Pular para o conteúdo
  • Produtos

    chat

    Atendimento pelo
    Whatsapp e outros canais.

    call

    Pabx Cloud para
    comunicação por voz.

    api

    Integre com sistema e envie
    notificações via Whatsapp.

  • Preços
  • Cases
  • Parcerias
  • Quem Somos
  • Integrações
  • Blog
  • Produtos

    chat

    Atendimento pelo
    Whatsapp e outros canais.

    call

    Pabx Cloud para
    comunicação por voz.

    api

    Integre com sistema e envie
    notificações via Whatsapp.

  • Preços
  • Cases
  • Parcerias
  • Quem Somos
  • Integrações
  • Blog
Menu Fechar
  • Fale Conosco
    • Contato
    • Central de Denúncias
    • Suporte
    • Documentação
    • Política de Privacidade
  • Fale Conosco
    • Contato
    • Central de Denúncias
    • Suporte
    • Documentação
    • Política de Privacidade
Menu Fechar
  • Entre

    chat

    Flow Builder
    Ez Desk.

    call

    api

  • Entre

    chat

    Flow Builder
    Ez Desk.

    call

    api

Políticas de Privacidade

Acordo de Processamento de Dados Pessoais (DPA), entre EZ e Cliente

 ACORDO DE PROCESSAMENTO DE DADOS (“DPA”)

PREÂMBULO

Considerando que as partes estão sujeitas aos ditames da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) e que o Contrato formalizado entre a CONTRATANTE e a CONTRATADA (EZ), pode conter atividades que envolvam dados pessoais, estando sujeito, portanto, à Lei 13.709/18 e demais legislações correlatas; e que o presente documento regulamenta as obrigações das partes na prestação de serviços.

As partes formalizam por meio do presente instrumento sua aderência e concordância com os termos e condições relacionados a seguir:

  • CONCEITOS
    1. Salvo disposição em contrário contidas no Contrato, todos os termos iniciados em maiúscula neste DPA terão o significado que lhes é atribuído abaixo: 
  1. DADOS: significam os Dados Pessoais, Dados Pessoais Sensíveis e informações encaminhadas em qualquer formato pela CONTRATANTE ou por terceiros para execução do Contrato e/ou Dados Pessoais, Dados Pessoais Sensíveis e/ou informações que sejam utilizados para a execução do Contrato.
  2. DADOS PESSOAIS: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular.
  3. TRATAMENTO: qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
  4. DADO ANONIMIZADO: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  5. CONTROLADOR: parte que determina as finalidades e os meios de tratamento de dados pessoais. No caso do presente Contrato, o Controlador é a CONTRATANTE, isto é, o CLIENTE da CONTRATADA.
  6. OPERADOR: parte que trata dados pessoais de acordo com as instruções do CONTROLADOR. No caso do presente contrato, o Operador é a CONTRATADA.
  7. ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  8. BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  9. ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  10. BLOQUEIO: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  11. ELIMINAÇÃO: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  12. TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro.
  13. TITULAR DOS DADOS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Indivíduo identificado ou identificável, que pode ser identificado, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificação on-line ou um ou mais fatores específicos para a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
  14. AVALIAÇÃO DE IMPACTO À PROTEÇÃO DE DADOS (DPIA): é um processo que deve ser conduzido pelo Controlador e pelo Operador destinado a identificar e mitigar os riscos relacionados à proteção de dados decorrentes de um projeto, que podem afetar a organização ou as pessoas das quais a empresa coleta, processa e armazena dados pessoais.
  15. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  16. INCIDENTE COM DADOS PESSOAIS: significa qualquer violação não autorizada ou ilegal da segurança que leve a, ou que se acredite ter causado, a perda, destruição, alteração, divulgação ou acesso não autorizado ou acidental aos dados pessoais.
  17. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS OU ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
  18. PAÍS ESTRANGEIRO: Outros países que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira.
  19. ORGANISMO INTERNACIONAL: organismos internacionais do qual o Brasil seja membro, que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira.
  20. SERVIÇO OU OFERTA DE SERVIÇO: significa os serviços contratados pela CONTRATANTE e fornecidos pela CONTRATADA conforme o Contrato e que é a base deste DPA.
  21. COOKIES: significam um conjunto de informações que um site pode armazenar no seu dispositivo. A partir do momento que essas informações forem armazenadas, elas serão fornecidas pelo navegador do titular sempre que acessar esse site, fazendo com que suas preferências sejam aplicadas. A CONTRATADA utiliza cookies para armazenamento de dados com as seguintes finalidades:
    1. Autenticação: Quando o acesso no portal da plataforma EZ e a autenticação são feitos por meio de usuário e senha, IDs são criados de forma aleatória para todos os usuários, e vinculados a cada conta. Dessa forma, evitamos a solicitação de login nas páginas subsequentes;
    2. Realizar o registro das preferências do usuário, como por exemplo o idioma, para que sejam aplicadas em todos os momentos de acesso ao portal;
    3. Para o correto funcionamento da plataforma EZ;
    4. Os cookies fornecem informações anônimas, que são usadas para compor a análise de Pesquisa e Estatística da EZ. Um exemplo é a utilização do Google Analytics, que nos ajuda a compreender a interação dos usuários com nossa plataforma, para, então, encontrar oportunidades de evoluir nossos serviços.

 

  • OBJETO
    1. O objeto dos termos e condições deste DPA é regular as condições adicionais relacionadas ao cumprimento da Lei 13.709/18 e legislação relacionada à proteção de dados pessoais e privacidade pelas partes.
    2. Este DPA se aplica ao tratamento de dados pessoais do Operador em nome do Controlador. O Operador processará os Dados Pessoais conforme necessário para executar o Contrato entre as partes, de acordo com os termos e conforme instruído pelo Controlador no uso do Serviço, sempre por escrito. Este DPA regula as medidas para proteger os Dados Pessoais de acordo com a Lei 13.709/18 (Lei Geral de Proteção de Dados ou LGPD) e outras legislações aplicáveis.
    3. A CONTRATANTE será o Controlador dos Dados pessoais fornecidos e/ou obtidos pela CONTRATANTE e/ou os Dados coletados pela CONTRATADA em nome da CONTRATANTE. A CONTRATADA somente será considerada como Controladora com relação aos dados pessoais de seus colaboradores que atuarem junto à CONTRATANTE e será considerada Operadora com relação aos dados pessoais da CONTRATANTE, sendo inteiramente responsável por tais Dados e Tratamentos, inclusive no tocante à eventual indenização devida a CONTRATANTE, ao Titular dos Dados e/ou terceiros, quando descumprir a legislação de proteção de dados pessoais ou as orientações lícias e escritas enviadas pela CONTRATANTE.
    4. Os termos iniciados em maiúsculas que não tenham sido expressamente definidos nestes termos e condições do DPA terão os significados que lhes forem atribuídos no Contrato ou na legislação aplicável. 
    5. Os Dados Pessoais tratados pelo Operador sob este DPA serão aqueles necessários para o fornecimento da Plataforma as a service e dos seus serviços correlatos.
    6.  Instruções ou termos adicionais (se houver) fora do escopo deste DPA requerem um acordo prévio por escrito entre o Operador e o Controlador. Também deve ser estabelecido um acordo sobre quaisquer taxas adicionais a serem pagas pelo Controlador ao Operador pela execução de instruções e/ou termos adicionais.

 

  • DO TRATAMENTO DOS DADOS 
    1. Em decorrência dos contratos entre as partes, a CONTRATADA realizará o tratamento de dados de acordo com as orientações expressas da CONTRATANTE e com as finalidades de cumprimento dos objetos contratuais.
    2. As partes declaram, por este instrumento, que cumprem toda a legislação aplicável sobre privacidade e proteção de dados, inclusive (sempre e quando aplicáveis) a Constituição Federal, o Código de Defesa do Consumidor, o Código Civil, o Marco Civil da Internet (Lei Federal n. 12.965/2014), seu decreto regulamentador (Decreto 8.771/2016), a Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018), e demais normas setoriais ou gerais sobre o tema. 
    3. A CONTRATADA se compromete a tratar os dados pessoais que possam estar relacionados ao objeto do Contrato somente nos estritos limites previstos nos documentos entre as partes e orientações da CONTRATANTE, não devendo praticar qualquer tipo de ato que envolva os dados pessoais transmitidos por meio deste Contrato sem a prévia e expressa autorização ou solicitação da CONTRATANTE, sob pena de responder pelos eventuais danos causados.
    4. Durante o armazenamento de dados pessoais transmitidos pela CONTRATANTE, a CONTRATADA respeitará, no mínimo, os seguintes padrões de segurança, os quais sempre deverão estar sustentados nas melhores tecnologias disponíveis no mercado:
  1. O estabelecimento de controle estrito sobre o acesso aos dados, mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados responsáveis;
  2. O estabelecimento de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
  3.  A criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela CONTRATADA e o arquivo acessado, inclusive quando tal acesso é feito para cumprimento das obrigações legais ou determinações por parte de autoridades; e 
  4.  Uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação.
  1. Caso a CONTRATADA entenda que alguma das orientações fornecidas pela CONTRATANTE viola a legislação de proteção de dados aplicável, deverá comunicá-la imediatamente, apresentando as respectivas justificativas.
  2. A CONTRATADA deverá manter registro escrito das seguintes informações:
  1. Registro de todas as atividades de tratamento de dados pessoais fornecidos pela CONTRATANTE;
  2. Registro das transferências internacionais de dados pessoais a países terceiros, incluindo a informação sobre o país/organização de destino, e no caso das transferências indicadas no artigo 33 da Lei Geral de Proteção de Dados, a documentação que comprove a adequação das garantias necessárias;
  3. Descrição geral das medidas técnicas e organizacionais de segurança que garantam a: 
  1. Pseudonimização e encriptação dos dados pessoais, quando aplicável;
  2. Confidencialidade, disponibilidade, integridade e resiliência dos sistemas; 
  3. Capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida em caso de incidente físico ou técnico; e 
  4. Existência de processo de verificação contínua de medidas técnicas e organizacionais relativas à segurança do tratamento de dados pessoais.
  1. A CONTRATADA deverá manter sigilo em relação os dados pessoais tratados em virtude deste contrato, garantindo que todas as pessoas e suboperadores autorizados a tratarem tais dados estão comprometidos, de forma expressa e por escrito, estando sujeitas ao dever de confidencialidade, bem como devidamente instruídos e capacitados para o tratamento de dados pessoais. 
  2. Sempre que necessário, a CONTRATADA deverá auxiliar a CONTRATANTE a realizar avaliações de risco e impacto (DPIA), bem como a garantir a possibilidade de exercício dos seguintes direitos por parte dos Titulares dos dados:
  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  5. Portabilidade dos dados;
  6. Eliminação dos dados pessoais tratados com o consentimento;
  7. Informação sobre entidades públicas e privadas com as quais foi realizado uso
  8. compartilhado de dados;
  9. Informação sobre a possibilidade de não fornecimento do consentimento e sobre as
  10. consequências da negativa;
  11. Revogação do consentimento; e
  12. Revisão de decisões automatizadas tomadas com base no tratamento de dados pessoais.
  1. Caso algum Titular solicite o exercício de seus direitos descritos na cláusula anterior diretamente à CONTRATADA, esta deverá comunicar tal fato à CONTRATANTE, de forma imediata (e, no limite, no dia útil seguinte). 
  2. Sem prejuízo do disposto nas cláusulas anteriores, a CONTRATADA será responsável, mediante a comprovação de culpa, por eventual acesso indevido, não autorizado e do vazamento ou perda dos dados pessoais armazenados que forem transmitidos pela CONTRATANTE (“violação de dados pessoais”):
  1. Caso a CONTRATANTE seja demandada por qualquer pessoa, autoridade ou entidade, pública ou privada, em razão de violação de dados que estavam sob armazenamento da CONTRATADA, por culpa exclusiva dessa, fica garantido à CONTRATANTE o direito de denunciação da lide, nos termos do artigo 125, II, do Código de Processo Civil.
  2. Em caso de incidente de segurança, que de alguma forma afete ou possa afetar o tratamento e a segurança dos dados pessoais, incluindo má utilização por parte de prepostos, empregados ou representantes da CONTRATADA, deverá a CONTRATADA enviar comunicação à CONTRATANTE por escrito, por meio físico ou eletrônico, no prazo máximo de 48 (quarenta e oito) horas, certificando-se do recebimento, imediatamente a partir da ciência do vazamento, contendo, no mínimo, as seguintes informações: 
  1. data e hora do incidente;
  2. data e hora da ciência pela CONTRATADA;
  3. relação dos tipos de dados afetados pelo incidente;
  4. número de Titulares afetados;
  5. relação de Titulares afetados pelo vazamento;
  6. dados de contato do Encarregado de Proteção de Dados (DPO) ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido;
  7. descrição das possíveis consequências do incidente; e
  8. indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes. 

b.1. Caso a CONTRATADA não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 24 (vinte e quatro) horas a partir da ciência do incidente. 

