GoodPriv@cy
Regulamento dos Requisitos
do Selo de Proteção de Dados
Publicação:
Origem:
Sumário:
Versão 3.0 Janeiro de 2007
Este documento é equivalente ao GoodPriv@cy Regulations relating to
requirements of the Data Protection Label version 3.0 January 2007
(IQNet agreement annex 2)
Requisitos para o sistema de gestão de proteção de dados, incluindo os
requisitos legais para proteção de dados e requisitos para segurança da
informação.
Copyright © 2007, FCAV
Fundação Vanzolini, por autorização da GoodPriv@cy. Todos os direitos
reservados. Copiar, no todo ou em partes, é apenas permitido com o consentimento escrito da FCAV.
1
CONTEÚDO
1.
CAPÍTULO: INTRODUÇÃO ............................................................................ 4
1.1
Generalidades..................................................................................................... 4
1.2
Referências Normativas ..................................................................................... 4
1.3
Termos e Definições .......................................................................................... 4
2.
CAPÍTULO: REQUISITOS DO SISTEMA DE GESTÃO DE PROTEÇÃO
DE DADOS........................................................................................................... 6
2.1
Política ............................................................................................................... 6
2.2
Organização e Responsabilidades...................................................................... 6
2.3
Planejamento...................................................................................................... 6
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.4
Identificação dos Itens Relevantes para Proteção de Dados.............................. 6
Classificação dos Itens Relevantes para Proteção de Dados ............................. 7
Determinação dos Requisitos Legais e dos Demais Requisitos ........................ 7
Avaliação dos Itens Relevantes para Proteção de Dados................................... 7
Objetivos e Ações de Proteção de Dados .......................................................... 7
Conscientização e Competência dos Empregados............................................. 8
2.5
Comunicação ..................................................................................................... 8
2.6
Documentação do Sistema de Gestão de Proteção de Dados ............................ 9
2.7
Controle de Documentos e de Registros............................................................ 9
2.8
Controle de Processos ...................................................................................... 10
2.9
Prontidão e Preparação para Emergências....................................................... 10
2.10
Monitoramento e Medição............................................................................... 11
2.11
Não-conformidades, Ações Corretivas e Ações Preventivas........................... 11
2.12
Auditorias do Sistema de Gestão de Proteção de Dados ................................. 11
2.13
Avaliação pela Alta Direção (Análise Crítica pela Direção) ........................... 11
3.
CAPÍTULO: REQUISITOS DA LEGISLAÇÃO PARA PROTEÇÃO DE
DADOS ............................................................................................................... 12
3.1
Prioridade Atribuída aos Requisitos Legais e aos Demais Requisitos ............ 12
3.2
Princípios Básicos Relacionados à Permissão de Processamento de Dados
Pessoais ............................................................................................................ 12
3.2.1
3.2.2
Generalidades................................................................................................... 12
Processamento de Categorias Especiais de Dados Pessoais ............................ 12
2
3.3
Requisitos para o Manuseio de Dados Pessoais .............................................. 12
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
Boa -fé.............................................................................................................. 12
Legalidade do Processamento de Dados.......................................................... 12
Propósitos Específicos ..................................................................................... 13
Adequação ....................................................................................................... 13
Exatidão e Atualização de Dados .................................................................... 13
Limitação de Armazenagem e Uso .................................................................. 13
Transmissão de Dados Pessoais ao Exterior.................................................... 13
Processamento de Pedidos ............................................................................... 13
Segurança de Dados......................................................................................... 13
4.
CAPÍTULO: REQUISITOS PARA SEGURANÇA DA INFORMAÇÃO .. 14
4.1
Princípio Básico ............................................................................................... 14
4.2
Áreas e Ações de Segurança ............................................................................ 14
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
4.2.8
4.2.9
Controles de Admissão .................................................................................... 14
Controles de Acesso......................................................................................... 14
Controles de Acesso do Usuário ...................................................................... 14
Controle de Dados durante a Transmissão ...................................................... 14
Controles de Entrada........................................................................................ 15
Controles de Pedidos ....................................................................................... 15
Controles de Disponibilidade........................................................................... 15
Controles de Separação.................................................................................... 15
Outros Controles .............................................................................................. 15
3
1. CAPÍTULO: INTRODUÇÃO
1.1
Generalidades
O Selo GoodPriv@cy é uma marca registrada da IQNet. Esta lista de requisitos
estabelece as exigências obrigatórias que devem ser cumpridas para a concessão e o
uso deste selo.
