POLITICA DE COOKIES
Objetivo
Estabelecer as diretrizes para o gerenciamento de cookies utilizados em websites e plataformas da Instituição.
Visão Geral
Ao longo dos anos, os cookies se tornaram o método mais comum para identificar usuários e melhorar a experiência de navegação em websites, aplicativos e plataformas, pois têm a capacidade de salvar preferências de idioma, detalhes de login, de compras e, até mesmo de auxiliar na identificação do perfil comportamental de um usuário para fins publicitários. A presente política é importante por apresentar as formas de utilização de cookies pela Instituição.
1. Público-alvo
Esta política se dirige aos usuários externos das plataformas da Instituição, tais como os seus sites ou aplicativos.
2. O que são cookies?
Cookies são pequenos arquivos que são armazenados no dispositivo do usuário ao acessar websites, aplicativos e plataformas que tem a finalidade de auxiliar no funcionamento, desempenho e otimização da navegação.
Cada cookie expira após determinado período, dependendo da finalidade de seu uso. Assim como a maioria dos sites comerciais, a Instituição utiliza cookies nas páginas do seu site¸ aplicativos e plataformas.
No acesso ao site, há a necessidade de consentimento expresso para o armazenamento de cookies, conforme descrito neste documento e também na Política de Privacidade e Proteção de Dados.
3. Quais tipos de cookies são utilizados pela Instituição?
Existem diferentes tipos de cookies que podem vir a ser utilizados nas páginas do site, aplicativos e plataformas da Instituição, como por exemplo cookies próprios ou de terceiros (definidos por um servidor localizado fora do domínio das nossas plataformas). Indicamos abaixo os diferentes tipos de cookies:
- Cookies Essenciais
São necessários para o funcionamento adequado e a proteção das plataformas da Instituição. Por exemplo, pode-se utilizar cookies para a autenticação de um usuário. Esta funcionalidade é essencial em nossas plataformas, e não pode ser desativada. Exemplos incluem BIPS ou cookies de sessão de login.
- Cookies de Funcionalidade
São utilizados para habilitar determinadas funcionalidades adicionais nas plataformas da Instituição, como o armazenamento das preferências de navegação (por exemplo, seleção de nome de usuário e idioma) do usuário e preenchimento automático de formulários. Essa funcionalidade aperfeiçoa a experiência do usuário e pode ser desativada. Exemplos incluem cookies de configuração de idioma.
- Cookies de Preferência
Coletam informações sobre as escolhas e preferências do usuário, e podem ser desativados. Exemplos incluem cookies de RTP, ou cookies de personalização de conteúdo.
- Cookies de Mídias Sociais
Cookies de mídias sociais coletam informações sobre o uso de redes sociais relacionadas ao acesso às plataformas da Instituição. Exemplos incluem páginas do Facebook que usam as mídias sociais para publicidade comportamental, análises e pesquisas de mercado.
- Cookies de Análise
Cookies de análise coletam informações sobre a navegação do usuário nas plataformas da Instituição e nos permitem melhorar o funcionamento deles ou coletar dados sobre seus interesses. Os cookies de análise mostram quais são as páginas mais acessadas nas plataformas da Instituição e a eficácia da publicidade contida nestas páginas.
Isso permite à Instituição observar os padrões gerais das pessoas que acessam as suas plataformas, em vez dos usos de pessoas específicas. Tais informações também podem ser utilizadas para mensurar a quantidade de tráfego nas plataformas da Instituição. Exemplos incluem a utilização das ferramentas Optimizely e Google Analytics.
- Cookies de Segmentação
Cookies de segmentação podem ser utilizados para promover os serviços da Instituição em sites de terceiros. Assim, a visitação de alguma das plataformas da Instituição, poderá resultar, no futuro, na visualização de anúncios em sites e plataformas de terceiros.
Os cookies fornecidos por terceiros auxiliam a Instituição a acompanhar o desempenho de seus anúncios, armazenando informação acerca de quais navegadores visitaram as plataformas da Instituição.
A Instituição possui parceria com redes de publicidade que podem coletar endereços IP e outras informações em seus sites, e-mails e em sites externos, criando redes de anúncios que seguem as atividades online do usuário ao longo do tempo, coletando informações de navegação através de meios automatizados, incluindo a utilização de cookies. Exemplos incluem a utilização das ferramentas AdRoll e Google Analytics.