  1. A CONTRATADA disponibilizará toda a documentação necessária para demonstrar o cumprimento das obrigações estabelecidas neste contrato ou na legislação de proteção de dados aplicável, sendo facultado à CONTRATANTE a realização de auditorias, mediante a contratação de empresa terceira ou não, às custas da CONTRATANTE, em período previamente combinado entre as partes. 

3.11. O presente termo expressamente autoriza a CONTRATADA a subcontratar outros Operadores, em todo ou em parte, para o exercício de qualquer atividade de tratamento de dados relacionada ao objeto da contratação, desde que se configurem como serviços auxiliares necessários para o normal funcionamento dos serviços da CONTRATADA. Caso haja a necessidade de subcontratar outras empresas, deverá a CONTRATADA disponibilizar o rol à CONTRATANTE, quando solicitado por escrito, indicando exatamente os tipos de tratamentos e dados afetados pela subcontratação. 

3.11.1. Para todos os efeitos, a parte subcontratada pela CONTRATADA será considerada como Sub-Operador, estando obrigada a, no mínimo, cumprir as obrigações estabelecidas no presente DPA, cabendo à CONTRATADA garantir que a parte subcontratada estará sujeita às mesmas obrigações deste DPA, sendo a CONTRATADA responsável, perante a CONTRATANTE, pelas atividades de tratamento de dados exercidas pela parte subcontratada.

3.12. A CONTRATANTE autoriza expressamente a transferência internacional dos dados pessoais, desde que a CONTRATADA forneça, sempre que solicitado, o local do armazenamento de tais dados e que os países de destino estejam minimamente adequados às obrigações de privacidade estabelecidas na legislação brasileira. 

3.13. Exceção: Não estará incluso neste acordo o tratamento de dados pessoais de titulares que utilizem os serviços da CONTRATADA em nome da CONTRATANTE e que forneçam consentimento lícito para que a CONTRATADA realize envio de mensagens promocionais referentes aos seus serviços. Neste caso, a CONTRATADA será considerada CONTROLADORA DOS DADOS PESSOAIS, conforme Política de Privacidade com Usuários disponível no seu website.

  1. PRAZO E RESCISÃO 
    1. O prazo do presente DPA está vinculado ao prazo dos Contrato de serviços entre as partes.
    2. Ao término da relação entre as partes e/ou quando a CONTRATANTE assim solicitar, deverá a CONTRATADA eliminar, corrigir, anonimizar e/ou bloquear o acesso aos dados, em caráter definitivo ou não, a critério da CONTRATANTE, os dados pessoais que tiverem sido transmitidos por este durante a vigência do presente Contrato, estendendo-se a eventuais cópias, salvo mediante instrução diversa na ocasião oportuna.
    3. Após o término deste Contrato, a CONTRATANTE poderá requerer cópia dos Dados Pessoais que estejam nos sistemas e em posse da CONTRATADA, pelo prazo de 30 (trinta) dias após o término do Contrato.
    4.  Após esse período, caso a CONTRATANTE não se manifeste, a CONTRATADA realizará a eliminação, em definitivo de seu sistema, de qualquer registro dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável. Na medida permitida pela legislação aplicável, nos casos de Dados Pessoais arquivados em sistemas de backup que são mantidos de forma isolada e inalterável para garantia da segurança do sistema, a CONTRATADA irá lidar com a exclusão dos Dados Pessoais de acordo com regras de segurança da sua organização.
    5. Caso a CONTRATANTE requeira a cópia dos Dados Pessoais, no momento que a CONTRATADA terminar a devolução, a CONTRATANTE deverá assinar um termo de aceite reconhecendo que a devolução ocorreu nos termos do Contrato e que a CONTRATADA não possui qualquer obrigação adicional em relação a isso. A não assinatura do referido termo e ausência de manifestação, por parte da CONTRATANTE, no prazo de 20 (vinte) dias corridos a contar do fim da devolução representará a aceitação tácita da CONTRATANTE, a partir da qual a CONTRATADA poderá realizar a eliminação, em definitivo de seu sistema, de qualquer registro ou cópia dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável.
  1. DISPOSIÇÕES GERAIS
  1. Estes termos e condições do DPA integram todos os contratos de prestação de serviços firmados e a serem firmados entre o Controlador e o Operador para todos os fins, sendo que as disposições aqui contidas prevalecem sobre eventuais disposições conflitantes sobre os Dados e o Tratamento previstos no Contrato.
  2. As notificações sobre as informações relativas ao Tratamento ou à Violação de Dados Pessoais (se houver) serão entregues ao endereço de e-mail de notificação da contraparte. É de responsabilidade das partes manter informações de contato precisas para as finalidades deste DPA, indicando sempre por escrito. 
  3. O Tratamento por teletrabalho ou home-office é permitido para funcionários do Operador. O Operador garante que o Tratamento por teletrabalho ou home-office estará sempre em conformidade com as medidas de proteção de dados exigidas, o que significa que os dados são protegidos contra acesso não autorizado. Isso significa, por exemplo, comunicação de ponta a ponta segura e criptografada e nenhuma possibilidade de acesso aos sistemas de TI por uma pessoa não autorizada.
  4. Os dados anonimizados não serão considerados dados pessoais para os fins deste DPA, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
  5. O Operador deve informar o Controlador sobre quaisquer dúvidas da ANPD sobre o Tratamento de Dados Pessoais sob este DPA. O Operador não tem o direito de representar o Controlador ou de agir em nome do Controlador em relação à ANPD.
  6. Em caso de descumprimento de qualquer obrigação prevista neste instrumento, ficará a CONTRATADA sujeita a reparar eventuais perdas e danos, as quais não estarão sujeitas a qualquer limite (ainda que disposto de outra forma neste ou em outro instrumento celebrado entre as partes).
  7. A CONTRATADA obriga-se, perante a CONTRATANTE e/ou seus respectivos sucessores e cessionários, se devidamente comprovado sua culpa, a indenizar e reembolsar e a todo tempo manter tais pessoas indenes de quaisquer perdas ou demandas, administrativas ou judiciais, incorridas ou sofridas, direta ou indiretamente, em decorrência ou em razão de qualquer violação à presente cláusula e/ou a quaisquer das obrigações de privacidade e proteção de dados previstas neste Contrato, na legislação aplicável (especialmente na Lei n. 13.709/2018), nas regras sobre proteção de dados emanadas dos órgãos reguladores e fiscalizadores aos quais as partes estão subordinadas, e/ou nos entendimentos e diretrizes elaborados pela ANPD.

Versão: 24/10/2022

 

Informativo Público de Segurança da Informação

Informativo Público de Segurança da Informação (PSI)

A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas da EZ para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição. A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país, especialmente a Lei Geral de Proteção de Dados Pessoais – LGPD. Com a intenção de aumentar a segurança da infraestrutura tecnológica, visando a orientação de nossos colaboradores e clientes para a utilização dos ativos de tecnologia da informação disponibilizados.

Através deste Informativo, viemos comunicar ao Mercado as nossas melhores práticas de Segurança da Informação para garantir a disponibilidade, integridade e confidencialidade da informação.

Objetivos

Estabelecer diretrizes que permitam aos colaboradores, usuários e clientes da EZ seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da EZ, da Cliente e do usuário. 

Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento. Preservar as informações da EZ, da cliente e do usuário quanto à:

  • Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
  • Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Aplicações da PSI

As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço vinculados à EZ, e se aplicam à informação em qualquer meio ou suporte.

Com relação aos clientes e usuários de clientes da EZ, além das presentes disposições, ainda serão consideradas as disposições especiais e individuais porventura firmadas entre EZ e a cliente.

Esta política dá ciência a cada colaborador da EZ de que os ambientes, sistemas, computadores e redes da EZ poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras. É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou do responsável pelo setor de TI sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.

Princípios da PSI

Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela EZ pertence à referida instituição ou aos seus clientes, conforme cada caso. As exceções devem ser explícitas e formalizadas em contrato entre as partes.

Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.

A EZ, por meio do setor de TI, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

Requisitos da PSI

Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores, fornecedores, clientes e usuários da EZ a fim de que a política seja cumprida dentro e fora da EZ.

Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação.

Tanto a PSI quanto as normas deverão ser revistas e atualizadas no mínimo anualmente e sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança.

Deverá constar em todos os contratos da EZ com terceiros, sejam fornecedores, parceiros, clientes, autônomos, entre outras formas de contratação existentes, o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela ou à organização.

A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores, fornecedores, parceiros, clientes, autônomos, entre outras formas de contratação existentes. Todos estes agentes devem ser orientados sobre procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Os colaboradores devem assinar um termo de responsabilidade.

Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente ao setor de TI e, se julgar necessário, deverá encaminhar posteriormente ao Comitê de Segurança da Informação para análise.

Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e garantindo assim a continuidade dos negócios.

Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.

Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, e nos sistemas.

A EZ exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.

Esta PSI será implementada na EZ por meio de procedimentos específicos, obrigatórios para todos os colaboradores, clientes, parceiros e fornecedores, independentemente do nível hierárquico ou função na EZ, bem como de vínculo empregatício ou prestação de serviço.

O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da organização e sujeitará o usuário às medidas administrativas e legais cabíveis.

Das Responsabilidades Específicas

1 – Dos Colaboradores e Fornecedores em Geral da EZ

Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço, considerado como fornecedor de serviços, por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.

Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar a EZ e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

2 – Dos Colaboradores da EZ em Regime de Exceção (Temporários)

Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido pelo Comitê de Segurança da Informação.

A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.

3 – Dos Gestores de Pessoas e/ou Processos da EZ

Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.

Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da EZ.

Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da EZ, incluindo-se os dados pessoais que tiver tratado durante a sua função profissional.

Antes de conceder acesso às informações da organização, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais.

Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.

4 – Dos Custodiantes da Informação da EZ

4.1 – Da Área de Tecnologia da Informação

Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais. Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.

Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI.

Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.

Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.

Garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação.

Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências.

Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a EZ.

Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.

O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.

Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.

Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.

Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:

  • Os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário.
  • Os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante.

Proteger continuamente todos os ativos de informação da EZ contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.

Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da EZ em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros.

Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, exigindo o seu cumprimento dentro da EZ.

Realizar auditorias periódicas de configurações técnicas e análise de riscos.

Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais.

Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da EZ, incidente, investigação ou outra situação que exija medida restritiva para fins de resguardar os ativos da EZ.

Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da EZ operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.

Monitorar o ambiente de TI, gerando indicadores e históricos de:

  • uso da capacidade instalada da rede e dos equipamentos;
  • tempo de resposta no acesso à internet e aos sistemas críticos da EZ;
  • períodos de indisponibilidade no acesso à internet e aos sistemas críticos da EZ;
  • incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante);
  • atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);

4.2 – Da Área de Segurança da Informação da EZ

Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação.

Propor e apoiar iniciativas que visem à segurança dos ativos de informação da EZ

Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação.

Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da EZ, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.

Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.

Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação.

Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria.

Manter comunicação efetiva com o Comitê de Segurança da Informação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a EZ.

Buscar alinhamento com as diretrizes corporativas da instituição.

4.3 – Do Comitê de Segurança da Informação da EZ

Deve ser formalmente constituído por colaboradores chave, indicados pela gerência ou coordenação, nomeados para participar do grupo pelo período de um ano prorrogável.

A composição mínima deve incluir um colaborador de cada uma das áreas: TI, RH, Gerência, jurídico, porém é recomendado que tenhamos um representante de cada setor.

Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a EZ.

O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.

