e abusos
Por incidentes de segurança da informação considerem qualquer parada sistêmica ou indisponibilidade de recursos
de T.I que não fora programada. Exemplos: infecção de dispositivos por malware, indisponibilidade dos sistemas por
ataque cibernético, falha física em algum equipamento, ou até perda e furto de equipamentos de tecnologia.
Já algumas ações abusivas de colaboradores também podem gerar riscos e ocasionar em indisponibilidades
sistemas, exemplos: má uso de dispositivos de tecnologia, compartilhamento de logins e senhas, circular com ativos
de tecnologia fora da empresa sem as devidas precauções etc.
Cada indisponibilidade sistêmica ou de informação que ocorra no ambiente, a RN deve reportar a alta gestão de
segurança da RN, por isso, ao presenciar qualquer incidente de segurança da informação, notifique imediatamente
através do e-mail o lgpd@rn360.com.br ou por meio físico com a equipe técnica.
21. SGSI – Sistema de gestão de segurança da informação
O SGSI – sistema de gestão de segurança da informação é o responsável pela condução e execução das políticas
exigidas pela LGPD, aqui na RN.
Através do SGSI, avalia-se a aderência e aplicação das políticas, define-se o cronograma de implantação e melhorias
de segurança, define-se o cronograma de treinamentos aos colaboradores, e define o orçamento necessário para a
gestão de T.I da RN.
O SGSI é o responsável por gerar as informações necessárias para os inputs de status de conformidade de
segurança da informação. O SGSI é formado pela Gestão Administrativa da RN e pela equipe de TI.
22. Programa de conscientização de segurança da informação
Com base nos relatórios do SGSI define-se o cronograma de treinamentos de segurança da informação, integração
de T.I e reciclagem para todos os colaboradores da RN.
Os treinamentos são baseados nas políticas e procedimentos da das ISOS 27001 e 27002, e cada colaborador deve
ter em seu currículo a conclusão em todos os módulos definidos pelo SGSI, além de reciclagens anualmente sobre
os tópicos mais críticos.
23. Advertências e penalidades
Informamos a todos os colaboradores sobre possíveis advertências e penalidades para casos de violação de alguma
das regras descritas nesta política de segurança da informação.
A RN por meio de sua política interna e com apoio argumentado do SGSI-RN, pode advertir ou aplicar algum
processo disciplinar ao colaborador infringir alguma regra ou política interna.
Para mais detalhes consulte a “PLTI-008 – Advertências e Penalidades”
24. Política de proteção de dados
Colaboradores da RN na qualidade de operadores de dados responsabilizam-se pelo tratamento de dados em nome
dos controladores “CONTRATANTES”. E comprometem-se em exercer as diretrizes descritas na LGPD. Assim como
compromete-se em exercer TRANSPARENCIA, CONTROLE, CONSENTIMENTO e SEGURANÇA durante todo o
processo de coleta, armazenamento, tratamento e transferência de informações pessoais.
A RN se compromete em zelar pela PRIVACIDADE das informações pessoais e de seus respectivos donos, por todo
o tempo em que as informações estiverem em sua posse.
E se compromete a executar o DESCRATE adequado das informações pessoais, tão logo seja encerrada a
necessidade de uso delas, ou caso seja solicitado pelo proprietário das informações.
Toda pessoa física tem o direito do esquecimento, correção ou portabilidade de seus dados pessoais, portanto, caso solicitado, a RN se compromete em executar a ação solicitada.
25. Política de uso de controle criptográfico
Com o objetivo de proteger os dados armazenados e tratados pela RN, torna-se obrigatório o uso do cofre
criptografado de dados sempre que dados classificados como “PESSOAL, CONFIDENCIAL e ALTAMENTE
CONFIDENCIAL” for armazenado no disco local dos computadores. Esta regra deve ser seguida
indispensavelmente, mesmo que as informações sejam armazenadas temporariamente.
O cumprimento desta política é obrigação de todos os colaboradores da RN, e o não cumprimento desta política
estará sujeita as penalidades descritas em nossa política de “Advertências e penalidades”.
PLTI-002 – Política de retenção de dados
1. Política de retenção de dados
A retenção e a gestão de registros é um componente importante no processo de conformidade com as normas da
LGPD. Portanto, temos a necessidade de armazenar e gerenciar informações sobre operações gerais como parte
das atividades do dia a dia.
2. Propósito
Esta política fornece disposições gerais para a adesão aos registros e cronogramas de retenção e fornece uma
política consistente em relação à retenção e de registros e dados operacionais.
3. Escopo
Essa política se aplica a todos os funcionários da RN envolvidos na coleta, gerenciamento e armazenamento de
ativos informativos (escritos ou eletrônicos).
4. Responsabilidades gerais
A RN estabelecerá cronogramas de retenção de registros para atender aos requisitos legais, estatutários e de
conformidade, bem como às necessidades de litígio, processos de negócios e preocupações com a privacidade de
dados. Os requisitos de armazenamento serão coordenados com a Gestão RN e seu respectivo Gestor de T.I ou
DPO, para que se possa cumprir os requisitos de armazenamento e registros necessários.