4. Finalidade do uso dos cookies
A Instituição pode vir a utilizar os cookies nas páginas do site, aplicativos e plataformas da Instituição para os seguintes fins:
- Ajudar na navegação;
- Auxiliar no registro de login e sua capacidade de fornecer feedback;
- Analisar o uso de nossos produtos, serviços ou aplicativos;
- Medir o uso do site (estatísticas e player de vídeo);
- Facilitar o compartilhamento em redes sociais;
- Ajudar com nossos esforços promocionais e de marketing (incluindo publicidade comportamental) para fornecer conteúdo que seja mais relevante para o usuário e seus interesses.
5. Como gerenciar os cookies utilizados pela Instituição
O usuário não é obrigado a aceitar a utilização de todos os cookies, somente os que são essenciais para o funcionamento correto das páginas do site, aplicativos e plataformas da Instituição. Desta forma, é possível a remoção ou desabilitação dos cookies utilizados no momento do acesso no website da Instituição, através de um botão de opt-out que será mostrado na tela.
É possível também desabilitar ou gerenciar os cookies através das configurações do navegador utilizado para acessar as plataformas da Instituição. Deve-se proceder com a consulta da documentação de configuração do navegador, pois as etapas normalmente variam conforme o navegador utilizado.
A permissão do uso de cookies garante uma experiência mais estável ao usuário na utilização das plataformas da Instituição. Portanto, a desabilitação de cookies de qualquer maneira poderá afetar negativamente o acesso às plataformas e websites da Instituição.
É possível consultar mais informações sobre cookies acessando: https://www.aboutcookies.org/.
POLITICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
1 Princípios da Proteção de Dados Pessoais
Os princípios abaixo elencados devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de dados pessoais pela Instituição para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial.
a) Legalidade, Transparência e Não-Discriminação
A Instituição trata os dados pessoais de forma justa, transparente e em conformidade com a legislação e regulamentação aplicáveis.
Tratamento de Dados Pessoais
A Instituição somente trata dados pessoais quando a finalidade do tratamento se enquadra em uma das hipóteses legais previstas na LGPD, que se encontram abaixo elencadas, sendo certo que os titulares devem ser sempre informados sobre a razão e a forma pela qual seus dados pessoais estão sendo tratados. São hipóteses de tratamento:
• Necessidade para a execução de um contrato do qual o titular dos dados é parte;
• Exigência decorrente de lei ou regulamento ao qual a Instituição está sujeita;
• Interesse legítimo no tratamento dos dados; e
• Necessidade de prover o exercício regular de direito em processo judicial, administrativo ou arbitral.
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses legais acima, a Instituição deve obter o consentimento do titular para o tratamento de seus dados pessoais, e assegurar que este consentimento seja obtido de forma específica, livre, inequívoca e informada, nos termos do art. 7º, inciso I da LGPD.
A Instituição deve coletar, armazenar e gerenciar todas os formulários de consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser provada quando necessário, nos termos do caput do art. 8º da LGPD.
Da mesma forma, o titular deve ter a possibilidade de retirar o seu consentimento a qualquer momento com a mesma facilidade pela qual foi fornecido, nos termos do art. 8º, §5º da LGPD.
Tratamento de Dados Pessoais Sensíveis
Em algumas circunstâncias a Instituição também pode ser obrigada a tratar dados pessoais considerados sensíveis, tais como os abaixo elencados:
• Dados relacionados à saúde do titular;
• Dados genéticos ou biométricos vinculados ao titular;
• Dados acerca da orientação sexual do titular;
• Dados sobre eventuais condenações criminais do titular;
• Dados que evidenciem a origem racial ou étnica, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
O tratamento de dados pessoais sensíveis é vedado, exceto nas hipóteses específicas descritas abaixo, conforme definido pelo art. 11 da LGPD, casos em que serão observados padrões de segurança mais robustos do que os normalmente empregados aos demais dados pessoais. São hipóteses de tratamento de dados sensíveis:
• Necessidade para a execução de um contrato do qual o titular dos Dados é parte (art. 11, inciso II, alínea “b” da LGPD); ;
• Exigência decorrente de lei ou regulamento ao qual a Instituição está sujeita (art. 11, inciso II, alínea “a” da LGPD);
• Necessidade de prover o exercício regular de direito em processo judicial, administrativo ou arbitral (art. 11, inciso II, alínea “d” da LGPD).
