Política de violação de dados

Introdução

Esta política e plano visam ajudar a Water2buy a gerenciar as violações de dados pessoais de forma eficaz. Water2buy mantém Dados Pessoais sobre nossos usuários, funcionários, clientes, fornecedores e outros indivíduos para uma variedade de fins comerciais.

A Water2buy está comprometida não apenas com a letra da lei, mas também com o espírito da lei e valoriza muito o tratamento correto, legal e justo de todos os Dados Pessoais, respeitando os direitos legais, privacidade e confiança de todos indivíduos com quem lida.

Uma violação de dados geralmente se refere ao acesso não autorizado e recuperação de informações que podem incluir dados corporativos e/ou pessoais. As violações de dados são geralmente reconhecidas como uma das falhas de segurança mais caras das organizações. Eles podem levar a perdas financeiras e fazer com que os consumidores percam a confiança na Water2buy ou em nossos clientes.

Os regulamentos nas várias jurisdições em que a Water2buy opera exigem que a Water2buy tome medidas de segurança razoáveis ​​para proteger os dados pessoais que possuímos ou controlamos, para evitar acesso, coleta, uso, divulgação ou riscos semelhantes não autorizados.

 

Escopo

Esta política se aplica a todos os funcionários. Você deve estar familiarizado com esta política e cumprir seus termos. Esta política complementa nossas outras políticas relacionadas ao uso da Internet e do e-mail. Podemos complementar ou alterar esta política por meio de políticas e diretrizes adicionais de tempos em tempos. Qualquer política nova ou modificada será distribuída aos funcionários antes de ser adotada.

Treinamento

Todos os funcionários receberão treinamento sobre esta política. Os novos funcionários receberão treinamento como parte do processo de integração. Treinamento adicional será fornecido pelo menos a cada ano ou sempre que houver uma mudança substancial na lei ou em nossa política e procedimento.

O treinamento é fornecido por meio de um seminário interno e treinamento on-line anualmente, e cobre as leis aplicáveis ​​relacionadas à proteção de dados e proteção de dados da Water2buy e políticas e procedimentos relacionados.

A conclusão do treinamento é obrigatória.

 

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS DA UE (UE) 2016/679 (GDPR)

 

O regulamento também se aplica a organizações sediadas fora da União Europeia se elas coletarem ou processarem dados pessoais de residentes na UE.

 

De acordo com a Comissão Europeia, Dados Pessoais são: “qualquer informação relativa a um indivíduo, quer se refira à sua vida privada, profissional ou pública. Pode ser qualquer coisa, desde um nome, um endereço residencial, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas ou o endereço IP de um computador. ”

 

Dados Pessoais

Water2buy define Dados Pessoais como a mais ampla das definições contidas no GDPR.

Water2buy define Dados Pessoais Sensíveis como a mais ampla das definições contidas no GDPR.

Qualquer uso de dados pessoais sensíveis deve ser estritamente controlado de acordo com esta política.

Embora alguns dados sempre se relacionem a um indivíduo, outros dados podem, por si só, não se relacionar a um indivíduo. Esses dados não constituiriam Dados Pessoais, a menos que sejam associados ou relacionados a um indivíduo em particular.

Informações genéricas que não se relacionam a um indivíduo específico também podem fazer parte dos Dados Pessoais de um indivíduo quando combinadas com Dados Pessoais ou outras informações para permitir que um indivíduo seja identificado.

 

Dados agregados não são dados pessoais.

A Water2buy recolhe Dados Pessoais para duas finalidades, para identificar e proteger os dados que nos são fornecidos pelos nossos clientes, e para operações internas.

Dados pessoais para coaching de saúde referem-se a usuários individuais identificáveis ​​e podem incluir:

  • Informações do perfil do usuário, como nome completo, endereço, número de telefone celular e endereço de e-mail pessoal;
  • Mensagens entre usuários e nosso serviço de atendimento ao cliente.

Os dados pessoais que coletamos para fins operacionais internos referem-se a indivíduos identificáveis, como candidatos a emprego, funcionários atuais e antigos, funcionários contratados e outros, clientes, fornecedores e contatos de marketing, e os dados coletados podem incluir detalhes de contato de indivíduos, informações educacionais histórico, detalhes financeiros e de pagamento, detalhes de certificados e diplomas, educação e habilidades, estado civil, nacionalidade, cargo e currículo.

 

Causas

As violações de dados podem ser causadas por funcionários, partes externas à organização ou erros do sistema de computador.