1.2
Referências Normativas
Este Regulamento baseia-se em particular nos seguintes padrões e requisitos normativos
legais:
a.
Sistema de Gestão de Proteção de Dados
Requisitos de sistema de gestão alinhados aos princípios básicos das normas
internacionais ISO 9001 e ISO 14001 (no Brasil, ABNT ISO 9001:2000 e ABNT ISO
14001:1996).
b.
Proteção de Dados
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, datada de 24 de outubro de
1995, relativa à proteção das pessoas naturais no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados.
c.
Segurança da Informação
Requisitos derivados do código de prática para a gestão da segurança da informação
ISO/IEC 17799 (no Brasil, ABNT NBR ISO/IEC 17799:2001).
1.3
Termos e Definições
Para os efeitos deste Regulamento, aplicam-se as seguintes definições:
a.
Registros
Registros são evidências documentais de que os requisitos estão sendo atendidos (e.g.,
relatório de teste).
b.
Edição
Qualquer tipo de manuseio de dados pessoais tais como em particular pesquisa,
armazenamento, utilização, adaptação, divulgação, arquivamento e destruição,
independentemente dos métodos de edição usados nesse contexto.
c.
Categoria Especial de Dados Pessoais
Dados pessoais que são definidos em lei como particularmente confidenciais, tais
como em particular detalhes sobre origem étnica ou racial, opiniões políticas,
convicções religiosas ou filosóficas, filiação em sindicato trabalhista, saúde, hábitos
sexuais, bem como informações sobre sentenças criminais e penas.
d.
Receptores dos Dados
Pessoas ou setores que recebem dados pessoais.
e.
Item Relevante para Proteção de Dados
Processo ou serviço que acarreta o processamento de dados pessoais.
f.
Documentos
Documentos de natureza instrutiva (descrições de processos, instruções de trabalho,
listas de verificação etc.).
4
g.
Requisitos Aplicáveis
Normas legais e demais regulamentos que legalmente vinculam a organização (e.g.,
estatutos e contratos) e que devem ser cumpridos quando do processamento de dados
pessoais.
h.
Emergências
Eventos especiais com conseqüências danosas significativas que requerem a
disponibilidade de ações de preparação e prontidão para lidar rapidamente com a
situação.
i.
Item de Importância Especial
Item relevante para a proteção de dados com respeito ao qual a garantia de proteção de
dados e de segurança da informação é de importância vital ou estratégica para a
organização.
j.
Dado Pessoal
Informação sobre pessoas que são ou podem ser identificadas (= informação
concernente a pessoas).
k.
Análise de Riscos
Identificação de ameaças e avaliação de riscos (perda potencial e probabilidade de
ocorrência).
5
2. CAPÍTULO: REQUISITOS DO SISTEMA DE GESTÃO DE PROTEÇÃO DE
DADOS
2.1
Política
A alta direção da organização deve definir a política e assegurar que ela:
a.
é apropriada, com respeito ao escopo e ao tipo dos seus processos de negócios,
serviços e produtos, para garantir a implementação da proteção de dados e da
segurança das informações da organização;
b.
reflete os conceitos de valores da organização com relação à proteção e à
segurança de dados;
c.
contém um compromisso em manter a proteção de dados e em cumprir as
regras de conduta que a organização voluntariamente concordou aderir;
d.
contém um compromisso com a melhoria contínua da eficácia do sistema de
gestão de proteção de dados;
e.
contém uma declaração da alta direção da sua intenção em apoiar os objetivos
desta política;
f.
é documentada, implementada, mantida e levada ao conhecimento de todos os
empregados;
g.
é acessível ao público em geral.