• Proteção da vida ou da incolumidade física do titular (art. 11, inciso II, alínea “f” da LGPD);
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses legais acima, a Instituição deve obter, de forma específica e destacada, o consentimento do titular para o tratamento de seus dados pessoais sensíveis, e assegurar que este consentimento seja obtido de forma específica, livre, inequívoca e informada, nos termos do art. 11, inciso I da LGPD.
Tratamento de Dados Pessoais de Criança ou Adolescente
Em outras circunstâncias, a Instituição pode ser obrigada a tratar dados pessoais de crianças e adolescentes, respeitando o disposto no Estatuto da Criança e do Adolescente e de acordo com os seus melhores interesses (art. 14, caput da LGPD). O tratamento de dados pessoais de crianças e adolescentes só será realizado mediante o consentimento específico e em destaque dado pelo seu responsável legal (art. 14, §1º da LGPD).
b) Limitação e Adequação da Finalidade
O tratamento de dados pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os dados pessoais foram coletados, não podendo os dados serem coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os dados pessoais foram coletados.
c) Necessidade e Minimização dos Dados
A Instituição seguirá o princípio da minimização dos Dados, isto é, somente poderá tratar os dados pessoais dos titulares na medida em que sejam necessários para atingir um propósito específico e determinado. O compartilhamento de dados pessoais com outra área ou outra empresa deve considerar sempre a observação deste princípio, só podendo haver o compartilhamento sob uma hipótese legal adequada.
d) Exatidão e Qualidade dos Dados
A Instituição deve adotar medidas razoáveis para assegurar que quaisquer dados pessoais em sua posse sejam mantidos precisos e atualizados em relação às finalidades para as quais foram coletados, havendo inclusive a possibilidade de o titular de dados pessoais requerer a exclusão ou correção de dados imprecisos ou desatualizados.
e) Limitação da Retenção e do Armazenamento de Dados
A Instituição deve estabelecer períodos de retenção e processos de revisão periódica no tratamento de dados pessoais, não podendo manter os dados pessoais por prazo superior ao necessário para atender as finalidades pretendidas, sempre fazendo atenção aos ditames estabelecidos pela sua Política de Retenção de Dados.
f) Integridade e Confidencialidade
A Instituição deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos dados pessoais para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O tratamento de dados pessoais também deve garantir a devida confidencialidade.
As medidas técnicas utilizadas pela Instituição para a garantia da integridade e confidencialidade dos dados pessoais estão previstas na Política de Segurança da Informação.
g) Responsabilização e Prestação de Contas
A Instituição deve demonstrar o cumprimento desta Política, assegurando a implementação de medidas que incluem:
- Garantias de que os titulares possam exercer os seus direitos previstos nesta política;
- Registro de dados pessoais, incluindo: (i) registros de atividades de tratamento de dados pessoais, com a descrição das finalidades desse tratamento, os destinatários do compartilhamento dos dados pessoais e os prazos pelos quais a Instituição deve retê-los; (ii) registro de incidentes de dados pessoais; e (iii) registro de violações de dados pessoais.
- Garantias de que os terceiros que sejam operadores de dados pessoais também estejam agindo de acordo com esta política e com a legislação e regulamentação aplicáveis;
- Garantias de que a Instituição, quando requerida, registre junto à autoridade regulamentar um DPO; e
- Garantias de que a Instituição esteja cumprindo todas as exigências e solicitações de qualquer autoridade regulamentar à qual esteja sujeita.
2. Diretrizes e Padrões de Segurança
A Instituição deve seguir as boas práticas de segurança da informação, com o fim de proteger a privacidade e os dados pessoais dos indivíduos e garantir o direito fundamental à autodeterminação informacional dos titulares.
A confidencialidade, integridade e disponibilidade, bem como a autenticidade, a responsabilidade e o não-repúdio são considerados fundamentos da segurança da informação.