Cabe ao CSI:

  • propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos;
  • propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares;
  • avaliar os incidentes de segurança e propor ações corretivas;
  • definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementares.

5 – Do Monitoramento e da Auditoria do Ambiente

Para garantir as regras mencionadas nesta PSI, a EZ poderá:

  • implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
  • tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de Segurança da Informação;
  • realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
  • instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.

 6 – Correio Eletrônico Da EZ

O objetivo desta norma é informar aos colaboradores da EZ quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.

O uso do correio eletrônico da EZ é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição. A utilização desse serviço para fins pessoais não é permitida.

Para comunicações com cliente deve ser dada preferência aos sistemas de atendimentos ERP sempre que possível. Toda a comunicação oficial para clientes externos é feita pelo comercial / marketing / financeiro.

Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da EZ para:

  • enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
  • enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
  • enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a EZ ou suas unidades vulneráveis a ações civis ou criminais;
  • divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
  • falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
  • produzir, transmitir ou divulgar mensagem que:
  • contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses da EZ;
  • contenham ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
  • contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
  • vise obter acesso não autorizado a outro computador, servidor ou rede;
  • vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
  • vise burlar qualquer sistema de segurança;
  • vise vigiar secretamente ou assediar outro usuário;
  • vise acessar informações confidenciais sem explícita autorização do proprietário;
  • vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
  • inclua imagens criptografadas ou de qualquer forma mascaradas;
  • tenha conteúdo considerado impróprio, obsceno ou ilegal;
  • seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
  • contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
  • tenha fins políticos locais ou do país (propaganda política);
  • inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

As mensagens de correio eletrônico sempre deverão incluir assinatura conforme padrão disponibilizado.

 7 – Internet

Todas as regras atuais da EZ visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.

Qualquer informação que é acessada, transmitida, recebida ou produzida na internet pelos colaboradores da EZ está sujeita a divulgação e auditoria. Portanto, a EZ, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.

Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.

A EZ, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.

A internet disponibilizada pela instituição aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos.

Como é do interesse da EZ que seus colaboradores estejam bem-informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.

Somente os colaboradores que estão devidamente autorizados a falar em nome da EZ para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, redes sociais, seja por documento físico, entre outros.

Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.

É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.

Os colaboradores com acesso à internet poderão fazer o download (baixar) somente de programas ligados diretamente às suas atividades da EZ e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pelo setor de TI.

Os colaboradores não poderão em hipótese alguma utilizar os recursos da EZ para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional. Em caso de dúvida se o software é permitido o colaborador deve consultar a equipe de TI.

Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores.

Colaboradores com acesso à internet não poderão efetuar upload (envio) de qualquer arquivo pessoal, sem expressa autorização do responsável pelo software ou pelos dados.

Os colaboradores não poderão utilizar os recursos da EZ para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

O acesso a softwares peer-to-peer (BitTorrent e afins) não serão permitidos. Já os serviços de streaming (rádios online, canais de broadcast e afins) serão permitidos com uso moderado. Os canais oficiais de comunicação são chat hangouts, gmail, email corporativo, e telefonia corporativa. Porém, são aceitos outros canais como whatsApp, etc. Não é permitido acesso a sites de proxy, assim como deep web.

 8 – Identificação

Os dispositivos de identificação e senhas protegem a identidade do colaborador e/ou usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a EZ e/ou terceiros.

O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.

Todos os dispositivos de identificação utilizados na EZ, como o número de registro do colaborador, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal).

Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.

Se existir login de uso compartilhado por mais de um usuário, a responsabilidade perante a EZ e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.

É proibido o compartilhamento de login.

O Departamento de Recursos Humanos (Pessoas & Cultura) da EZ é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores da EZ.

O setor de TI da EZ responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários. A cliente responde pela criação da identidade lógica dos usuários vinculados à sua conta.

Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.

Os usuários que não possuem perfil de administrador deverão ter autenticação de senha preferencialmente de duplo fator (sempre que disponível) e senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.

Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão obrigatoriamente usar autenticação de duplo fator (sempre que disponível) utilizar uma

senha de no mínimo 10 (dez) caracteres, alfa numérica, utilizando caracteres especiais (@ # $ %) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.

Não utilizar a mesma senha em mais de um serviço, principalmente acessos externos.

A utilização de técnicas de autenticação de dois fatores deve ser disponibilizada sempre que exista a possibilidade de configuração.

É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.

As senhas não devem ser anotadas em post its, agendas, etc, ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da EZ, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

Após 5 (cinco) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com setor de TI da EZ. Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).

Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros tiveram acesso indevido ao seu login/senha.

A troca das senhas deve ser realizada uma vez ao ano, não podendo ser repetidas as senhas.

Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao responsável pelo setor de TI, a fim de que essa providência seja tomada. Essa comunicação deve ser acompanhada de um atendimento para ficar o registro da solicitação. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.

Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.

9 – Computadores e Recursos Tecnológicos da EZ

Os equipamentos disponíveis aos colaboradores da EZ são de propriedade da EZ, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.

É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento ou orientação prévia, e o acompanhamento do setor de TI, ou de quem este determinar.

Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.

Os sistemas e computadores devem ter versões do software antivírus instalados, ativados e atualizados permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o setor de TI.

É proibida a desativação dos motores de antivírus, firewall ou quaisquer agentes de monitoramento.

A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.

Arquivos pessoais e/ou não pertinentes ao negócio da EZ (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os repositórios de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário.

Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em repositórios de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.

Os colaboradores da EZ e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização do setor de TI.

No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas.

  • Todos os computadores de uso individual deverão ter senha de Bios para restringir o acesso de colaboradores não autorizados. Tais senhas serão definidas pelo responsável pelo setor de TI da EZ, que terá acesso a elas para manutenção dos equipamentos.
  • Os colaboradores devem informar ao setor de TI qualquer identificação de dispositivo ou comportamento estranho conectado ao seu computador.
  • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado pelo setor de TI ou por terceiros devidamente contratados para o serviço.
  • É expressamente proibido o consumo de alimentos na mesa de trabalho e próximo aos equipamentos. Bebidas como água, chimarrão, café e chá são permitidos com cuidado, atentando para manter distância segura dos equipamentos que possam ser danificados por elas.
  • O colaborador deverá manter a configuração do equipamento disponibilizado pela EZ, seguindo os devidos controles de segurança   exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações.
  • Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e dispositivos quando não estiverem sendo utilizados.
  • Todos os recursos tecnológicos adquiridos pela EZ devem ter imediatamente suas senhas inicias alteradas.
  • Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso.

Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da EZ.

  • Tentar ou obter acesso não autorizado a outro computador, servidor ou rede.
  • Burlar quaisquer sistemas de segurança.
  • Acessar informações confidenciais sem a explícita autorização do proprietário.
  • Vigiar secretamente por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers).
  • Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado.
  • Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular.
  • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública.
  • Disseminar qualquer tipo de mensagem que macule pessoas físicas ou jurídicas, conteúdos ofensivos e difamatórios.
  • Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

 10 – Dispositivos Móveis

A EZ deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que eles usem equipamentos portáteis.

Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido pelo setor de TI como: notebooks, smartphones e pendrives.

Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.

A EZ, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.

O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na EZ, incluindo-se dados pessoais de terceiros, mesmo depois de terminado o vínculo contratual mantido com a instituição.

É expressamente proibido o consumo de alimentos na mesa de trabalho e próximo aos equipamentos. Bebidas como água, chimarrão, café e chá são permitidos com cuidado, atentando para manter distância segura dos equipamentos que possam ser danificados por elas. Preferencialmente usar suporte regulável para notebook.

Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados do seu dispositivo móvel, ou seja, não os carregar juntos.

O suporte técnico aos dispositivos móveis de propriedade da EZ aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela instituição.

Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.

Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença pelo setor de TI.

A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.

É permitido o uso de internet em locais conhecidos como EZ, casa. Em locais públicos como hotéis, aeroportos, fornecedores e clientes o cuidado deve ser redobrado.

É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela EZ, notificar imediatamente seu gestor direto e o setor de TI. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).

O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracteriza a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a EZ e/ou a terceiros.

O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da EZ deverá submeter previamente tais equipamentos ao processo de autorização pelo setor de TI.

 11- CPD

O acesso ao CPD somente deverá ser feito com acompanhamento do setor de TI o qual mantém a chave para acesso ao local.

O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento de um colaborador autorizado, sempre com ciência do setor de TI.

Deverão existir duas cópias de chaves da porta do CPD. Uma das cópias ficará de posse do gerente da área e a outra, de posse no setor de TI.

O CPD deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.

Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável.

 12 – DADOS PESSOAIS

Definições Terminológicas

Para fins das condições aqui tratadas, consideram-se:

Titular(es) de Dados: Pessoa natural singular identificada ou identificável a quem se refere um Dado Pessoal específico.

Tratamento de Dados Pessoais: Qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

LGPD: Legislação brasileira nº 13.709/2018, comumente conhecida como Lei Geral de Proteção de Dados Pessoais, que regula as atividades de Tratamento de Dados Pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.

Encarregado de Proteção de Dados ou Data Protection Officer (“DPO”): O indivíduo designado como encarregado formal/oficial de proteção de dados, conforme previsto nas leis de proteção de dados. O DPO pode ser um integrante ou uma pessoa terceirizada.

Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

Controlador: Pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.

Dado(s) Pessoal(is): Qualquer informação relativa a uma pessoa singular identificada ou identificável, que pode ser identificada, direta ou indiretamente, por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.

Dado(s) Pessoal(is) Sensível(is): Todo Dado Pessoal que pode gerar qualquer tipo de discriminação, como por exemplo os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Anonimização: Processo e técnica por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Princípios de Proteção de Dados Pessoais

Os seguintes princípios devem ser observados no tratamento de dados pessoais pela EZ, seus colaboradores, parceiros, clientes e fornecedores, de forma a atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial.

  1. Legalidade, Transparência e Não Discriminação:

Os Dados Pessoais devem ser tratados de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis. Além disso, os Dados Pessoais somente devem ser tratados quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os Titulares de Dados devem ser informados pelo controlador dos dados pessoais sobre a razão e a forma pela qual seus Dados Pessoais estão sendo tratados antes ou durante a coleta, entre outras informações legalmente obrigatórias:

  1. a) necessidade para a execução de um contrato do qual o Titular dos Dados é parte;
  2. b) exigência decorrente de lei ou regulamento ao qual a EZ está sujeita;
  3. c)     interesse legítimo pelo Tratamento; e
  4. d) necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

Quando o Tratamento de Dados Pessoais não se enquadrarem nas hipóteses acima, e a EZ for controladora dos dados pessoais, esta deverá obter o Consentimento dos Titulares dos Dados para o Tratamento de seus Dados Pessoais e assegurar que este Consentimento e seja obtido de forma específica, livre, inequívoca informada. A EZ deve coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser fornecida quando necessário.

Da mesma forma, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido.

Em algumas circunstâncias a EZ também pode ser obrigada a tratar Dados Pessoais Sensíveis, envolvendo, mas não limitando-se a:

  1. a) dados relacionados à saúde;
  2. b) dados genéticos ou biométricos vinculados a uma pessoa física;
  3. c) dados sobre condenações ou ofensas criminais;
  4. d) dados que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas; e
  5. e) dados referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.

O Tratamento de Dados Pessoais Sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos:

  1. a) quando for necessário para o cumprimento de obrigação legal ou regulatória;
  2. b) quando for necessário para o exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais;
  3. c) quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social;
  4. d) para proteção à vida ou à incolumidade física do Titular do Dado incluindo dados médicos com fins preventivos, ocupacional;
  5. e) para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente,
  6. f)   quando o Titular dos Dados tiver dado o seu Consentimento explícito, de acordo com a legislação e regulamentação aplicáveis; e
  7. g) quando o Tratamento for relativo a condenações penais e infrações ou a medidas de proteção relacionadas será efetuado sob o controle da autoridade pública ou quando o Tratamento for autorizado pela legislação da União ou de um Estado-Membro que preveja as salvaguardas adequadas para os direitos e liberdades dos Titulares de Dados Pessoais.
  8. Limitação e Adequação da Finalidade:

O Tratamento de Dados Pessoais deverá ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro.