2.2
Organização e Responsabilidades
1. Tarefas, responsabilidades e autoridades devem ser definidas, documentadas e
notificadas.
2. Devem ser fornecidos pela organização os recursos organizacionais, técnicos,
financeiros e humanos e as habilidades requeridos para a instalação e para a operação
do sistema de gestão de proteção de dados.
3. A alta direção da organização deve nomear um ou mais representantes e, tendo em
conta os regulamentos legais pertinentes, a direção deve atribuir a essas pessoas suas
tarefas, definir suas responsabilidades e delegar-lhes autoridade, a fim de:
a.
assegurar que os requisitos deste Regulamento sejam estabelecidos,
implementados e mantidos;
b.
submeter à alta direção relatórios sobre a eficácia do sistema de gestão de
proteção de dados, para sua avaliação e para prover uma base para sua
melhoria.
2.3
Planejamento
2.3.1
Identificação dos Itens Relevantes para Proteção de Dados
1. A organização deve identificar todos os itens relevantes para proteção de dados.
2. Deve ser elaborada uma descrição de todos os itens relevantes para proteção de
dados. Essa descrição deve conter as seguintes informações:
a.
os nomes dos itens;
b.
seus propósitos;
c.
uma descrição simples dos materiais e métodos usados no processamento;
d.
o grupo de pessoas envolvidas e seu número aproximado;
6
e.
f.
g.
2.3.2
as categorias dos dados pessoais;
as categorias dos setores que são autorizados a acessar e a modificar dados;
as categorias dos receptores de dados.
Classificação dos Itens Relevantes para Proteção de Dados
A organização deve classificar os itens relevantes para a proteção de dados de acordo
com a sua importância e identificar os itens de importância especial, levando em conta
os seguintes aspectos em particular:
a.
valor dos materiais de TI (tecnologia da informação) e capacidade para
substituí-los;
b.
duração dos períodos de parada crítica de funcionamento dos sistemas de
informação;
c.
regulamentos legais e contratuais relacionados à confidencialidade;
d.
processamento de dados pessoais categorizados em lei como sendo
especialmente confidenciais, bem como as possíveis conseqüências para as
pessoas envolvidas do uso incorreto dos dados pessoais;
e.
normas legais ou contratuais sobre arquivamento.
2.3.3
Determinação dos Requisitos Legais e dos Demais Requisitos
1. A organização deve determinar, documentar e fornecer acesso aos requisitos legais
e aos demais requisitos aplicáveis para a avaliação dos itens relevantes para proteção
de dados, em particular:
a.
as normas estabelecidas em leis nacionais e internacionais, incluindo em
particular as normas setoriais especiais;
b.
regras de conduta às quais a organização tenha concordado voluntariamente
aderir (contratos, regras de associações comerciais, bem como de organizações
profissionais e técnicas etc.).
2. A organização deve estabelecer e manter um procedimento para verificar
anualmente que os requisitos aplicáveis estão atualizados e para assegurar uma
contínua verificação dos requisitos legais e dos demais requisitos.
2.3.4
Avaliação dos Itens Relevantes para Proteção de Dados
1. A organização deve avaliar todos os itens relevantes para proteção de dados com
respeito a sua conformidade com os requisitos legais e com os demais requisitos
aplicáveis. A contínua aderência a esses requisitos deve ser periodicamente avaliada.
2. A organização deve conduzir uma análise de riscos para os itens de importância
especial, de forma a identificar e avaliar os principais riscos potenciais. A organização
deve revisar periodicamente a análise de riscos para determinar se ela permanece
atualizada ou se são necessários ajustes.
2.3.5
Objetivos e Ações de Proteção de Dados
1. A organização, baseada na descrição e na avaliação dos itens relevantes para
proteção de dados, deve formular os objetivos, bem como deve implementar as ações
de proteção de dados para garantir a segurança da informação.
2. A organização deve estabelecer e manter um procedimento para implementar ações
de proteção de dados e de segurança da informação, para a consecução de seus
objetivos. Esse procedimento deve incluir:
7
a.
b.
c.