Todos os integrantes da Instituição com acesso a dados pessoais estão obrigados aos deveres de confidencialidade, mediante a assinatura de Acordo de Confidencialidade.
Ao implementar novos processos, procedimentos ou sistemas que envolvam o tratamento de dados pessoais, a Instituição deverá adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento ou implantação destes projetos, de acordo com a Política de Desenvolvimento de Novos Produtos e Negócios.
3. Gestão das Relações Controlador-Operador de Dados Pessoais
Cada parceiro ou fornecedor que tratar dados pessoais fornecidos pela Instituição será considerado, para todos os efeitos, um Operador de dados pessoais, sendo necessária a nomeação por este parceiro ou fornecedor de um DPO responsável por garantir que estes dados pessoais estejam sendo tratados de forma correta e de acordo com a legislação e regulamentação aplicáveis.
4. Transferência Internacional de Dados Pessoais
Se os dados pessoais forem tratados em países diferentes de onde foram coletados, a legislação e regulamentação aplicáveis à transferência internacional de dados de cada país devem ser observadas, nos termos da Política de Compartilhamento de Dados Pessoais.
A Instituição garante, de acordo com o disposto na Política de Compartilhamento de Dados Pessoais, que todos os seus contratos com fornecedores celebrados a partir da publicação desta política estão em conformidade com a Lei 13.709/2018, nos termos do seu art. 33.
5. Direitos dos Titulares de Dados Pessoais
A Instituição deve agir para efetivar os direitos dos titulares de dados pessoais, mediante políticas, normas e procedimentos que forneçam:
- A informação sobre como seus dados pessoais serão tratados;
- A informação, a qualquer momento, sobre o tratamento de seus dados pessoais e o acesso aos dados pessoais que a Instituição detenha sobre eles;
- A possibilidade de correção de seus dados pessoais se estiverem imprecisos, incorretos ou incompletos;
- A possibilidade de exclusão, bloqueio ou anonimização dos seus dados pessoais em determinadas circunstâncias, nos termos de Política de Retenção de Dados da Instituição;
- A restrição do tratamento de seus dados pessoais em determinadas circunstâncias;
- A possibilidade de oposição ao tratamento, se o tratamento for baseado em legítimo interesse
- A possibilidade de retirada do consentimento a qualquer momento, se o tratamento dos dados pessoais se basear no consentimento do indivíduo para um propósito específico;
- A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias;
- A possibilidade de revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; e
- A possibilidade de apresentação de queixa à Instituição através do contato com o DPO responsável, ou através de comunicação à Autoridade de Proteção de Dados, se o titular dos dados pessoais tiver motivos para supor que qualquer um de seus direitos tenha sido violado.
6. Prestadores de Serviço Terceirizados
Os prestadores de serviços terceirizados que tratem dados pessoais sob as instruções da Instituição estão sujeitos às obrigações impostas aos Operadores de acordo com a legislação e regulamentação de proteção de dados pessoais aplicáveis, bem como às diretrizes estabelecidas nas Políticas de Compartilhamento e de Terceirização da Instituição.
A Instituição deve assegurar que no contrato de prestação de serviços terceirizados sejam contempladas as cláusulas de privacidade que exijam que a empresa terceirizada implemente medidas próprias de segurança e proteção de dados pessoais, devendo sempre estar em conformidade com a LGPD.
Nos casos em que o prestador de serviços estiver localizado fora do país em que os dados pessoais foram coletados, cláusulas contratuais padrão devem ser incluídas no contrato de proteção de dados pessoais em forma de um Anexo, para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis sejam adequadamente implementadas.
7. Da Gestão de Incidentes de Segurança da Informação
Todos os incidentes de segurança da informação devem ser reportados ao DPO responsável, por meio das diretrizes e procedimentos previstos na Política e Plano de Resposta a Incidentes.
Todos os integrantes da Instituição devem estar cientes da sua responsabilidade pessoal perante a ocorrência de eventos e incidentes de segurança da informação, agindo para denunciar tais incidentes e eventos assim que os identificarem.
8. Auditorias de Proteção de Dados
A Instituição deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas previstas nesta política, bem como seus sistemas, medidas, processos, precauções e outras salvaguardas estejam sendo efetivamente implementadas e mantidas em conformidade com a legislação e a regulamentação aplicáveis.