  1. Princípio da Necessidade (Minimização dos Dados):

A EZ somente poderá tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico. Inclusive, o compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhados os dados pessoais quando tais compartilhamentos contenham um amparo legal adequado. 

  1. Exatidão (Qualidade dos Dados):

A EZ deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados.

  1. Retenção e Limitação do Armazenamento de Dados:

A EZ deve ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.

  1. Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança):

A EZ deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade.

  1. Responsabilização e Prestação de Contas:

A EZ é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

  • garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;
  • registro de Dados Pessoais, incluindo: os registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a EZ deve retê-los; e
  • o registro de incidentes de Dados Pessoais e violações de Dados Pessoais;
  • garantia de que os Terceiros que sejam Operadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis.

Na medida em que a EZ processa dados pessoais de qualquer indivíduo durante a execução contratual em nome da considerada controladora dos dados pessoais, a EZ o fará apenas em nome do controlador, e de acordo com as exigências legais aplicáveis. Qualquer autorização recebida do controlador dos dados pessoais será entendida restritivamente, como concedida em caráter precário exclusivamente para a finalidade autorizada, considerando-se eventuais ressalvas ou diretrizes que sejam feitas para o uso, inclusive quanto ao tempo e forma.

Portanto, nos casos em que a EZ atuar no tratamento de dados pessoais na figura de operadora dos dados pessoais, sem prejuízo às demais disposições previstas na legislação, a EZ deverá: a) Agir estritamente de acordo com as normas contratualmente estabelecidas com o controlador dos dados pessoais e unicamente para persecução do objeto contratual, conforme instruções escritas dadas pelo controlador dos dados pessoais, sem a possibilidade de utilizar esses dados para finalidade distinta; b) Garantir que as pessoas que tratam os dados pessoais estejam sujeitas à ciência destas cláusulas protetivas, instrumentalizada mediante assinatura de termo de confidencialidade ou documento similar; c) Tomar medidas apropriadas para garantir a segurança do tratamento dos dados pessoais; d) Cumprir as leis de privacidade de dados em relação ao tratamento de dados pessoais, naquilo que for aplicável, bem como as disposições de suas Políticas de Privacidade e Segurança de Dados que lhe sejam aplicadas pelo controlador dos dados pessoais, a qual obriga-se a enviar cópia para a EZ; e) Não divulgar a terceiros os dados a que tenha tido acesso, salvo mediante prévia e expressa autorização da outra Parte; f) Manter em absoluto sigilo todos os dados e informações que lhe tenham sido confiados, obrigação esta que subsistirá ao término do Contrato; g) Não tratar dados em local diferente do estabelecido com o controlador dos dados pessoais, informando-lhe sempre que parte do tratamento que precise realizar envolva transferência de dados para fora do Brasil, o que poderá ocorrer somente mediante prévia autorização por escrito do controlador, e mediante a garantia de que todas as medidas para proteção dos dados dos Titulares, inclusive as previstas neste documento, serão tomadas para a realização de referida transferência; h) Não reter quaisquer Dados por um período superior ao necessário para a execução do Contrato e/ou para o cumprimento das suas obrigações nos termos do Contrato, ou conforme necessário ou permitido pela lei aplicável; i) Colaborar com o controlador no integral cumprimento das disposições previstas nas leis de proteção de dados pessoais; j) manter registro das atividades de Tratamento de Dados, os logs e a trilha de auditoria e comprovação do Tratamento que realizar; l) Fornecer ao controlador dos dados pessoais, no prazo ajustado em comum acordo entre as Partes, informações, documentos, certificações e relatórios relacionados ao Tratamento, conforme solicitação razoável da outra Parte; m) Notificar ao controlador dos dados pessoais, por escrito, no prazo máximo de 24 (vinte e quatro) horas da ocorrência do fato, sempre que souber ou suspeitar que ocorreu um incidente de segurança, ou uma violação à lei de proteção de dados bem como prover as respectivas soluções de contorno e soluções definitivas no prazo máximo de 48 (quarenta e oito) horas contados da ciência do fato, conforme dados previstos neste documento; n) Restringir o acesso aos Dados apenas àqueles que efetivamente tenham necessidade de acessá-los para o cumprimento do Contrato e no limite necessário ao Tratamento, garantindo, ainda que aqueles que, nos limites e termos do Contrato, tenham, ou possam ter, acesso aos Dados respeitem e mantenham a confidencialidade e a segurança dos Dados; o) Informar por escrito ao controlador em até 48 (quarenta e oito) horas se houver solicitação de acesso aos Dados por terceiros, inclusive por Autoridades de outros países, Governos, ou ainda por determinação judicial emanada no Brasil ou de Cortes estrangeiras.

Por outro lado, sem prejuízo às demais disposições previstas na legislação nacional, nos casos em que a EZ atue como controlador dos dados pessoais, isto é, a parte a quem compete as decisões referentes ao tratamento de dados pessoais, a EZ compromete-se a: a) obter consentimento do titular dos dados ou outra base legal aplicável para o tratamento e o compartilhamento de dados pessoais, ciente de que é seu dever comprovar a obtenção da base legal. Em caso de utilização da base legal consentimento, este deverá ser obtido sempre de forma escrita e assinada pelas partes e deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração; b) garantir a segurança lógica e física das informações sob sua guarda; c) respeitar e cumprir com os direitos dos titulares dos dados pessoais; d) fiscalizar o tratamento de dados pessoais pelo operador de dados pessoais eventualmente contratado; d) cumprir as demais disposições previstas neste documento e na legislação de privacidade do Brasil.

 Direitos dos Titulares de Dados Pessoais:

A EZ  está ciente que todo o tratamento de dados pessoais e dados sensíveis realizado por si, seus colaboradores, clientes e fornecedores deve ocorrer com base em medidas necessárias para assegurar a exatidão, integridade, confidencialidade e, quando cabível, anonimização, bem como garantir o respeito à liberdade, à privacidade, à inviolabilidade da intimidade, à imagem, enfim, a todos os direitos dos titulares. Nesse sentido, as partes envolvidas reconhecem como são direitos titulares dos dados pessoais tratados: a) confirmação da existência de tratamento; b) acesso aos dados; c) correção de dados incompletos, inexatos ou desatualizados; d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação; e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; f) eliminação dos dados pessoais tratados com o consentimento do titular; g) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; i)  revogação do consentimento; j) opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação. Assim sendo, os seus direitos são entendidos como:

  1.       Direito ao conhecimento: o titular pode ter o direito de confirmação da existência de tratamento de dados pessoais tratados e para que finalidade.
  2.       Direito de acesso: o titular pode ter o direito de solicitar informações sobre os dados pessoais que possuímos e obter uma cópia dessas informações pessoais.

  III.        Direito retificação: o titular pode ter o direito de solicitar correção de dados incompletos, imprecisos ou desatualizados;

  1.       Direito à objeção: o titular pode ter o direito de se opor ao processamento de seus dados pessoais, quando aplicável e revogar seu consentimento para processar ou conceder acesso aos seus dados pessoais.
  2.       Tomada de decisão automatizada: o titular pode ter o direito de não ter uma decisão tomada que se baseie apenas no processamento automatizado se essa decisão produzir efeitos legais ou similarmente significativos.
  3.       Direito à portabilidade: o titular pode ter o direito de receber suas informações pessoais, em um formato estruturado, comumente usado e legível por máquina e ter essas informações transmitidas para outra organização em determinadas circunstâncias.

VII.        Direito à exclusão: o titular pode ter o direito de solicitar a exclusão de suas informações pessoais.

VIII.        Direito de estar livre de discriminação: a parte que realizar o tratamento do dado pessoal não discriminará o titular por qualquer informação ou por exercer seus direitos de privacidade.

 Prestadores de Serviços Terceirizados:

A LGPD estabelece que a responsabilidade no caso de danos patrimoniais, morais, individuais ou coletivos derivados de violações à legislação de proteção de dados pessoais é solidária, i.e., todos os agentes da cadeia envolvendo o tratamento de dados pessoais podem ser responsabilizados pelos eventuais danos causados. Nesse sentido, a possibilidade de a EZ ser responsabilizada pelas ações de terceiros implica na necessidade de empregar os melhores esforços para verificar, avaliar e garantir que tais terceiros cumpram com as legislações de proteção de dados aplicáveis.

Os prestadores de serviços terceirizados (suboperadores) que tratem Dados Pessoais sob as instruções da EZ estão sujeitos às obrigações impostas aos Operadores, de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis.

A EZ deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Operador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Operador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela EZ, conforme previsto acima neste documento.

Transferência Internacional de Dados Pessoais

Nas hipóteses em que a EZ for autorizada pelo titular dos dados pessoais e/ou pelo controlador dos dados pessoais, a EZ poderá transferir dados pessoais para outros países desde que, alternativamente:

  1. a)     O país seja classificado como tendo um nível adequado de proteção de dados atribuído pela Autoridade Fiscalizadora ou a transferência seja autorizada por esta;
  2. b)     Enquanto não houver lista de países de nível adequado divulgada pela ANPD, o país seja classificado pela Comissão Europeia, por meio de uma decisão de Adequação, como país de nível adequado aos critérios da GDPR;
  3. c)     O agente de tratamento de dados pessoais internacional ofereça à EZ pelo menos uma das salvaguardas: a. Códigos de Conduta regularmente emitidos ou binding corporate rules aprovados pela Comissão Europeia; b. Cláusulas Contratuais Padrão emitidas pela ANPD ou pela Comissão Europeia; c. Selos e Certificados de conformidade ou adequação à proteção de dados pessoais concedidos por entidades reconhecidas pela Autoridade Fiscalizadora ou pela Comissão Europeia.
  4. d)     Obtenha consentimento explícito e destacado dos titulares de dados pessoais para realização de operações de transferência internacional de dados pessoais, com informação prévia sobre o caráter internacional da operação e destacando que o país não tem nível adequado de proteção de dados reconhecido ou que não há salvaguardas da conformidade do agente de tratamento, conforme o caso. Caso o país não tenha nível adequado de proteção de dados reconhecido ou não haja salvaguardas da conformidade do agente de tratamento, tais informações deveriam ser prestadas ao titular de dados pessoais previamente, a fim de que consinta com os riscos da operação.

 A EZ se compromete em informar os titulares de dados pessoais e, conforme o caso, aos seus clientes que sejam controladores de dados pessoais, sobre a ocorrência de operações de transferência internacional de dados pessoais, designando o conjunto de dados encaminhados, a finalidade do envio e o seu destino.

Programa de Conformidade às Leis de Proteção de Dados Pessoais

O Programa de Conformidade da LGPD visa a garantir o compromisso da EZ em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados com as seguintes ações:

  1. a)     Produção e disseminação de informações, independente do formato, que descrevam as responsabilidades individuais dos destinatários desta Política no âmbito da privacidade e proteção de dados pessoais;
  2. b)     Fornecimento de treinamentos, orientações e aconselhamentos para os empregados da EZ e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, conversas regulares, palestras, dentre outras iniciativas; comungando conteúdos disponibilizados no formato digital e presencial;
  3. c)     Incorporação de preocupações e cuidados no tratamento de dados pessoais em todas as etapas de suas atividades, incluindo, mas não se limitando a rotinas administrativas, atividades de pesquisa, prestação de serviços, atividades de cunho acadêmico, dentre outras;
  4. d)     Identificação e aprofundamento da avaliação dos riscos que podem comprometer o alcance dos objetivos da EZ na área de privacidade e proteção de dados pessoais; definir, criar e implementar planos de ação e políticas para mitigar os riscos identificados; além de manter uma avaliação contínua dos cenários com vistas a avaliar se as medidas implementadas não requerem novas diretrizes e atitudes.

Registro de Reclamações e Encarregado (Data Protection Officer) da EZ

Todos os destinatários desta Política têm o dever de contatar o Encarregado da EZ, quando da suspeita ou da ocorrência efetiva das seguintes ações:

  1. a)     Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
  2. b) Tratamento de dados pessoais sem a autorização por parte da EZ ou do controlador dos dados pessoais, no escopo das atividades que desenvolve;
  3. c)    Tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação da EZ;
  4. d)     Eliminação ou destruição não autorizada de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Instituição ou por ela utilizadas.