2.4
a definição da responsabilidade pela consecução dos objetivos em cada função
e cada nível relevante da organização;
os recursos e os prazos para seu atingimento;
as medições apropriadas para monitorar e assegurar a eficácia das ações.
Conscientização e Competência dos Empregados
1. No processo de contratação de pessoal, a proteção de dados e a segurança da
informação devem ser abordadas de forma apropriada às atribuições dos empregados
em questão, e as obrigações devem ser incorporadas aos contratos de trabalho e devem
ser revisadas e atualizadas apropriadamente durante a vigência dos contratos.
2. Os empregados devem ser conscientizados da importância da conformidade à
política de proteção de dados e de segurança da informação e aos procedimentos
associados do sistema de gestão de proteção de dados. As tarefas, as responsabilidades
e as autoridades para alcançar a conformidade devem ser comunicadas
apropriadamente, e treinamento sobre isso deve ser fornecido.
3. Empregado com responsabilidade ampliada pela proteção de dados e pela segurança
da informação ou com privilégios de usuário especial devem ser capazes de
demonstrar competência específica nas áreas de proteção de dados, mediante
correspondente treinamento ou experiência. Além disso, sua fidedignidade deve ser
verificada antes de sua nomeação e durante todo o seu período de permanência na
organização.
4. Devem ser conduzidas verificações para garantir que o pessoal é mantido informado
e atualizado sobre as mudanças e atualizações na área de proteção de dados e de
segurança da informação.
5. Violações dos procedimentos estipulados devem ser sujeitas a sanções apropriadas.
6. As normas dos parágrafos 1° a 5° também se aplicam aos empregados temporários e
às pessoas de outras organizações que são capazes de acessar dados pessoais.
2.5
Comunicação
A organização deve estabelecer e manter procedimentos referentes à proteção de
dados e à segurança da informação de forma a:
a.
garantir a comunicação interna entre os vários níveis e funções da organização;
b.
cumprir com as obrigações legais ou contratuais das pessoas envolvidas, com
respeito a informação;
c.
habilitar as pessoas relacionadas aos dados pessoais a serem providas de
informação ou a visualizarem seus dados, de acordo com os requisitos legais;
d.
assegurar que sejam rapidamente resolvidas as outras solicitações das pessoas
relacionadas aos dados pessoais para garantir direitos legais ou contratuais;
e.
assegurar que sejam cumpridas as obrigações legais relativas a registro e
notificação;
f.
assegurar que sejam produzidos os documentos e os relatórios do sistema de
gestão de dados legalmente estipulados;
g.
assegurar que sejam cumpridas as obrigações legais para fornecer assistência
na obtenção de esclarecimentos através de entidades reguladoras de proteção
de dados;
h.
organizar o recebimento, a documentação e a resposta a correspondências
relevantes provenientes de grupos externos interessados;
8
i.
2.6
assegurar que os serviços nas áreas de proteção de dados e de segurança da
informação sejam divulgados e comunicados a grupos externos interessados.
Documentação do Sistema de Gestão de Proteção de Dados
1. A organização deve descrever seu sistema de gestão de proteção de dados. A
descrição deve:
a.
definir a área de validade e as fronteiras do sistema de gestão de proteção de
dados;
b.
incluir os elementos-chave apresentados no item em acordo com o parágrafo
2°, a seguir;
c.
mostrar a interação entre estes elementos;
d.
apontar os documentos associados a estes elementos.
2. Os elementos-chave incluem:
a.
a política;
b.
a definição de tarefas, responsabilidades e autoridades;
c.
os procedimentos para averiguar e avaliar os requisitos legais e os demais
requisitos;
d.
os objetivos e o processamento das ações de proteção de dados e de segurança
da informação;
e.
a liderança e a avaliação do sistema de gestão de proteção de dados pela alta
direção;
f.
o desenvolvimento da conscientização e o treinamento;
g.
o monitoramento das atividades relevantes para a proteção de dados e para a
segurança da informação;
h.
o procedimento para lidar com desvios e emergências e o conhecimento obtido
com esses, com relação a melhorias;
i.
comunicação interna e externa;
j
atualização de documentos e registros;
k
o procedimento para conduzir auditorias internas.