Adicionalmente, observando-se o previsto na Política de Auditoria Interna, o tema deve ser avaliado com a devida periodicidade e de acordo com os riscos existentes. Caso os riscos sejam relevantes, a Auditoria Interna deverá incluir revisão independente específica no plano anual de auditoria interna.
POLITICA DE SEGURANÇA DA INFORMAÇÃO
Objetivo
Esta Política busca estabelecer os conceitos e diretrizes de Segurança da Informação, visando proteger as informações da Instituição e de seus clientes. Posiciona-se como um documento estratégico, com vistas a promover o uso seguro dos ativos de informação da Instituição e asseverar o seu compromisso com a proteção das informações sob a sua custódia, devendo ser cumprida por todos os integrantes da Instituição.
Visão Geral
Esta Política aplica-se a todas as áreas da Instituição, sendo de observância obrigatória a todos os integrantes, tendo em vista que a Instituição busca resguardar a segurança das suas informações de acordo com as melhores práticas de mercado.
A implementação contínua e eficaz desta política depende do compromisso de todos os integrantes da Instituição, e qualquer violação desta política será investigada e poderá resultar em uma ação disciplinar, bem como eventual responsabilização cível ou criminal do integrante da Instituição.
1. Pilares da Segurança da Informação
Os pilares abaixo elencados devem ser observados pela Instituição para atender aos padrões de Segurança da Informação no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis.
a) Confidencialidade
A Instituição visa garantir que o acesso as suas informações internas, relativas à própria Instituição, seus parceiros ou seus clientes, seja obtido somente por pessoas autorizadas e nas ocasiões em que este acesso for de fato necessário.
Procedimentos e medidas da Instituição que visam garantir a confidencialidade das informações podem ser consultados na Política de Privacidade e Proteção de Dados Pessoais, na Política de Cookies, na Política de Senhas, na Política de Anonimização e Pseudonimização e na Política de Mesa Limpa.
b) Integridade
A Instituição visa garantir a exatidão e a completude das informações através de seus métodos de processamento, bem como a integridade dos Dados Pessoais de titulares que estejam sob sua responsabilidade.
Procedimentos e medidas da Instituição que visam garantir a integridade das informações podem ser consultados na Política de Criptografia, na Política de Antivírus e Malware, na Política e Plano de Respostas a Incidentes, e demais políticas, quando necessário.
c) Disponibilidade
A Instituição visa garantir que a informação esteja sempre disponível aos integrantes que de fato possuam as permissões de acesso necessárias, assegurando-se de que os dados estejam sempre disponíveis quando for preciso.
Procedimentos e medidas da Instituição que visam garantir a dispinibilidade das informações podem ser consultados na Política de Backup, na Política de Gestão de Ativos, Política de Acesso às Instalações Físicas, Política de Acesso Remoto e Acesso a? Rede e na Política de Retenção de Dados.
d) Autenticidade
A instituição visa garantir um conceito que se refere a confirmação de que o usuário realmente é quem alega ser, confirmando a identidade dos usuários antes de liberar o acesso aos sistemas e recursos, garantindo que não se passem por terceiros, assim fazendo uma validação de autorização do usuário para acessar, transmitir e receber determinadas informações.
Procedimentos e medidas da Instituição que visam garantir a Autenticiades das informações podem ser consultados na Políticas de Senhas, Política de Bring Your Own Device, Política de Compartilhamento de Dados, Políticas e Normas Instalações Físicas.
e) Rastreabilidade
A Instituição visa garantir a disponibilidade de trilhas de auditoria de informações e meios de processamento, através de registros das transações e alterações realizadas em seus sistemas e aplicações.
Procedimentos e medidas da Instituição que visam garantir a rastreabilidade das informações podem ser consultados na Política de Registro de LOGs, na Política de Bring Your Own Device, na Política de Acesso Remoto e à Rede, na Política de Acesso a Instalações Físicas e na Política de Comunicação de Dados Pessoais.
2. Diretrizes de Segurança da Informação
As informações de titulares de Dados Pessoais devem ser tratadas de forma ética e sigilosa, de acordo com as diretrizes estabelecidas pela Política de Privacidade e Proteção de Dados Pessoais da Instituição e pelas demais políticas, legislações e regulamentações aplicáveis.