A EZ tem um processo interno centralizado para registros de reclamações sobre o tratamento dos dados pessoais. No caso de uma reclamação, os Titulares dos Dados ou o colaborador/fornecedor que identifique a irregularidade, considerando a realização de um Tratamento ilegal ou inapropriado de Dados Pessoais que seja incompatível com a Política de Proteção de Dados, deverá peticionar para o Encarregado da EZ, o qual remeterá ao Comitê de Segurança da Informação para análise conjunta. Ou seja, todos os incidentes e potenciais violações de dados pessoais devem ser reportadas ao Comitê de Segurança da informação, tendo cada colaborador a responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. Quando um incidente ou violação real for descoberto é essencial que os incidentes sejam informados e formalizados de forma tempestiva.

Para fins do Art. 41, parágrafo 1º da Lei Geral de Proteção de Dados (Lei 13.709/18), a EZ possui encarregado pela proteção dos dados pessoais. Assim sendo, através deste instrumento, a EZ designa o seguinte profissional como encarregado dos dados, o qual participa do Comitê de Segurança da Informação:

 

NOME DPO

Gustavo Schumann

TELEFONE

+55 34 3218-7039

E-MAIL DPO

juridico@ezsoft.com.br

ENDEREÇO PROFISSIONAL

Av. Cesário Alvim, 3813 – Bairro Brasil – Uberlândia/MG

As atividades do Encarregado, genericamente, consistirão em: a) aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

De forma específica, o Encarregado da EZ, auxiliado pelo Comitê de Segurança da Informação, terá as seguintes responsabilidades:

  1. a) Conduzir o Programa de Conformidade da LGPD na EZ, zelando pela sua fiscalização;
  2. b) Monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, de acordo com as políticas da EZ;
  3. c) Orientar os destinatários desta Política quanto ao regime de privacidade e proteção de dados pessoais da EZ;
  4. d) Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas da EZ;
  5. e) Organizar treinamentos sobre proteção de dados pessoais na EZ;
  6. f) Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes (e.g. Ministério Público, Autoridade Nacional de Proteção de Dados Pessoais, etc.);
  7. g) Responder às solicitações e reclamações de titulares de dados pessoais cujos dados tenham sido objeto de tratamento por uma unidade da EZ.
  8. h) Auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados;
  9. i) Elaborar relatórios de impacto à privacidade e proteção de dados, pareceres técnicos e revisão de documentos no que se refere à proteção de dados.

 13 – Backup

Todos os backups devem ser automatizados por sistemas de agendamento automatizados para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.

Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.

As mídias de backup externas devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas da ABNT) e distantes o máximo possível do CPD.

As mídias externas de backup devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação mais organizada e profissional.

O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.

É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial.

Mídias que apresentam erros devem ser usadas para outros fins e não mais para backups. Caso o erro persista, deverão ser inutilizadas.

As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros do CPD.

Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema.

Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do Procedimento de Controle de Backup e Restore.

Para formalizar o controle de execução de backups e restores, deverá haver um atendimento de execução dessas rotinas, o qual deverá ser auditado pelo coordenador de infraestrutura e demais integrantes do setor de infraestrutura interna.

A abrangência do backup deve ser no mínimo 30 dias, recomendado 6 meses completos, conforme acordado com o CSI.

 14 – Das Disposições Finais

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da EZ. Ou seja, qualquer incidente de segurança subentende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.

De forma exemplificativa, a EZ realiza as seguintes atividades adicionais de segurança da informação:

  1. Análise de código estática

Todo pipeline de compilação passa por análise estática de código. Com esta ferramenta são avaliadas categorias de defeitos de software, entre eles: code smells, vulnerabilidades, e security hotspots.

  1.  Análise SCA – Software Composition Analysis

É realizada a verificação de software componente, bibliotecas, e busca de vulnerabilidades.

  1.  Análise e Aprovação de Pull Request

As equipes de desenvolvimento ao finalizar codificações, sejam de novas implementações ou correção de defeitos de software, fazem o commit do código e enviam pull requests, que são avaliados pelo tech lead de sua squad.

  1. d) Guarda de código fonte

Os códigos fontes são armazenados em repositório Git privado, com acesso autorizado utilizando autenticação integrada.

  1. e) Segregação de ambientes

Existe a separação dos ambientes de desenvolvimento, homologação e produção, cada um com suas respectivas permissões de acesso. O ambiente produtivo segue o conceito do mínimo privilégio.

  1. f) Criptografia de dados em trânsito

Os dados em trânsito em toda a plataforma utilizam por padrão TLS 1.2 em sua comunicação HTTP. As conexões com os bancos também possuem criptografia em trânsito.

  1. g) Gestão de segredos

Informações sensíveis de aplicativos como chaves de API e senhas de bancos de dados são armazenadas em cofre de senha com log de atividade e acesso restrito de rede. O cofre do ambiente de produção segue o privilégio mínimo conforme descrito neste documento.

  1. f) Troca de arquivos na EZ

As mídias que trafegam na EZ são submetidas à análise de antivírus e não podem ultrapassar 20 megabytes. Alguns tipos de arquivos potencialmente maliciosos, como executáveis e bibliotecas também são bloqueados.

  1. g) Execução de pentest

A EZ realiza a cada seis meses a contratação de empresa terceirizada para execução independente de pentest do tipo gray box da aplicação EZ. As cartas de comprovação podem ser solicitadas ao time de Segurança da Informação da EZ.

  1. e) Segurança em nuvem

e.1 Privilégio mínimo

Os acessos ao ambiente em nuvem exigem por padrão o segundo fator de autenticação. Dados considerados sensíveis dependem de acesso por VPN para acesso ou que o computador esteja fisicamente nas redes internas da EZ.

As assinaturas de produção possuem acesso restrito, somente tech leads acessam dados e ativos, ressalvado que dados de auditorias como logs de acesso permanecem restritos aos times de infraestrutura e segurança.

e.2 Logs de Ações e Atividades

São mantidos logs de ações e atividades como modificação de configurações, criação e exclusão de ativos das assinaturas de produção para permitir auditorias e investigações sempre que necessário.

e.3 Monitoramento

Existe monitoramento de ações por meio de dashboard onde são inspecionadas o compliance do ambiente com relação às políticas de segurança em vigor. As políticas são aplicadas por enforcement sempre que possível.

e.4 Certificações de segurança

Os ambientes de nuvem utilizados pela EZ na prestação de serviço atendem aos mais rígidos requisitos de segurança, os quais são auditados e certificados.

  1. Segurança dos Dados

f.1 Criptografia

Os bancos de dados relacionais estão todos criptografados em disco e em trânsito.

f.2 Anonimização

As informações são anonimizadas sempre que possível em respeito à privacidade. A anonimização, quando necessária, é realizada em razão de mapeamento dos dados sensíveis existentes nas bases relacionais.

f.3 Logs de acesso e registro de modificações

São mantidos logs de acesso e alterações de registros para fins auditoria quando necessário de todos os bancos de dados relacionais de produção. Os logs são mantidos por cinco anos.

f.4 Backups

Os backups de bancos de dados relacionais de produção são realizados automaticamente todos os dias com retenção de sete dias.

f.5 Localização dos Dados

Os bancos de dados e arquivos de mídia são armazenados em nuvem em datacenters localizados no Brasil.

  1. Segurança das estações de trabalho

g.1 Antivírus

Os computadores da EZ possuem instalado por padrão sistema de antivírus com gerência controlada por administração remota.

g.2 Instalação de software

Aos colaboradores da EZ não é permitida a instalação de software sem o conhecimento da equipe da Segurança da Informação. Existe inventário de software instalado.

  1. Canal Whatsapp

h.1 Comunicação EZ e Whatsapp

Cada número do Whatsapp representa um container na infraestrutura do EZ, cada um desses containers possui uma criptografia própria, tal qual um aparelho de celular com um número ativado.

Dessa forma a EZ não possui acesso a nenhum conteúdo de texto ou de mídia, armazenados em cada container ativo no canal Whatsapp.

  1. Redes

i.1 Firewall

As redes da operação em nuvem do EZ possuem firewalls nas bordas que podem executar o bloqueio em razão do risco que representam à plataforma.

i.2 Reputação de IPs

Análise de reputação de IPs são realizadas em cada request recebido pela plataforma, de maneira que uma requisição poderá ser bloqueada em razão dessa condição.

i.3 Segregação das redes

As redes de produção, homologação e testes são segregadas e não possuem comunicação entre si.

  1. Iniciativas by-design

j.1 Segurança by-design

Durante a fase de refinamento do desenvolvimento, o time de SI participa como consultores de segurança, buscando adequar cada nova implementação a padrões de segurança mais adequados. Sempre que possível é utilizado o framework OWASP Threat Modeling.

j.2 Privacidade by-design

Durante a fase de refinamento dos times de desenvolvimento, o time de SI conduz avaliações no impacto à privacidade dos dados inseridos no projeto. Os times possuem autonomia para requisitar avaliações de privacidade sempre que necessário.

Versão: 24/10/2022

 

Política de Privacidade entre EZ (Operadora) e Usuário da Cliente

POLÍTICA DE PRIVACIDADE ENTRE EZ (OPERADORA) E USUÁRIOS DA CLIENTE (CONTROLADORA)

A EZ apresenta a Política de Privacidade da PLATAFORMA e seus serviços. Podemos alterar este termo a qualquer momento, mediante publicação das alterações em nosso website e comunicação por e-mail a. Todas as alterações passam a valer imediatamente após serem publicadas em nosso website, e valem imediatamente para todos os usuários que se registrarem após sua publicação. Esse Termo é válido para todos os usuários de nossa PLATAFORMA.

Este é um documento que formaliza a relação existente entre Você, usuário vinculada à CLIENTE, e a EZ, com razão social EZ SOFTWARES LTDA, CNPJ nº 18.531.719/0001-14, com endereço na Avenida Cesário Alvim, n° 3.813, Bairro Brasil, CEP 38.400-696, na cidade de Uberlândia, Estado de Minas Gerais, Brasil para a utilização da nossa PLATAFORMA e dos nossos serviços em nome da CLIENTE.

CONTROLADOR DE DADOS PESSOAIS ENCARREGADO, INFRAÇÕES E CONTATO: A EZ SOFTWARES LTDA, CNPJ nº 18.531.719/0001-14, com endereço na Avenida Cesário Alvim, n° 3.813, Bairro Brasil, CEP 38.400-696, na cidade de Uberlândia, Estado de Minas Gerais, Brasil, será a OPERADORA dos dados pessoais que digam respeito ao TITULAR quanto ao uso da PLATAFORMA deste em nome do CLIENTE, mas será a CONTROLADORA dos dados pessoais para o envio de material promocional e comunicados nos quais o TITULAR tenha se inscrito e autorizado. 

Portanto, no que diz respeito aos dados pessoais dos TITULARES compartilhados pelo CLIENTE com a EZ, o CLIENTE é exclusivamente responsável pela obtenção da base legal para o tratamento lícito do dado pessoal pela EZ, com base na legislação, bem como pela execução de todas as medidas aptas a respeitar e cumprir os direitos dos titulares dos dados pessoais, conforme descrito em lei e neste documento.

Para fins do Art. 41, parágrafo 1º da Lei Geral de Proteção de Dados (Lei 13.709/18), a EZ possui comitê responsável ​​pelo processamento de dados pessoais, interna e externamente, que atua conjuntamente com o Encarregado de dados pessoais, que pode ser contatado através do e-mail juridico@ezsoft.com.br. As atividades do Comitê consistirão em: a) aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

DEFINIÇÕES IMPORTANTES

PLATAFORMA:  significa a interface de design acessível pela web (PLATAFORMA de Hiperautomação) e a biblioteca de componentes desenvolvidos pela EZ, incluindo, mas não limitado a módulo de construção de fluxos low-code, módulos de administração, módulos de conectividade com canais digitais, módulos de dashboards, módulo log de dados, conectores, que permitem projetar, criar, construir e gerenciar um processo de integração e todo tipo de chatbot inteligente.

CLIENTE: significa a pessoa jurídica ou natural que contrata a PLATAFORMA da EZ para disponibilização para a sua equipe, incluindo-os como Usuários.

Studio/Flow Builder: significa o módulo low-code da PLATAFORMA da EZ para a criação de fluxos, incluindo inúmeros componentes e funcionalidades, tais como versionamento de fluxos, exportação de fluxos, conectores, entre outros.