2.7
Controle de Documentos e de Registros
1. A organização deve estabelecer e manter procedimentos para o controle de todos os
documentos requeridos neste Regulamento, a fim de assegurar que:
a.
esses sejam legíveis, datados, facilmente identificáveis, guardados em ordem
apropriada e mantidos por um período de tempo predefinido;
b.
as versões atuais dos documentos relevantes estejam disponíveis em todos os
locais onde são realizados procedimentos relevantes para o efetivo
funcionamento do sistema de gestão de proteção de dados;
c.
esses sejam regularmente avaliados por pessoal autorizado, revisados se
necessário e sua adequação seja verificada;
d.
documentos inválidos sejam imediatamente removidos de todos os locais para
evitar seu uso não intencional;
e.
documentos inválidos que forem mantidos por razões legais ou para resguardar
o nível de conhecimento sejam identificados de forma apropriada.
2. A organização deve estabelecer e manter procedimentos para identificação,
atualização e remoção de registros relevantes para a proteção de dados e para a
segurança da informação e assegurar que:
9
a.
b.
os registros relevantes sejam definidos;
registros de treinamento, auditorias, atividades de monitoramento e avaliações,
bem como de mudanças no sistema de gestão de proteção de dados sejam
componentes integrantes dos registros;
c.
os registros sejam legíveis, identificáveis e possam ser associados de maneira
confiável aos itens correspondentes;
d.
os registros sejam armazenados de forma a prevenir perdas, danos e
deterioração;
e.
os períodos de manutenção sejam definidos e documentados.
3. Os registros devem fornecer informações sobre:
a.
o progresso dos programas de proteção de dados e de segurança da informação
em andamento e o nível de realização dos seus objetivos;
b.
a situação de conformidade com os requisitos legais e com os demais
requisitos;
c.
as ações realizadas de treinamento e de desenvolvimento da conscientização;
d.
a eficácia do sistema de gestão de proteção de dados e a aderência aos
requisitos, no negócio em andamento;
e.
as situações potenciais de emergência e as ações para amenizar e limitar suas
conseqüências;
f.
a habilidade da organização para identificar desvios e oportunidades de
melhoria e para implementar ações de melhoria;
g.
a avaliação do sistema de gestão de proteção de dados pela alta direção e
decisões gerenciais em andamento relevantes para a proteção de dados e para a
segurança da informação.
2.8
Controle de Processos
Os itens relevantes para a proteção de dados devem ser processados sob condições
predeterminadas. Com esse propósito:
a.
os itens relevantes para a proteção de dados devem ser identificados e devem
ser estabelecidos objetivos apropriados para o propósito de controle do
processo operacional. Nesse contexto, atenção especial deve ser dedicada
àquelas situações nas quais a ausência de procedimentos documentados pode
conduzir a falhas em atender à política de proteção de dados e de segurança da
informação, bem como em atingir os objetivos correspondentes;
b.
Na medida em que os procedimentos forem relevantes para terceiras partes
(fornecedores, contratados etc.), os procedimentos devem ser divulgados e a
aderência aos mesmos deve ser assegurada, se necessário, em bases
contratuais.
2.9
Prontidão e Preparação para Emergências
1. Com base na análise de riscos, a organização deve estabelecer e manter
procedimentos que a habilitem a responder de forma apropriada a situações de
emergência.
2. Ações de preparação e prontidão para emergências devem ser regularmente
revisadas e adaptadas se necessário.
10
2.10
Monitoramento e Medição
1. A organização deve estabelecer e manter procedimentos documentados para o
monitoramento regular e eficaz da aderência da proteção de dados e da garantia da
segurança da informação para todos os itens relevantes para proteção de dados.
2. Os resultados do monitoramento devem ser documentados e mantidos de forma que
a implementação da proteção de dados e da segurança da informação possa ser
regularmente avaliada pela direção com base nesses registros.
