1. Objetivo
Esta política estabelece as diretrizes de proteção de dados pessoais de Pessoas Físicas (PF)
e Pessoas Jurídicas (PJ), garantindo conformidade com LGPD/GDPR e proteção contra acessos
não autorizados, perda, alteração ou divulgação indevida.
2. Dados de Pessoas Físicas (PF)
2.1. Categorias de Dados
- Dados Cadastrais: Nome, CPF, RG, data de nascimento, endereço
- Dados de Contato: E-mail, telefone, redes sociais
- Dados Profissionais: Empresa, cargo, formação
- Dados Financeiros: Dados bancários (quando necessário)
- Dados de Navegação: IP, cookies, logs de acesso
2.2. Medidas de Proteção PF
Criptografia
TLS 1.3 em trânsito, AES-256 em repouso para dados sensíveis
Controle de Acesso
RBAC com MFA para acesso a dados pessoais
Segregação
Dados sensíveis armazenados em ambientes isolados
Logs de Auditoria
Registro de todos os acessos e modificações
2.3. Direitos dos Titulares PF
Garantimos todos os direitos previstos na LGPD (Art. 18) e GDPR (Arts. 15-22):
- Acesso aos dados pessoais
- Correção de dados incompletos ou desatualizados
- Anonimização, bloqueio ou eliminação
- Portabilidade dos dados
- Revogação de consentimento
- Oposição a tratamento indevido
3. Dados de Pessoas Jurídicas (PJ)
3.1. Categorias de Dados PJ
- Dados Cadastrais: Razão social, CNPJ, endereço, telefone
- Dados Contratuais: Contratos, propostas, SLAs
- Dados Financeiros: Faturamento, notas fiscais, pagamentos
- Dados de Contato: E-mails corporativos, telefones
- Dados Operacionais: Projetos, deliveries, métricas
3.2. Proteção de Dados Corporativos
- Confidencialidade: NDAs obrigatórios para projetos sensíveis
- Classificação: Dados classificados conforme criticidade
- Segregação de Clientes: Ambientes isolados por cliente quando aplicável
- Backup Seguro: Backups criptografados com retenção controlada
- DLP (Data Loss Prevention): Controles para prevenir vazamentos
3.3. Dados de Representantes PJ
Importante: Dados pessoais de representantes legais, procuradores, colaboradores de empresas
clientes são tratados como dados de Pessoas Físicas, recebendo todas as proteções da LGPD/GDPR.
Nota Legal:
Embora a LGPD foque em dados de pessoas físicas, dados de PJ podem conter informações de PF (sócios,
representantes). Todos recebem proteção equivalente.
4. Medidas Técnicas de Proteção
4.1. Segurança de Rede
- Firewall Next-Generation (NGFW)
- IDS/IPS (Detecção e Prevenção de Intrusão)
- WAF (Web Application Firewall)
- VPN para acesso remoto
- Segregação de rede (DMZ, produção, desenvolvimento)
4.2. Segurança de Aplicação
- Input validation e sanitização
- SQL Injection prevention
- XSS (Cross-Site Scripting) protection
- CSRF tokens
- Secure headers (HSTS, CSP, X-Frame-Options)
4.3. Segurança de Dados
- Encryption at rest (AES-256)
- Encryption in transit (TLS 1.3)
- Key Management System (KMS)
- Data masking para ambientes não-produtivos
- Anonimização e pseudonimização quando aplicável
5. Medidas Organizacionais
5.1. Políticas e Procedimentos
- Política de Segurança da Informação
- Política de Controle de Acesso
- Política de Classificação da Informação
- Procedimentos de Backup e Recuperação
- Plano de Resposta a Incidentes
5.2. Treinamento e Conscientização
- Onboarding obrigatório sobre proteção de dados
- Treinamentos trimestrais de LGPD/GDPR
- Simulações de phishing e engenharia social
- Security awareness campaigns
5.3. Gestão de Terceiros
- Due diligence de segurança antes da contratação
- Data Processing Agreements (DPA)
- Cláusulas contratuais de confidencialidade
- Auditorias periódicas de fornecedores
6. Ciclo de Vida dos Dados
| Fase |
Controles Implementados |
| Coleta |
Minimização, consentimento, transparência |
| Armazenamento |
Criptografia, controle de acesso, classificação |
| Uso |
Limitação de finalidade, least privilege |
| Compartilhamento |
DPAs, cláusulas contratuais, legitimate sharing |
| Descarte |
Eliminação segura, certificados de destruição |
7. Resposta a Incidentes
Em caso de incidente envolvendo dados pessoais:
- Detecção e Contenção: Identificação imediata e isolamento
- Avaliação de Impacto: Análise de dados afetados e riscos
- Notificação ANPD: Em até 72 horas (se aplicável)
- Comunicação aos Titulares: Quando houver alto risco
- Remediação: Correção de vulnerabilidades
- Lições Aprendidas: Post-mortem e melhorias
Reporte Incidentes:
E-mail: security@uniaogeek.com.br
DPO: dpo@intuix.com.br
Telefone (Urgência): (11) 5547-7791
8. Retenção e Descarte
Dados são mantidos apenas pelo tempo necessário, conforme nossa
Política de Retenção e Descarte de Dados.
8.1. Períodos de Retenção
- Dados de clientes ativos: Duração do relacionamento + 1 ano
- Dados fiscais: 5 anos (obrigação legal)
- Dados de marketing: Até revogação ou 2 anos de inatividade
- Logs de segurança: 1 ano
8.2. Descarte Seguro
- Eliminação criptográfica (destruição de chaves)
- Sobrescrita segura de mídias (DOD 5220.22-M)
- Destruição física de mídias quando necessário
- Certificados de destruição
9. Transferência Internacional
Transferências internacionais de dados são realizadas com garantias adequadas:
- Standard Contractual Clauses (SCCs)
- Adequacy decisions (quando disponíveis)
- Binding Corporate Rules (BCRs)
- Certificações (ISO 27001, SOC 2)
10. Monitoramento e Auditorias
10.1. Monitoramento Contínuo
- SIEM (Security Information and Event Management)
- Alertas automatizados para acessos suspeitos
- Análise comportamental (UEBA)
- Dashboards de compliance em tempo real
10.2. Auditorias
- Internas: Semestralmente
- Externas: Anualmente (Intuix Tecnologia)
- Compliance checks: Mensalmente (automatizados)
11. Contatos
Data Protection Officer (DPO):
Intuix Tecnologia Ltda.
E-mail: dpo@intuix.com.br
Telefone: (11) 5547-7791
Horário: Segunda a sexta, das 9h às 17h
União Geek Consultoria e Treinamentos em Cybersecurity LTDA
CNPJ: 60.089.297/0001-35 | Versão: 2.0 | Vigência: Janeiro/2025
Compliance Partner: Intuix Tecnologia