TITULAR/Usuário/Você: significa a pessoa natural que tem acesso a um e-mail/senha para utilizar a PLATAFORMA da EZ de forma vinculada à CLIENTE. 

Fluxos: significa uma abstração visual dos processos a serem executados pela orquestração/API/Chatbot desenhados na PLATAFORMA. Todo fluxo é feito de forma visual através do FlowBuilder. O fluxo também pode ser exportado no formato .flow, onde todas as suas regras, conexões e informações são exportadas seguindo o padrão de mercado JSON.

Conectores: significa um “Conector”, é um ponto final de conexão com um banco de dados, aplicativo ou API para uso em um processo de integração criado na PLATAFORMA. A CLIENTE será notificada periodicamente por escrito sobre Conexões disponíveis adicionadas ou excluídas.

API(s)/Application Programming Interface: significa uma interface para a conexão entre diferentes sistemas.

Chatbots: significa a união das palavras Chat (conversa), e bot (robô). É um robô que é inserido dentro de uma conversa para automatizar processos com consultas ou segmentação de atendimento.

BSP/Brocker (Business Solution Provider): empresa autorizada pela META/WhatsApp a comercializar a WhatsApp API Oficial na qual o CLIENTE deverá contratar diretamente os serviços de mensageria e o valor unitário cobrado por cada mensagem não é de responsabilidade da EZ. A compra deverá ser ativada pelo próprio CLIENTE junto ao BSP escolhido, pois a EZ não comercializa o WhatsApp API Oficial e dá ao seu cliente a liberdade de escolher ou contratar diretamente o BSP que fizer mais sentido a sua operação.

Canais Digitais: significam os canais digitais de chat disponíveis na PLATAFORMA. Atualmente é possível utilizar a PLATAFORMA nos seguintes canais (WhatsApp oficial, WhatsApp não-oficial, Telegram, Facebook Messenger, Instagram, Chat Web, Chat App).

WhatsApp API oficial: significa a integração com brokers de API oficial do WhatsApp para criação de chatbots dentro de um número de WhatsApp. A PLATAFORMA fornece integração nativa com Gupshup, Infobip, Twilio e Sinch. Veja todos os detalhes da política de privacidade do WhatsApp

WhatsApp não-oficial: significa a integração com broker de API não-oficial do WhatsApp para criação de chatbots dentro de um número de WhatsApp. A PLATAFORMA fornece integração nativa com EZ-API.

Telegram – Integração para criação de um chatbot dentro do Telegram. Para realizar o vínculo, o usuário deve criar um bot no Telegram e vincular as suas credenciais na PLATAFORMA

Facebook Messenger: significa a integração para criação de chatbot dentro do Facebook Messenger. Para realizar o vínculo, o usuário deve ter um perfil de administrador na página em que deseja instalar o chatbot. Veja neste link todos os detalhes da política de privacidade do Messenger

Instagram: significa a integração para criação de chatbot dentro do Instagram DM. Para realizar o vínculo, o usuário deve ter um perfil de administrador na página em que deseja instalar o chatbot

Chat Web: significa a integração para criação de um widget de chat dentro de um site ou página web. Para realizar a instalação, o usuário deve inserir um script informado na aba “Canais -> Web SDK” dentro da PLATAFORMA

Chat App: significa a integração para criação de um widget de chat dentro de um aplicativo através de webview. Para realizar a instalação, o usuário deve criar uma página html, que possui um script informado na aba “Canais -> Web SDK” dentro da PLATAFORMA

Atendimento humano: significa o módulo da PLATAFORMA da EZ criada para realizar o atendimento de forma personalizada com Humanos respondendo as conversas e os atendimentos que não foram possíveis de resolução com a utilização dos chatbot.

Integração: significa a capacidade de integrar a PLATAFORMA da EZ com sistemas terceiros. Essa integração se dá através de vários conectores, Application Programming Interface (API’s), bancos de dados e protocolos de mercado disponibilizados dentro do Studio/Flow Builder.

Orquestração: significa a capacidade de gerenciar múltiplas integrações e aplicar regras de negócio específicas dentro de um fluxo.

Versionamento de fluxos: significa que todo fluxo publicado/alterado é salvo de forma automática na PLATAFORMA. O CLIENTE pode consultar o versionamento de fluxos publicados com até 3 (três) meses de sua data de publicação.

Ambientes: significam os espaços separados logicamente dentro da PLATAFORMA para testar o seu chatbot ou API fora do seu ambiente produtivo.

Governança: significa o local onde o usuário-administrador do CLIENTE pode liberar e gerenciar os acessos a outros usuários na PLATAFORMA.

Painel Administrador: Significa o painel onde o usuário que possui a ferramenta EZ irá realizar a administração do seu ambiente, criando novos fluxos, vinculando os seus canais para atendimento e convidando novos usuários para a sua organização

Requisições: significa uma chamada para iniciar um fluxo via API. A PLATAFORMA aceita chamadas no padrão RESTful, trabalhando com dados em JSON.

Mensagens na PLATAFORMA: significa um objeto tanto de entrada quanto de saída que é recebido/enviado pelo chatbot. Mídias, gifs, arquivos, figurinhas e qualquer outro elemento de chat é contabilizado como uma mensagem. Toda mensagem, seja de entrada ou saída, é contabilizada na conta da organização.

Mensagens passivas/resposta: significam as mensagens enviadas pelo bot, em até 24 horas, após o recebimento de uma mensagem do cliente. (Mensagens passivas no WhatsApp possuem tarifação).

Mensagens ativas: significam as mensagens enviadas pelo bot, depois de 24 horas, após o recebimento de uma mensagem do cliente. Devem ser enviadas através de Messages Templates (ou modelos de mensagens) previamente enviadas na EZ pelo WhatsApp (Mensagens ativas no WhatsApp possuem tarifação).

Mensagens excedentes: significam as mensagens não inclusas no plano contratado.

Add-Ons: significa add-ons, recursos ou recursos adicionais relacionados à PLATAFORMA (“Add-Ons”), que a EZ pode oferecer à CLIENTE por taxas adicionais, conforme descrito no plano contratado, momento em que se tornarão parte das “Soluções Adquiridas”.

Serviços Beta: significam nossos serviços que geralmente não estão disponíveis para todas as CLIENTES de forma definitiva.

Recursos: significam as funções da PLATAFORMA da EZ, que determinam o que o sistema pode fazer.

Fatura: significa o documento emitido pela EZ, que pode ser em formato eletrônico, por meio do qual os Serviços são cobrados da CLIENTE.

Política de Privacidade: significa a política que regula as nossas práticas e regras de privacidade, ao usar dados em nossa PLATAFORMA, disponibilizadas no seguinte link: https://www.EZ.com/privacidade.

Dados da CLIENTE: significa dados e informações eletrônicos enviados por ou para a CLIENTE coletados e processados ​​por ou para o uso da PLATAFORMA pela CLIENTE e/ou seus USUÁRIOS vinculados.

DADOS PESSOAIS: significam quaisquer dados que identifiquem ou tornem identificável uma pessoa natural.

TRATAMENTO: significa qualquer operação ou conjunto de operações realizadas com dados pessoais ou conjuntos de dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

INFORMATIVO PÚBLICO DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO: significam as diretrizes corporativas globais da EZ sobre Segurança da Informação, que podem ser alteradas periodicamente.

LGPD: significa a Legislação brasileira nº 13.709/2018, comumente conhecida como Lei Geral de Proteção de Dados Pessoais, que regula as atividades de Tratamento de Dados Pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.

CONTROLADOR: significa a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados.

OPERADOR: significa a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

PRINCÍPIOS DE TRATAMENTO DE DADOS PESSOAIS: A EZ se orienta, a todo momento, pelos princípios estabelecidos na legislação aplicável brasileira para o tratamento de dados pessoais, tais como os princípios da finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.  Para garantir o cumprimento de todos os esses princípios, a EZ envida todos os seus esforços para que todo o tratamento de dados pessoais seja, tanto quando atuar como operadora dos dados pessoais quanto como controladora dos dados pessoais (hipótese não incluída na presente relação):

  1.   realizado para uma finalidade legítima, específica e explícita, sempre previamente informada ao TITULAR;
  2.   compatível com as finalidades informadas, de acordo com o contexto do tratamento;
  3. limitado ao mínimo necessário para a realização da finalidade, com abrangência dos dados pertinentes, sempre proporcional e não excessivo em relação às finalidades do tratamento;
  4.   de livre acesso aos TITULARES, de forma que lhes é garantida a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  5.   realizado em observância à garantia, aos TITULARES, de exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento;
  6.     transparente, com informações claras, precisas e facilmente acessíveis sobre o Tratamento e os respectivos agentes (Controladores e Operadores) que participam da operação, observados os segredos comercial e industrial;
  7.   realizado de forma segura, por meio da adoção de medidas técnicas e administrativas capazes de comprovar o cumprimento com normas de proteção de dados pessoais, bem como de prevenir e proteger os Dados Pessoais contra acessos não autorizados, eventos acidentais ou ilegais de destruição, perda, alteração, comunicação, difusão ou quaisquer outros danos;
  8.   realizado de uma forma que previna a ocorrência de danos em virtude do Tratamento de dados pessoais;
  9.     realizado de forma não discriminatória, ilegal ou abusiva em relação às suas finalidades;
  10. realizado de forma que permita a demonstração, pelos respectivos agentes (Controladores e Operadores), da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento da Legislação Aplicável de Proteção de Dados Pessoais e, inclusive, da eficácia dessas medidas, com o registro dos dados pessoais.

Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a EZ deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos.

A EZ também se compromete a manter um nível consistente e adequado de proteção para as informações pessoais que são processadas e/ou transferidas entre as diversas pessoas jurídicas que fazem parte da EZ. 

IMPACTOS DA NEGATIVA NO FORNECIMENTO DOS DADOS PESSOAIS: Quando a EZ atuar como operadora dos dados pessoais o fornecimento dos dados pessoais, conforme exposto neste documento, é crucial para o fornecimento dos serviços contratados pela CLIENTE a que o TITULAR está vinculado. Caso o TITULAR não deseje fornecer os próprios dados básicos solicitados a EZ não poderá prestar os serviços à CLIENTE com relação a este usuário da PLATAFORMA.    

INFORMAÇÕES COLETADAS, FORMAS DE COLETA, BASE LEGAL APLICÁVEL E FINALIDADES DE USO DOS DADOS: As principais bases legais aplicáveis ao Tratamento realizado em razão do uso ou acesso da PLATAFORMA são:

  1.   A execução de um contrato no qual a CLIENTE seja parte ou tratativas preliminares ao contrato, ou, mais especificamente, para fornecer os serviços na PLATAFORMA da EZ;
  2.   Legítimo interesse da EZ em promover ou zelar por nossas atividades e interesses, como por exemplo: o para nos ajudar a entender melhor suas necessidades e expectativas e, portanto, melhorar os nossos serviços para o benefício dos TITULARES, bem como para manter nossas ferramentas e sistemas protegidos e seguros, e garantir que eles estejam funcionando corretamente e sendo continuamente aprimorados.
  3. O cumprimento de uma obrigação legal e/ou regulatória, quando o Tratamento é exigido por lei;
  4.   O exercício de regular de direitos da EZ ou de terceiros em processos judiciais ou administrativos;

Considerando que a CLIENTE é a controladora dos dados pessoais, não caberá à EZ a obtenção das bases legais junto aos TITULARES para o tratamento de tais dados pessoais na PLATAFORMA.

Portanto, por exemplo, mas não limitando, a EZ poderá tratar as seguintes informações do TITULAR, quer seja por preenchimento manual em formulário eletrônico, envio pela CLIENTE ou pela captura automática por mecanismos da PLATAFORMA, atuando como OPERADORA DOS DADOS PESSOAIS em nome da CLIENTE, CONTROLADORA DOS DADOS PESSOAIS:

DADO PESSOAL TRATADO

FINALIDADE

COMPARTILHAMENTO

NOME COMPLETO

  

E-MAIL

  

IP

  

LOGS DE USO

  

USUÁRIO E SENHA

  

TOKENS

  

EMPRESA NA QUAL O TITULAR ESTÁ VINCULADO

  

 

A EZ restringe o acesso às informações vinculadas ao TITULAR somente para colaboradores e/ou terceiros, tais como suboperadores de dados pessoais e fornecedores que precisam ter conhecimento dessas informações específicas e só fornecerá para esses terceiros as informações necessárias para a prestação do serviço e eles estão proibidos de usar essas informações para qualquer outra finalidade.