2.11
Não-conformidades, Ações Corretivas e Ações Preventivas
A organização deve estabelecer e manter procedimentos para investigar e lidar com
desvios. Esses procedimentos devem assegurar que:
a.
não-conformidades sejam registradas;
b.
a origem das não-conformidades seja analisada e suas causas investigadas;
c.
ações corretivas e ações preventivas apropriadas sejam tomadas para evitar
reincidências e potenciais desvios.
2.12
Auditorias do Sistema de Gestão de Proteção de Dados
1. A organização deve estabelecer e manter procedimentos para a auditoria regular do
sistema de gestão de proteção de dados, a fim de:
a.
averiguar se os requisitos planejados do sistema de gestão de proteção de
dados, incluindo os requisitos deste Regulamento, estão funcionando
adequadamente e são eficazes;
b.
prover a direção da organização de informações sobre os resultados da
auditoria e sobre a extensão do seu escopo.
2. Deve ser elaborado um programa para a auditoria, que deve:
a.
fazer referência aos produtos, serviços e atividades relevantes e fornecer
evidência apropriada da eficácia dos mesmos;
b.
levar em conta os resultados das auditorias anteriores;
c.
estabelecer as responsabilidades e os requisitos para conduzir e relatar a
auditoria;
d.
garantir o método de abordagem e o conhecimento técnico apropriado da
equipe de auditoria.
2.13
Avaliação pela Alta Direção (Análise Crítica pela Direção)
1. A alta direção da organização deve avaliar periodicamente o sistema de gestão de
proteção de dados a fim de assegurar contínua adequação, pertinência e eficácia. Essa
avaliação deve ser precedida pela obtenção da necessária informação. O procedimento
de avaliação deve ser definido e a avaliação em si deve ser documentada.
2. A avaliação conduzida pela alta direção da organização deve tratar de quaisquer
mudanças necessárias na política de proteção de dados, nos objetivos derivados dessa
política, além dos demais elementos do sistema de gestão de proteção de dados, com
base nas auditorias, nas demais atividades de monitoramento, nas circunstâncias
sujeitas a mudanças, bem como no compromisso de melhoria contínua.
11
3. CAPÍTULO: REQUISITOS DA LEGISLAÇÃO PARA PROTEÇÃO DE DADOS
3.1
Prioridade Atribuída aos Requisitos Legais e aos Demais Requisitos
1. Os requisitos legais e os demais requisitos que não estejam de acordo com os
requisitos de proteção de dados estabelecidos a seguir e que sejam exigências legais
obrigatórias para a organização têm prioridade.
2. Os desvios devem ser indicados para cada item relevante para proteção de dados,
como parte da documentação obrigatória, de acordo com o item n.° 2.3.3
(Determinação dos Requisitos Legais e dos Demais Requisitos).
3.2
Princípios Básicos Relacionados à Permissão de Processamento de Dados
Pessoais
3.2.1
Generalidades
O processamento de dados pessoais requer que:
a.
o incontestável consentimento da pessoa relacionada aos dados pessoais tenha
sido obtido, ou
b.
a execução de uma relação contratual ou pré-contratual com a pessoa
relacionada aos dados pessoais exija que estes dados sejam processados, ou
c.
uma obrigação legal se aplique e seu cumprimento exige o processamento de
dados pessoais, ou
d.
o processamento de dados pessoais seja necessário para salvaguardar o
interesse vital da pessoa relacionada aos dados pessoais, ou
e.
o cumprimento de prestações públicas ou o exercício de ofício público exija o
processamento de dados pessoais, ou
f.
haja um interesse justificado e irresistível da parte de quem processa os dados
ou de terceiros, acima dos interesses da pessoa relacionada aos dados pessoais.
3.2.2
Processamento de Categorias Especiais de Dados Pessoais
O processamento de dados pessoais entendidos pela legislação de proteção de dados
como particularmente confidenciais, requer:
a.
o consentimento expresso das pessoas relacionadas aos dados pessoais, ou
b.
regulamento especial que autorize o processamento de categorias especiais de
dados pessoais.
