- 3layer Tecnologia - Confluence

Nível de Privacidade Created Jan 28, 2024 (00:40) by Marcelo | Founder , last modified Feb 15, 2024 (14:10) by Marcelo | Founder | In glossary Glossary | In space Home

Definition

O Nível de Privacidade define uma hierarquia de privacidade para as informações na empresa, sendo uma pedra angular na gestão da segurança da informação e reflete a abordagem proativa da empresa na preservação de dados sensíveis.

Organizados em quatro níveis - Confidencial, Restrito, Privado e Público - esses distintos estratos proporcionam uma camada de proteção multifacetada, aplicando-se a todas as informações da empresa, em especial documentos, mas também se estendendo para reuniões, correio eletrônico, chamadas web, desenhos em quadros, informações em folhas de papel escritas ou rabiscas, enfim, toda e qualquer informação corporativa é sujeita invariavelmente à esta classificação.

Sejam informações estratégicas que, se comprometidas, podem abalar a continuidade da empresa, até documentos operacionais de uso interno, a classificação visa não apenas resguardar dados, mas também fortalecer a confiança tanto interna quanto externa dos ativos da empresa.

Em nossa empresa, os quatro níveis de privacidade de informações são os seguintes:

CONFIDENCIAL: É o nível mais alto de alto sigilo, contendo informações estratégicas da empresa que se vazado pode afetar seriamente o funcionamento e mesmo a continuidade da existência empresa no mercado. O vazamento de documetnos confidenciais pode afetar a vida dos sócios, diretores e mesmo os planos de longo prazo da empresa. Portanto, seu uso e manuseio devem ser seriamente cuidadosos. Documentos Confidenciais não podem ser compartilhados para externos da empresa, exceto quanto os destinatários são parte inerente do conteúdo do documento, ou seja, o documento/informação em si fora construído de forma colaborativa entre ambas as partes e, mesmo nesses casos, é necessária aprovação conjunta dos (i) sócios, (ii) da diretoria responsável e (iii) da área jurídica da empresa. Exemplos de informações deste tipo incluem Planejamentos Empresariais, Análises de Mercado ou Concorrentes, Contratos de Parcerias e Negócios Estratégicos, Acordos Comerciais Empresarias, Documentos de Sócios e Acionistas, Modelos de Precificação, Análises Tributárias e assemelhados.
RESTRITO: É o segundo nível mais alto de segurança, contendo informações sensíveis o suficiente a ponto de que se vazadas, podem afetar planos corporativos de curto e médio prazo, bem como afetar as relações dentro das áreas e pessoas. Seu uso e manuseio geralmente são restritos à certas funções e áreas da empresa, não sendo compartilháveis para áreas diferentes ou funções mais baixas. Documentos restritos podem ser compartilhados para externos da empresa, mas mediante sempre aprovação dos (i) sócios, (ii) da diretoria responsável e da (iii) da área jurídica. Exemplos de informações deste nível incluem Relatórios de Produtividade, Análises Comportamentais de Colaboradores, Análises de Currículos Pessoais, Entrevistas de Contratação ou Desligamento, Feedbacks Pessoais, Planilhas de Preços, Extratos Bancários, Contratos Corporativos.
PRIVADO: É o típico documento ou informação de uso cotidiano, operacional dentro da empresa. São sempre documento de uso interno que contém informações operacionais importantes, muitas vezes inclusive privadas de uma área da empresa que não podem ser visíveis por outras, mas que se vazado, não afeta planos empresariais de médio ou longo prazo, apenas eventualmente os de curta duração. Aqui enquadra-se todo e qualquer documento ou informação que não é nem Restrita nem Confidencial. Documentos e informações privadas podem ser, eventualmente, compartilhados para externos da empresa, como Parceiros, Clientes ou Fornecedores, mas sempre com atenção aos destinatários e lembrando que as informações ali contidas continuam sendo privadas. São exemplos: Currículos Pessoais, Cadastros em geral (com Pessoas, Empresas, Produtos, etc), Correio Eletrônico de uso cotidiano e seus anexos, Atas de Reunião corriqueiras, etc. Documentos privados só podem ser compartilhados para fora da área mediante aprovação conjunta do (i) diretor responsável e (ii) da área jurídica.
PÚBLICO: Documentos ou informações públicas são aquelas propositalmente criadas com o intuito de serem acessíveis para pessoas externas ou outras empresas. Podem ser tanto informações abertas para o público em geral (ou seja, sem um destinatário específico) como documentos ou informações construídas para uma determinada pessoa, empresa ou nicho de mercado. Todo documento público precisa ser isento, ou seja, não deve conter, informação Privada, Restrita ou Confidencial, bem como não deve conter informações sensíveis à LGPD (vide Nível de Sensibilidade). Os documentos públicos podem ter acesso livre e irrestrito ou podem ser, eventualmente associados à senhas, chaves de acesso ou criptografia direcionadas aos únicos destinatários. São exemplos de documentos públicos: Folders de Produtos, Informações Comerciais da Empresa, Dados Corporativos conhecimento público como website, endereço, dados do Cartão CNPJ, emails e telefones de contato, Anuários. O compartilhamento de documentos públicos só pode ser feita mediante aprovação conjunta da (i) gerência da área e (ii) área jurídica.