SE A EZ, UMA DE SUAS SUBSIDIÁRIAS OU AFILIADAS OU QUALQUER PARTE DE SUAS EMPRESAS OU OPERAÇÕES TORNAR-SE PROPRIEDADE OU PASSAR A SER CONTROLADA POR OUTROS INDIVÍDUOS OU ENTIDADES, AS INFORMAÇÕES QUE COLETAMOS PODERÃO SER TRANSFERIDAS A ELES, QUE DEVERÃO CUMPRIR AS OBRIGAÇÕES AQUI DESCRITAS.

DOS DIREITOS DOS TITULARES DOS DADOS: São direitos dos TITULARES dos dados pessoais tratados pela EZ, que sempre devem ser exigidos unicamente junto à CLIENTE, considerada como CONTROLADORA DOS DADOS PESSOAIS: a) confirmação da existência de tratamento; b) acesso aos dados; c) correção de dados incompletos, inexatos ou desatualizados; d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação; e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; f) eliminação dos dados pessoais tratados com o consentimento do titular; g) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; i)  revogação do consentimento; j) opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação. Assim sendo, os direitos dos TITULARES são entendidos pela EZ como:

  1.   Direito ao conhecimento: pode ter o direito de confirmação da existência de tratamento de dados pessoais que coletamos e para que finalidade.
  2.   Direito de acesso: pode ter o direito de solicitar informações sobre os dados pessoais que possuímos e obter uma cópia dessas informações pessoais.
  3.   Direito retificação: pode ter o direito de solicitar correção de dados incompletos, imprecisos ou desatualizados;
  4.   Direito à objeção: pode ter o direito de se opor ao processamento de seus dados pessoais, quando aplicável e revogar seu consentimento para processar ou conceder acesso aos seus dados pessoais.
  5.   Tomada de decisão automatizada: pode ter o direito de não ter uma decisão tomada sobre você que se baseie apenas no processamento automatizado se essa decisão produzir efeitos legais ou similarmente significativos.
  6.   Direito à portabilidade: pode ter o direito de receber suas informações pessoais, em um formato estruturado, comumente usados e legível por máquina e ter essas informações transmitidas para outra organização em determinadas circunstâncias.
  7.   Direito à exclusão: pode ter o direito de solicitar a exclusão de suas informações pessoais.
  8.   Direito de estar livre de discriminação: ninguém discriminará por qualquer informação ou por exercer seus direitos de privacidade.

ACESSO, ATUALIZAÇÃO E CONFIRMAÇÃO DOS DADOS PESSOAIS: O TITULAR poderá acessar e atualizar os dados pessoais, a qualquer momento, de forma facilitada, através do PAINEL DO USUÁRIO presente na PLATAFORMA ou mediante contato com o CLIENTE a que estiver vinculado, dependendo de qual for o dado pessoal desejado.

O TITULAR pode obter do CLIENTE, controladora dos dados pessoais, a qualquer momento, mediante prazo adequado e solicitação por escrito, a confirmação da existência ou não de seus dados pessoais e a sua comunicação de forma inteligível. Ainda, também pode obter uma indicação da origem dos seus dados pessoais, os objetivos e métodos de processamento, a lógica aplicada em caso de tratamento realizado com o auxílio de ferramentas automatizadas, se aplicadas, e os detalhes de identificação dos responsáveis pelo tratamento dos seus dados, bem como a realizar a atualização, correção e, se estiver interessado, a integração de seus dados pessoais.

REGISTROS DE ACESSO E DO TRATAMENTO DOS DADOS PESSOAIS: A EZ registra o log de informações do TITULAR que sejam gravadas em banco de dados da PLATAFORMA, bem como todas as alterações destas, sendo possível rastrear a modificação da informação ao longo do tempo. Por exemplo, a EZ realiza os registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, dos destinatários do compartilhamento dos Dados Pessoais e dos prazos pelos quais devemos retê-los, bem como o registro de incidentes de Dados Pessoais e violações de Dados Pessoais.

EXCLUSÃO E REVOGAÇÃO DOS DADOS PESSOAIS: O TITULAR poderá excluir e/ou opor-se ao uso dos seus dados pessoais que sejam passíveis de exclusão, revogação ou oposição, através de solicitação para o CLIENTE, controladora dos dados pessoais, ou através do PAINEL DO USUÁRIO presente na PLATAFORMA, dependendo de qual for o dado pessoal desejado. A EZ excluirá os dados pessoais dos seus servidores, independentemente de solicitação do TITULAR quando não houver mais base legal para a sua manutenção ou houver ordem lícita do CLIENTE.

A solicitação de exclusão dos dados não poderá ser atendida quando houver uma obrigação legal ou judicial que impeça a EZ de realizar a exclusão nos prazos ou formas solicitadas pelo TITULAR ao CLIENTE. Em situações desta natureza a EZ não poderá ser responsabilizada pelo TITULAR, uma vez que cumprirá com a legislação brasileira sobre o tema.

Após a solicitação de exclusão dos dados pessoais do TITULAR, caso sejam passíveis de exclusão, estes serão removidos permanentemente pela EZ e não poderão ser recuperados. 

COMPARTILHAMENTO DE DADOS PESSOAIS: A EZ não realizará o compartilhamento dos dados pessoais com controladores, mas apenas como com operadores e/ou suboperadores que nos fornecerão serviços auxiliares para que a EZ disponibilize os seus serviços, conforme disposto no Acordo de Processamento de Dados Pessoais entre EZ e o CLIENTE, bem como conforme disposto no Informativo Público da Política de Segurança de Informação. Tal compartilhamento de dados ocorrerá somente através de servidores protegidos e controlados, inclusive com perfis de acesso que restringem o nível de informação acessada.

O TITULAR poderá solicitar a identificação dos terceiros que nós compartilhamos os seus dados pessoais mediante solicitação ao CLIENTE, controladora dos dados pessoais.

O compartilhamento dos dados ocorrerá de forma segura, com empresas e pessoas que sigam as diretrizes legais e mercadológicas de segurança da informação, bem como cumpram com as metodologias da EZ, e sempre para o cumprimento pela EZ das finalidades previstas neste documento.

DADOS ANONIMIZADOS: A EZ poderá anonimizar os dados inseridos na PLATAFORMA, através de criptografia e retirada de quaisquer informações que possam permitir a reversão da anonimização com métodos e ferramentas utilizadas no mercado de tecnologia.

A EZ PODERÁ USAR INFORMAÇÕES ANÔNIMAS, ESTATÍSTICAS OU AGREGADAS QUE NÃO IDENTIFIQUEM O TITULAR, ISTO É, ANONIMIZADAS, PARA OPERAR CORRETAMENTE A PLATAFORMA, PARA MELHORAR A QUALIDADE DOS SERVIÇOS, PARA MELHORAR SUA EXPERIÊNCIA, INCLUINDO SERVIÇOS PERSONALIZADOS, ALTERAR OU CANCELAR O CONTEÚDO OU SERVIÇO EXISTENTES, E PARA OUTROS FINS INTERNOS, COMERCIAIS E ESTATÍSTICOS, COMO A PRECIFICAÇÃO DOS PRODUTOS.

DADOS PESSOAIS SENSÍVEIS: A EZ não pretende tratar dados pessoais sensíveis do titular, nos termos da Lei Geral de Proteção de Dados Pessoais. Contudo, caso ocorram, a EZ seguirá todas as diretrizes previstas na legislação brasileira que digam respeito ao uso adequado e proteção de dados pessoais sensíveis.

DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE ADOLESCENTES: A EZ não pretende tratar dados pessoais de crianças e adolescentes, nos termos da Lei Geral de Proteção de Dados Pessoais. Contudo, caso ocorra, o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse pela CLIENTE, nos termos da legislação pertinente, e deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

PERÍODO DE USO E/OU ARMAZENAMENTO DAS INFORMAÇÕES: A EZ poderá armazenar e utilizar os dados pessoais inseridos pela PLATAFORMA ou informados pelo TITULAR, nas finalidades aqui descritas, enquanto este possuir conta ativa na PLATAFORMA, seja como pessoa natural ou vinculado a alguma CLIENTE, ou enquanto a CLIENTE não a instruir em contrário por escrito.

A EZ reterá os dados pessoais do TITULAR por todo o período necessário para cumprimento de alguma obrigação legal ou regulatória pela EZ, tal como (i) armazenamento de dados pessoais cadastrais por 5 (cinco) anos após o término da relação jurídica; e (ii) armazenamento de Dados de identificação digital por 6 (seis) meses (Art. 14, do Marco Civil da Internet), entre outras. Depois de tais prazos os dados pessoais serão devidamente eliminados de maneira segura e/ou serão anonimizados.

DO LOCAL E DA SEGURANÇA DO ARMAZENAMENTO DOS DADOS: As informações coletadas através da EZ podem ser armazenadas e processadas em bancos de dados estabelecidos no Brasil e nos Estados Unidos da América, de titularidade da EZ ou de seus provedores de serviço.

A EZ e seus provedores de serviço usam meios de proteção comercialmente e tecnologicamente adequadas para o armazenamento dos dados pessoais, incluindo-se a contratação de serviços e equipamentos reconhecidos como próprios para esta finalidade, além de somente realizar a transferência internacional de dados pessoais para países que garantam o mesmo nível de proteção e direitos do TITULAR do que o previsto na legislação brasileira.

Para a melhor segurança, recomenda-se que o TITULAR tenha sempre um antivírus atualizado e leia atentamente a “Cartilha de Segurança para Internet”, disponível no endereço https://cartilha.cert.br/.

TRANSFERÊNCIA INTERNACIONAL DOS DADOS: A EZ realizará a transferência internacional dos dados para países estrangeiros ao Brasil, especificamente para os Estados Unidos da América de acordo com fornecedores de infraestrutura cloud (AWS, Azure, Oracle, etc)

MEDIDAS PREVENTIVAS CONTRA DANOS: A EZ adota, por exemplo, as medidas de Segurança da Informação disponíveis no seu Informativo Público da Política de Segurança da Informação.

DOS IDENTIFICADORES DE DISPOSITIVO E DOS METADADOS: Quando o TITULAR usa um dispositivo móvel, como um tablet, notebook ou telefone celular, para acessar a PLATAFORMA, a EZ pode acessar, coletar, monitorar, armazenar em seu dispositivo e/ou armazenar remotamente um ou mais “identificadores de dispositivo”, que identificam o dispositivo móvel do TITULAR de forma exclusiva. Um identificador de dispositivo pode ser composto por dados armazenados associados ao hardware do dispositivo, dados armazenados associados ao sistema operacional do dispositivo ou outros softwares ou dados enviados ao dispositivo pela EZ.

Um identificador de dispositivo pode fornecer informações para a EZ sobre a forma como o TITULAR navega e usa a PLATAFORMA e pode nos ajudar a fornecer relatórios e garantir a segurança da informação. Alguns recursos da PLATAFORMA podem não funcionar corretamente se o uso ou a disponibilidade desses identificadores de dispositivo estiver prejudicada ou desativada.

Os METADADOS são normalmente dados técnicos associados ao conteúdo do TITULAR. Por exemplo, METADADOS podem descrever como, quando e por quem uma parte do conteúdo do TITULAR foi coletada e como este conteúdo está formatado. 

NOTIFICAÇÃO DE ALTERAÇÕES: A EZ se reserva o direito de modificar ou alterar esta Política de Privacidade a qualquer momento e por qualquer motivo. Quando alterado, a EZ providenciará avisos claros do que foi alterado, bem como publicará novamente o presente documento quanto às informações pessoais que não exijam consentimento, notificando o TITULAR.

DIVULGAÇÃO AO PODER PÚBLICO: A EZ divulgará as informações individuais do TITULAR ao poder público apenas nas circunstâncias limitadas em lei e nos documentos da EZ, conforme permitido pela legislação de proteção de dados, ou com a sua autorização expressa:

  1.   ajudar na condução ou cooperação em investigações de fraude ou outras atividades ilegais, onde acreditamos que é razoável e apropriado fazê-lo.
  2.   em resposta a uma intimação, mandado, ordem judicial ou conforme exigido por lei.