Os períodos de retenção são geralmente determinados pela seguinte avaliação:
• Requisitos de conformidade regulatório, estatutária, legal ou geral estaduais e federais;
• Determinando os componentes eletrônicos de dados coletados, sua finalidade e aplicando a
retenção adequada a cada classe de ativos de dados;
• Identificando outras entidades internas ou externas que coletam, armazenam, arquivam ou
usam informações e registros da RN;
Os gestores da RN são responsáveis por executar os procedimentos e registrar as anotações referentes a
retenção e conforme descritas nesta política.
Os procedimentos específicos devem especificar o tempo de retenção, as regras de arquivamento, os formatos de
dados e os meios admissíveis de armazenamento, acesso e criptografia (se houver).
5. Requisitos de retenção
Os gestores de dados da RN ou seus subordinados devem:
• Implementar diretrizes de retenção e eliminação de dados que limitam o tempo de
armazenamento e retenção de dados àqueles que são necessários para requisitos legais,
regulamentais e de negócios
• Garantir que existem processos automáticos ou manuais para a destruição segura de papel e
registros eletrônicos quando não for mais necessário
• Seguir requisitos específicos de retenção para dados confidenciais conforme estabelecido por
esta política
• Identifique períodos de retenção para arquivos de log e trilhas de auditoria
• Defina e imponha os requisitos de retenção de e-mails
• Determine procedimentos e pessoal para lidar com pedidos de litígios, registros públicos e
individuais
Diferentes tipos de registros requerem períodos de retenção variados. Além de descrever por quanto
tempo vários tipos de informações devem ser mantidos, os procedimentos de retenção devem
especificar:
• Etapas usadas para arquivar informações e locais onde essas informações são armazenadas
• A destruição adequada das informações armazenadas eletronicamente após o período de
retenção identificado. Tais medidas devem seguir os requisitos descritos nesta política
• Procedimentos para cadeia de custódia e manuseio de eletronicamente armazenados e em
formação quando sob litígio
Em certos casos, os departamentos individuais podem ter requisitos únicos de retenção de registros
fora de grupos documentados. Estes devem ser documentados como parte de processos internos e
procedimentos comunicados ao Gestor da Administrativo da RN. Tais requisitos podem incluir
obrigações contratuais com clientes ou contatos comerciais ou requisitos de retenção de dados para
manter as operações comerciais.
Em alguns casos, os departamentos podem precisar reter informações armazenadas eletronicamente
para um arquivo histórico.
Durante o período de retenção adequado para registros eletrônicos, os dados arquivados podem ser
recuperados. Mas isso exigirá que os seguintes protocolos:
• À medida que o novo software e/ou hardware for implementado, a equipe de suporte garantirá
que novos sistemas e formatos de arquivo possam ler dados legados. Isso pode exigir que os
dados antigos sejam convertidos em novos formatos.
• Os dados criptografados devem ser recuperados. E a RN implementará procedimentos de
gerenciamento-chave que garantam que os dados criptografados possam ser de
criptografados quando necessário.
Ao estabelecer períodos de retenção de registros, A RN deve contar (por ordem de precedência):
• Diretrizes federais, leis e estatutos
• Diretrizes estaduais, recomendações, regras e requisitos estatutários
• Qualquer política da RN e procedimento que melhore os períodos de retenção federais e
estaduais existentes
6. Controles e Gestão de Auditoria
Procedimentos documentados sob demanda e evidências de prática devem estar em vigor para esta política
operacional.
Exemplos de gestão organizacional eficaz, controles de auditoria e práticas de funcionários incluem:
• Cronogramas de retenção de registros documentados e arquivamento
• Política de retenção de arquivos automatizada se possível, se aderente aos processos operacionais da
RN.
• Procedimentos e evidências anedóticas de migrações de dados para gerenciar a compatibilidade de
registro eletrônico com sistemas mais recentes
• Estratégias documentadas de criptografia e descriptografia que permitem a recuperação de registros
eletrônicos de arquivamento
• Procedimentos regulares dos funcionários e documentação anedótica de processos de gerenciamento de
registros e arquivamento
• Observação direta da organização e armazenamento de registros de arquivamento
7. Execução
Os funcionários encontrados em violação de políticas podem estar sujeitos a ações disciplinares, até e incluindo a
rescisão.
8. Retenção padrão RN
Em análise detalhada sobre os processos operacionais executados no ambiente da RN, determinamos as
seguintes regras para expurgo de dados em nossa política de retenção de dados:
• Dados são armazenados pelo tempo em curso da atividade “Evento” pela qual a RN for contratada
• Ao término do “Evento” pela qual a RN foi contratada, os dados serão mantidos pelo período máximo de 60
dias, em backup e com controle criptográfico
• Qualquer arquivo que contenha dados pessoais e que não se enquadre nas obrigações legais, estaduais
ou federais descritas no capítulo 4 desta, serão expurgados automaticamente após 12 meses, por meio de
política de retenção sistêmica.