Todos os integrantes da Instituição devem ter ciência de que o acesso e uso aos sistemas de informação fornecidos pela Instituição são monitorados, e que os registros assim obtidos podem servir de evidência para a investigação de ocorrências e aplicação de medidas disciplinares, observando-se o disposto na Política de Acesso Remoto e Acesso à Rede.
Os integrantes da Instituição devem possuir uma identificação única, pessoal e intransferível, que seja capaz de o qualificar como responsável por suas ações, observando-se o disposto na Política de Senhas.
Informações confidenciais como senhas ou qualquer outra informação a qual o profissional possua em seu poder durante exercício do seu cargo devem sempre ser mantidas de forma secreta, sendo terminantemente proibido o seu compartilhamento, observando-se o disposto na Política de Senhas.
Os acessos devem sempre obedecer ao critério de menor privilégio, no qual os usuários devem possuir somente as permissões necessárias para a execução de suas atividades.
Todo procedimento relacionado à segurança da informação deve garantir, durante toda a sua execução, a segregação de funções e atribuições, por meio da participação de mais de uma pessoa ou equipe.
As diretrizes e procedimentos contidos nesta Política de Segurança da Informação devem ser amplamente divulgadas entre as empresas pertencentes à Instituição e às empresas parceiras.
3. Gestão de Níveis de Acesso
Para assegurar a proteção adequada às informações da Instituição, somente profissionais autorizados devem possuir acesso às informações armazenadas pela Instituição, através da caracterização de documentos por nível de acesso e pela utilização de credenciais de acesso devidamente conferidas pelo Responsável pela Segurança da Informação. Estes níveis de acesso à informação são classificados da seguinte maneira:
- Informações Públicas: são informações de domínio público, que não contém quaisquer informações confidenciais ou sensíveis e podem ser acessados por qualquer pessoa, dentro ou fora da Instituição;
- Informações Internas: são informações internas da Instituição, que contém informações relevantes e potencialmente confidenciais à Instituição, podendo ser acessados apenas pelos integrantes da Instituição, sob dever de confidencialidade;
- Informações Confidenciais: são documentos sigilosos da Instituição, que contém informações sensíveis e restritas da Instituição ou de seus clientes, podendo ser acessados apenas pelos integrantes da Instituição instituídos com as devidas credenciais de acesso.
Os acessos lógicos dos integrantes da Instituição devem ser controlados de forma que somente as informações necessárias ao desempenho de suas atividades estejam disponíveis, de acordo com as suas credenciais de acesso, conforme disposto na Política de Senhas.
O acesso físico dos integrantes da Instituição e visitantes aos locais que possuírem recursos tecnológicos da Instituição deve ser controlado mediante utilização de credenciais de acesso, conforme disposto na Política de Acesso a Instalações Físicas e Política de Acesso Remoto e Acesso a? Rede.
As informações devem ser utilizadas pelos integrantes de forma transparente e apenas para as finalidades para as quais foram coletadas, sem expor os indivíduos a que dizem respeito.
4. Gestão de Riscos, Objetivos e Incidentes de Segurança da Informação
Os riscos devem ser identificados por meio de um procedimento estabelecido para a avaliação dos riscos e ameaças à segurança da informação que possam afetar o negócio ou suas estratégias, alinhados com o contexto do negócio de forma a preservar e proteger adequadamente os ativos da Instituição, conforme previsto na Política e Plano de Respostas a Incidentes e na Política de Antivírus e Malware.
Os incidentes e eventos de segurança da informação devem ser analisados, tratados, registrados, monitorados e reportados ao Responsável pela Segurança da Informação, conforme previsto na Política e Plano de Respostas a Incidentes.
5. Treinamentos de Conscientização
A Instituição deve realizar treinamentos de forma regular e periódica, conforme estabelecido pelo Responsável pela Segurança da Informação, a fim de conscientizar todos os seus integrantes acerca do tema da Segurança da Informação. As ações de conscientização devem ser realizadas em diferentes formatos e abranger diferentes públicos, envolvendo treinamentos de modo presencial, treinamentos através de educação à distância (EAD) e campanhas informativas.