3.3
Requisitos para o Manuseio de Dados Pessoais
3.3.1
Boa -fé
A organização é obrigada a aderir ao princípio da boa-fé quando processar dados
pessoais.
3.3.2
Legalidade do Processamento de Dados
A organização deve assegurar que os dados pessoais sejam processados usando apenas
métodos legais.
12
3.3.3
Propósitos Específicos
A organização deve assegurar que os dados pessoais sejam colecionados somente para
propósitos claramente definidos e legítimos e que não haja processamento
superveniente de forma incompatível com aqueles propósitos definidos.
3.3.4
Adequação
A organização deve assegurar que os dados pessoais processados sejam relevantes e
apropriados para que se atinja o propósito do processamento e que o processamento
não se estenda além dos propósitos especificados do processamento.
3.3.5
Exatidão e Atualização de Dados
1. A organização deve assegurar que os dados pessoais estejam de fato corretos e,
quando necessário, atualizados.
2. Ações apropriadas devem ser tomadas para assegurar que dados pessoais que não
estejam atualizados ou completos sejam eliminados ou corrigidos.
3.3.6
Limitação de Armazenagem e Uso
A organização deve assegurar que dados pessoais não sejam mantidos de forma que as
pessoas relacionadas aos dados pessoais possam ser identificadas além dos limites do
que for exigido pelo propósito para que os dados foram colecionados.
3.3.7
Transmissão de Dados Pessoais ao Exterior
1. Se dados pessoais forem enviados ao exterior, a organização deve verificar com
base em critérios legais se um nível apropriado de proteção é garantido no país de
destino.
2. Se não existir legislação correspondente sobre proteção de dados, a organização
deve assegurar que proteção de dados equivalente seja aplicada, mediante conclusão
de acordos contratuais com o receptor dos dados pessoais.
3.3.8
Processamento de Pedidos
1. A organização responsável pela emissão de pedidos deve cuidar de selecionar e
instruir os fornecedores e checar para assegurar que seja garantida a conformidade
com os regulamentos da legislação de proteção de dados aplicáveis à própria
organização.
2. Requisitos legais e contratuais, em particular obrigações de confidencialidade,
devem ser cumpridos.
3. Os requisitos para assegurar a proteção de dados e para garantir a segurança da
informação durante o processamento dos pedidos devem ser acordados em bases
contratuais e devem ser documentados para o propósito de assegurar provas.
3.3.9
Segurança de Dados
O capítulo 4° a seguir (Requisitos para Segurança da Informação) aplica-se à
segurança de dados.
13
4. CAPÍTULO: REQUISITOS PARA SEGURANÇA DA INFORMAÇÃO
4.1
Princípio Básico
Organizações que processam dados pessoais devem tomar todas as ações técnicas e
organizacionais apropriadas para garantir a segurança da informação associada aos
requisitos de proteção de dados pessoais. Nesse contexto, deve-se levar em conta o
tipo de processamento, bem como a classificação dos itens relevantes para proteção de
dados, em acordo com o item n.° 2.3.2 deste Regulamento, acima.
4.2
Áreas e Ações de Segurança
4.2.1
Controles de Admissão
As seguintes ações em particular devem ser providenciadas para prevenir a admissão
de pessoas não autorizadas aos locais em que são processados dados pessoais:
a.
definição das zonas de segurança e áreas de circulação;
b.
implementação das ações estruturais, técnicas e organizacionais necessárias;
c.
regras obrigatórias e transparência dos direitos de acesso;
d.
controle de entrada e permanência das pessoas nas zonas de segurança.
4.2.2
Controles de Acesso
Para prevenir que pessoas não autorizadas sejam capazes de acessar o sistema de
processamento de dados e invadam os recursos de comunicação, as seguintes ações
devem ser tomadas:
a.
salvaguardar as interfaces entre as zonas (por exemplo, Intranet, Extranet e
Internet) contra o acesso não autorizado mediante uso de mecanismos de
proteção apropriados;
b.
edição controlada e documentada e monitoramento dos direitos do usuário;
c.
alocação dos IDs dos usuários e mecanismos de identificação mediante
processos formais;
d.
instalação de um login formal e procedimento de bloqueio para acesso aos
sistemas e serviços de informação;
e.
definição, comunicação e implementação de práticas de segurança apropriadas
na seleção e uso de mecanismos de identificação (e.g., senhas de acesso).