NÍVEL PADRÃO DE PRIVACIDADE:

Quando não especificado, a informação deve ser tratada como RESTRITA, ou seja, é informação altamente sensível e não deve ser disponibilizada fora da área e pessoas que fora inicialmente apresentada.

COMPARTILHAMENTO:

Conforme informado acima, os níveis de privacidade exigem as seguintes autorizações para compartilhamento fora das áreas e locais em que se encontram:

Confidencial: Sócios + Diretoria de área + Jurídico
Restrito: Sócios + Diretoria de área + Jurídico
Privado: Diretoria de área + Jurídico
Público: Gerência de área + Jurídico

IMPORTANTE:

Todos os colaboradores, parceiros e fornecedores da empresa estão sujeitos ao Acordo de Confidencialidade padrão, o qual descreve as penalidades aplicáveis conforme o grau de vazamento de informação.

MUDANÇA DE NÍVEL DE PRIVACIDADE

Não é permitido um documento criado em um nível de privacidade maior ser alterado para um nível de privacidade menor (ex. de Confidencial para Restrito). Essas operações, se necessárias, precisam ser feitas criando-se deliberadamente um novo documento de nível menor de privacidade e referenciando ele ao documento original com maior nível de privacidade, o qual por sua vez deve ser ser também atualizado e sinalizado que documentos menos sensíveis foram produzidos a partir dele. Este cuidado é necessário para evitar por erro de manuseio o vazamento de informações. Os sistemas da empresa tentam, sempre que possível garantir esse tipo de comportamento, como por exemplo no Jira, um Tipo de Documento marcado como Restrito não pode ser alterado depois para Privado, e no Google Drive, documentos criados em drives restritos não podem ser movidos para drives privados. Entretanto mesmo que os sistemas tentem manter tais níveis de requisitos, fato é que existem muitos sistemas e nem sempre é possível para eles garantir isso, cabendo à você este cuidado.

SAIBA MAIS

Para saber mais sobre este assunto, consulte a Política de Segurança de Informação da empresa.

Synonym(s)

Abbreviation(s)

Label(s)

Nível de Sensibilidade Created Jan 26, 2024 (14:58) by Marcelo | Founder , last modified Feb 15, 2024 (14:13) by Marcelo | Founder | In glossary Glossary | In space Home

Definition

Associado a Documentos e Tipos de Documentos, o nível de sensibilidade indica aspectos relacionados ao conteúdo e à legislação associada a eles.

Por exemplo, seja um documento do tipo Extrato Bancário. Este tipo documento possui uma sensibilidade financeira, pois notadamente é um documento que envolve valores monetários. E, se tratando de um documento financeiro, existem legislações no nosso país que dizem que ele deve ser armazenado por um certo período de tempo, como cinco anos, pelo menos.

Outro exemplo , seja um documento do tipo Carta-Oferta ou Currículo Pessoal, estes documentos são notadamente associados à Lei Geral de Proteção de Dados (LGPD) brasileira, pois contém coisas como nome pessoal, telefone pessoal, endereço e outros dados sensíveis à esta legislação.

Com este pano de fundo e exemplos, os níveis de sensibilidade do sistema são:

LGPD: Contém informação sensível à Lei Geral de Proteção de Dados brasileira. Dados como nome pessoal, telefone pessoal, email pessoal, endereço pessoal, naturalidade, RG, CPF, CNH ou outros documentos de identificação pessoal, dados relativos à doenças, alergias, saúde, familiares, etc. Documentos com essas informações se encaixam aqui. Para saber mais, acesse a legislação online.
FINANCEIRO: Contém informação sensível à legislação financeira, ou tributária, ou contábil ou outras que envolvem aspectos monetários, de dinheiro. Documentos deste tipo possuem, por exemplo regras de armazenamento específicas, como de prazo (ex. 5 anos) ou fisicalidade (ex. armazenar o original) ou outras. De certo, Contratos também se encaixam neste caso, pois envolvem sempre compromissos que são traduzidos em cláusulas financeiras de alguma forma. De forma geral, documentos financeiros são simples de entender: São aqueles que contém alguma informação monetária dentro.
RH: Existem informações de cunho humano, que não são exatamente dados relacionados à LGPD, mas possuem dados de pessoas dentro da empresa, como cargo, telefone corporativo, email corporativo, função, skills, feedbacks, histórico funcional da pessoa, salários, premiações, etc.
GERAL: O documento não contém nada relacionado aos itens anteriores, tendo conteúdo genérico, diverso, qualquer que não se encaixa em nenhum dos outros cenários anteriores.

Muitas vezes, os documentos possuem mais de um marcador ao mesmo tempo, como LGPD + RH.

Por fim, existindo dúvida em marcar ou não uma das opções de sensibilidade, marque-as, pois é preferível errar pelo excesso de zelo do que arcar com consequências negativas posteriores.