O poder público é limitado por lei e não poderá utilizar as informações para fins secundários para além dos fins para os quais as informações são compartilhadas.

NOTIFICAÇÃO SOBRE INFRAÇÕES: Caso o TITULAR ou terceiro sinta-se lesado em relação a qualquer conteúdo ou ação realizada pela EZ, deverá encaminhar uma notificação por e-mail para o Comitê de Privacidade da EZ, solicitando esclarecimentos e eventual resolução EXTRAJUDICIAL da demanda.

A EZ se empenhará para esclarecer a demanda, bem como eventualmente resolvê-la da forma mais breve possível, respondendo ao seu endereço de e-mail cadastrado. As notificações deverão ser realizadas por meio exclusivamente eletrônico e, ainda, conter as seguintes informações:

  1. a)   Identificação do objeto da reclamação;
  2. b)   Identificação do material que supostamente representa a infração ou informações necessárias para a devida identificação da demanda; e
  3. c)   O notificante declara que as informações contidas na notificação são precisas e verdadeiras, sob pena de incorrer nas consequentes responsabilidades cíveis e penais.

O canal para reportar qualquer tipo de material abusivo, divulgado também em nossas newsletters e site, pode ser acionado através de envio de mensagem para o Comitê de Privacidade: juridico@ezsoft.com.br

DAS DISPOSIÇÕES GERAIS: Este documento é regido pelas leis do Brasil. Todas as controvérsias decorrentes de ou relacionadas a este documento devem ser tratadas na jurisdição brasileira, especificamente na Comarca de Uberlândia/MG. Contudo, caso alguma disposição defina foro especial ao TITULAR, o foro aplicável será o estabelecido em tal legislação.

 DOCUMENTOS DE REFERÊNCIA:

  • Informativo Público da Política de Segurança da Informação.
  • Lei 12.965/2014 – Marco Civil da Internet.
  • Lei 13.709/2018 – Lei Geral de Proteção de Dados.
  • Procedimentos de Auditoria Interna.
  • Acordo de Processamento de Dados Pessoais entre EZ e Cliente.

 

ESTA POLÍTICA DE PRIVACIDADE ESTÁ VIGENTE DESDE 01 DE OUTUBRO DE 2022.

 

Política de Uso de Cookies

POLÍTICA DE USO DE COOKIES E OUTROS ARQUIVOS (WEB BEACONS, PIXEL, ENTRE OUTROS ARQUIVOS):      

Os “cookies”, web beacons e pixel são pequenos arquivos de dados que são arquivados no dispositivo eletrônico do USUÁRIO e permitem que a EZ o reconheça se ele retornar à EZ usando o mesmo dispositivo eletrônico, bem como monitorar a sua atividade de uso da EZ. A EZ usa vários tipos de arquivos e, em especial, pode enviar um “cookie de sessão” ao seu dispositivo eletrônico quando o USUÁRIO efetuar login na sua Conta, inserindo seu endereço de e-mail e senha, se o USUÁRIO assim o fizer. Esses cookies permitem que a EZ reconheça se o USUÁRIO visitar várias páginas em nossa plataforma durante a mesma sessão, de forma que não precisará reinserir a sua senha várias vezes. Assim que o USUÁRIO efetuar logout ou fechar o navegador, os cookies dessa seção irão expirar e não terão mais qualquer efeito.

Para desativar tais arquivos, os dispositivos eletrônicos permitem que o USUÁRIO o faça alterando suas configurações. Se desejar saber como fazer isso, o USUÁRIO deverá verificar o menu de ajuda no seu dispositivo eletrônico. Observe que a desativação dos cookies poderá restringir a sua experiência de uso da EZ.

As informações de arquivo de log são automaticamente fornecidas pelo seu dispositivo e gravados na EZ todas as vezes que seja realizada uma solicitação para acessar uma página ou aplicativo. Elas também podem ser fornecidas quando o conteúdo da página ou aplicativo da Web é baixado para seu navegador ou dispositivo.

Em qualquer caso, é possível configurar o software do navegador para a Internet de uma forma que não aceite cookies, ativando a chamada navegação anônima e, nesse caso, nenhum dado será processado por esses sistemas.

Esses cookies também podem ser utilizados para avaliar métricas de performance, permitir o funcionamento correto do site e torná-lo mais seguro, fornecer melhor experiência do usuário, entender como o site funciona e onde precisa ser melhorado e coletar informações sobre o comportamento do usuário. Existem vários tipos de cookies. Em nosso site, nós utilizamos os seguintes cookies:

  • Cookies estritamente necessários. São essenciais para o funcionamento de nosso site, para garantir a sua segurança e performance adequada, sem os quais ele não funcionaria corretamente.
  • Cookies preferenciais. Armazenam informações sobre suas preferências, como, por exemplo, o seu idioma e sua região, permitindo uma melhor experiência de navegação no site.
  • Cookies de análise. Coletam informações sobre o seu comportamento durante a navegação em nosso site, como as páginas que são acessadas, o tempo de visita, as páginas pouco acessadas, de modo a nos permitir melhorar a qualidade do site.

Um exemplo de cookies que utilizamos são os fornecidos pelo Google Analytics, que nos ajuda a compreender a interação dos usuários com a EZ, para, então, encontrar oportunidades de evoluir nossos serviços. A EZ utiliza sistemas que analisam a navegação dos USUÁRIOS para gerar estatísticas sobre as visitas ou para melhorar a oferta de conteúdo, mostrar produtos similares e posicionar a publicidade direcionada em páginas da web. Por exemplo, um dos sistemas utilizados é o Google Analytics, que contém um serviço de análise da web fornecido pelo Google, Inc. (“Google”). O Google Analytics, como outros sistemas, usa “cookies”, que são arquivos de texto armazenados no computador do USUÁRIO para permitir que a EZ analise os dados de navegação. As informações geradas pelo cookie sobre o uso do site pelo USUÁRIO (incluindo o endereço IP) serão transmitidas e armazenadas pelo Google nos servidores nos Estados Unidos. O Google usará essas informações para avaliar o uso do site, compilar relatórios sobre a atividade do site e fornecer outros serviços relacionados ao uso da Internet. O Google também pode transferir essas informações para terceiros quando exigido por lei ou quando esses terceiros processarem as informações em nome do Google. O Google não associará seu endereço IP a nenhum outro dado mantido pelo Google. Em qualquer caso, o USUÁRIO pode se recusar a usar cookies que não sejam necessários, selecionando as configurações apropriadas em seu navegador, mas isso pode impedir o uso de todos os recursos da EZ. Ao usar o site da EZ o USUÁRIO concorda com o processamento de dados pelo Google da maneira e para os propósitos estabelecidos acima.

Os cookies permanentes permanecem no dispositivo mesmo depois do USUÁRIO sair da EZ, até que este os cancele ou até que sua data de expiração seja atingida. A EZ cria esse tipo de cookie e o armazena no dispositivo para que o USUÁRIO possa lê-lo quando visitar o site novamente. Isto permite, por exemplo, encontrar, mesmo em visitas subsequentes ao site, as preferências definidas (por exemplo, lista de desejos).

Os cookies promocionais são usados ​​para coletar informações sobre os hábitos de navegação do USUÁRIO, com o objetivo de propor mensagens publicitárias que sejam tão relevantes quanto possível aos seus interesses. Isso significa que eles também são usados ​​para limitar o número de vezes que o USUÁRIO visualiza um anúncio específico, de forma que a EZ possa comunicar-se mais efetivamente e positivamente, visto que disponibilizará cada vez menos publicidade invasiva. Enquanto navega nas paginas da EZ, os cookies promocionais permitem confirmar que o USUÁRIO está consultando as mensagens publicitárias, mostrando conteúdo promocional que pode ser de seu interesse com base no que ele visitou anteriormente. Esses cookies também permitem, enquanto o USUÁRIO navega em outros sites, mostrar conteúdo promocional que ele recentemente consultou na EZ. 

O site da EZ usa cookies promocionais exclusivamente de forma anônima, isto é, a publicidade é direcionada, mas o USUÁRIO não é identificável. Os cookies promocionais utilizados são permanentes, embora permaneçam no dispositivo do USUÁRIO apenas por um tempo limitado. 

Caso queira gerenciar suas preferências de cookies, é possível configurar seu navegador ou dispositivo para removê-los. No entanto, ao realizar esta ação, você fica ciente de que alguns recursos podem não funcionar adequadamente e de que sua experiência com pode não ser tão personalizada, comprometendo a usabilidade da EZ.

Recusar e bloquear cookies: A maioria dos navegadores da Internet é configurada inicialmente para aceitar cookies automaticamente. Isso significa que o USUÁRIO tem a possibilidade, a qualquer momento, de configurar seu navegador para aceitar todos os cookies, apenas alguns, ou rejeitá-los por completo. Além disso, o USUÁRIO normalmente pode definir as preferências de seu navegador de modo a ser notificado sempre que um cookie é armazenado em seu computador. No final de cada sessão de navegação, finalmente, o USUÁRIO pode excluir os cookies coletados do disco rígido de seu dispositivo. Se o USUÁRIO quiser excluir os cookies instalados na pasta de cookies do seu navegador, lembre-se de que cada navegador tem procedimentos diferentes para gerenciar as configurações.

Ao selecionar os links abaixo, o USUÁRIO pode obter instruções específicas para alguns dos principais navegadores:

Cada navegador fornece seu próprio meio para configurar os cookies. Ao acessar os respectivos sites, você estará sujeito às políticas de privacidade de outras empresas, que podem não ser condizentes ou similares aos termos desta Política. Para saber mais sobre como gerenciar e excluir cookies do seu navegador, visite:

  • Como remover cookies no Google Chrome
  • Como remover cookies no Mozilla Firefox
  • Como remover cookies no Internet Explorer
  • Como remover cookies no Safari

 

NOTIFICAÇÃO DE ALTERAÇÕES: A EZ se reserva o direito de modificar ou alterar esta Política de a qualquer momento e por qualquer motivo. Quando alterado, a EZ providenciará avisos claros do que foi alterado e colherá o consentimento do USUÁRIO novamente, quando necessário, bem como republicará o presente documento quanto às informações pessoais que não exijam consentimento, notificando o USUÁRIO. 

NOTIFICAÇÃO SOBRE INFRAÇÕES: Caso o USUÁRIO ou terceiro sinta-se lesado em relação a qualquer conteúdo ou ação realizada pela EZ, deverá encaminhar uma notificação por e-mail para o Comitê de Privacidade da EZ, solicitando esclarecimentos e eventual resolução EXTRAJUDICIAL da demanda.

A EZ se empenhará para esclarecer a demanda, bem como eventualmente resolvê-la da forma mais breve possível, respondendo ao seu endereço de e-mail cadastrado. As notificações deverão ser realizadas por meio exclusivamente eletrônico e, ainda, conter as seguintes informações:

  1. Identificação do objeto da reclamação;
  2. Identificação do material que supostamente representa a infração ou informações necessárias para a devida identificação da demanda; e
  3. O notificante declara que as informações contidas na notificação são precisas e verdadeiras, sob pena de incorrer nas consequentes responsabilidades cíveis e penais.

 

O canal para reportar qualquer tipo de material abusivo, divulgado também em nossas newsletters e site, pode ser acionado através de envio de mensagem para nosso DPO: juridico@ezsoft.com.br

DAS DISPOSIÇÕES GERAIS: Este documento é regido pelas leis do Brasil. Todas as controvérsias decorrentes de ou relacionadas a este documento devem ser tratadas na jurisdição brasileira, especificamente na Comarca de Uberlândia/MG. Contudo, caso alguma disposição defina foro especial ao USUÁRIO, o foro aplicável será o estabelecido em tal legislação.

Versão: 24/10/2022

Facebook Instagram Linkedin

Contato

Fale com um de
nossos especialistas

Solicitar demonstração

Pronto para começar?

Saiba como você pode melhorar a satisfação do cliente através de nossas soluções

Fique por dentro do mundo EZ, assine a nossa Newsletter

EZ SOFTWARES LTDA - CNPJ: 18.531.719/0001-14

Copyright© EZ 2023. Todos os direitos reservados.