4.2.3
Controles de Acesso do Usuário
De forma a garantir que os usuários possam processar dados pessoais somente dentro
dos limites de suas autorizações, as seguintes ações em particular devem ser
executadas:
a.
edição regulamentada e controlada e monitoramento dos direitos do usuário no
nível de aplicação;
b.
monitoramento da edição e do uso dos privilégios do sistema.
4.2.4
Controle de Dados durante a Transmissão
Para garantir que os dados pessoais não possam ser lidos, copiados, modificados ou
removidos por pessoas não autorizadas durante a transmissão eletrônica ou transporte
dos dados, as seguintes ações em particular devem ser providenciadas:
14
a.
b.
c.
4.2.5
monitoramento das interfaces através das quais os dados são transmitidos;
implementação de ações planejadas para salvaguardar a integridade e a
confidencialidade nas redes;
proteção das unidades de armazenagem e transporte de dados contra acesso
não autorizado, mau uso e corrupção durante o transporte;
Controles de Entrada
De forma a identificar posteriormente quando e por quem os dados foram inseridos,
modificados ou eliminados, nos sistemas de processamento de dados, as seguintes
ações devem ser tomadas:
a.
registro histórico das entradas dos usuários, apropriado para propósitos de
auditoria;
b.
análise dos registros históricos com respeito a desvios relevantes à proteção de
dados.
4.2.6
Controles de Pedidos
Para garantir que dados pessoais processados por pedidos possam ser processados
somente de acordo com as instruções do cliente, as seguintes ações devem ser
implementadas:
a.
garantia contratual do fornecedor em aplicar ações equivalentes para a
segurança da informação;
b.
monitoramento efetivo da aderência do fornecedor à segurança da informação
contratualmente acordada.
4.2.7
Controles de Disponibilidade
Para garantir que dados pessoais sejam protegidos contra destruição acidental ou
intencional, as seguintes ações em particular devem ser tomadas:
a.
garantia da disponibilidade apropriada da infra-estrutura técnica e estrutural;
b.
implementação das ações planejadas para identificar e prevenir influências de
falhas de software, além de garantir um sistema de alarme e intervenção
mediante a aplicação de mecanismos de reação apropriados e, tanto quanto
possível, automatizados;
c.
garantia de reserva e de recuperação de programas e de dados;
d.
asseguração e monitoramento da adequada capacidade de memória para dados
e para registros históricos.
4.2.8
Controles de Separação
De forma a garantir que os dados colecionados para distintas finalidades sejam
armazenados separadamente, as seguintes ações em particular devem ser tomadas:
a.
implementação organizacional e técnica do processamento requerido de
separação de dados, com base nos propósitos específicos destes (ver item n.°
3.3.3, acima).
4.2.9
Outros Controles
De forma a garantir a segurança da informação, as seguintes ações adicionais devem
ser tomadas:
15
a.
b.
c.
d.
e.
avaliação, na fase de projeto, da segurança da informação requerida para a
proteção de dados;
implementação de conceitos de teste em múltiplos níveis, com cenários de
teste e critérios de aceitação para todos os tipos de inovação e de modificação
dos sistemas de processamento de dados;
exame e documentação de interferências potenciais com outros sistemas de
processamento, para determinar a conformidade com a proteção de dados
durante a integração dos novos sistemas de informação ou parte deles; essa
ação deve ser periodicamente revisada para determinar sua conformidade;
conclusão de acordos com organizações de manutenção, para assegurar a
confidencialidade dos dados pessoais;
edição de instruções, particularmente para os seguintes tópicos: ações de
segurança no ambiente de trabalho, utilização de Internet, e-mails, transmissão
por telefone e fax, computadores portáteis e descarte de unidades de
armazenagem e transporte de dados.
16