 

Erro humano
As causas do erro humano incluem:

  • Perda de dispositivos de computação (portáteis ou não), dispositivos de armazenamento de dados ou registros em papel contendo dados pessoais
  • Divulgar dados para um destinatário errado
  • Tratamento de dados de forma não autorizada (por exemplo: download de uma cópia local de dados pessoais)
  • Acesso não autorizado ou divulgação de dados pessoais por funcionários (por exemplo: compartilhamento de login)
  • Eliminação inadequada de dados pessoais (por exemplo: disco rígido, mídia de armazenamento ou documentos em papel contendo dados pessoais vendidos ou descartados antes que os dados sejam excluídos adequadamente)

 

Atividades maliciosas
As causas maliciosas incluem:

  • Incidentes de hackers / acesso ilegal a bancos de dados contendo dados pessoais
  • Hacking para acessar dados não autorizados por meio do aplicativo de treinamento ou API
  • Roubo de dispositivos de computação (portáteis ou não), dispositivos de armazenamento de dados ou registros em papel contendo dados pessoais
  • Scams que induzem os funcionários da Water2buy a divulgar dados pessoais de indivíduos

 

Erro do sistema do computador
As causas do erro do sistema do computador incluem:

  • Erros ou bugs no aplicativo Water2buy, ou API
  • Falha de serviços em nuvem, computação em nuvem ou sistemas de segurança/autenticação/autorização de armazenamento em nuvem

 

Reportar Violações

Todos os membros da equipe têm a obrigação de relatar falhas de conformidade de proteção de dados reais ou potenciais. Isso nos permite:

  • Investigue a falha e tome medidas corretivas, se necessário
  • Manter um registro de falhas de compliance
  • Notifique a Autoridade Supervisora ​​sobre quaisquer falhas de conformidade que sejam relevantes por si mesmas ou como parte de um padrão de falhas

 

De acordo com o GDPR, o DPO é legalmente obrigado a notificar a Autoridade Supervisora ​​dentro de 72 horas após a violação de dados (Artigo 33). Os indivíduos devem ser notificados se o impacto adverso for determinado (Artigo 34). Além disso, a Water2buy deve notificar quaisquer clientes afetados sem demora injustificada após tomar conhecimento de uma violação de dados pessoais (Artigo 33).

 

No entanto, a Water2buy não tem de notificar os titulares dos dados se os dados anónimos forem violados. Especificamente, o aviso aos titulares dos dados não é necessário se o controlador de dados tiver implementado técnicas de pseudo-anonimização, como criptografia, juntamente com medidas técnicas e organizacionais adequadas de proteção aos dados pessoais afetados pela violação de dados (artigo 34).

 

Violação de dados

A equipe de violação de dados deve ser imediatamente alertada sobre qualquer violação de dados confirmada ou suspeita.

A notificação deve incluir as seguintes informações, quando disponíveis:

  • Extensão da violação de dados
  • Tipo e volume de dados pessoais envolvidos
  • Causa ou causa suspeita da violação
  • Se a violação foi corrigida
  • Medidas e processos que a organização implementou no momento da violação
  • Informações sobre se os indivíduos afetados pela violação de dados foram notificados e, caso não, quando a organização pretende fazê-lo
  • Detalhes de contato da equipe da Water2buy com quem a autoridade supervisora ​​pode entrar em contato para obter mais informações ou esclarecimentos

 

Caso ainda não estejam disponíveis informações específicas sobre a violação de dados, a Water2buy deve enviar uma notificação provisória com uma breve descrição do incidente.

As notificações feitas pelas organizações ou a falta de notificação, bem como se as organizações têm procedimentos de recuperação adequados, afetarão a(s) decisão(ões) das autoridades supervisoras sobre se uma organização protegeu razoavelmente os dados pessoais sob seu controle ou posse.

 

Resposta a uma violação de dados

 

PLANO DE GERENCIAMENTO DE VIOLAÇÃO DE DADOS

Ao ser notificado sobre uma violação de dados (suspeita ou confirmada), a equipe de violação de dados deve ativar imediatamente o plano de resposta e violação de dados.

O plano de gerenciamento e resposta à violação de dados da Water2buy é:

  1. Confirme a violação
  2. Conter a violação
  3. Avalie os riscos e o impacto
  4. Relatar o Incidente
  5. Avalie a resposta e a recuperação para evitar violações futuras

 

CONFIRME A VIOLAÇÃO

A equipe de violação de dados (DBT) deve agir assim que souber de uma violação de dados. Sempre que possível, deve primeiro confirmar que ocorreu a violação de dados. Pode fazer sentido para o DBT prosseguir Conter a violação com base em uma violação de dados relatada não confirmada, dependendo da probabilidade da gravidade do risco.

 

CONTÉM A VIOLAÇÃO

O DBT deve considerar as seguintes medidas para conter a violação, quando aplicável:

  • Desligue o sistema comprometido que levou à violação de dados.
  • Estabeleça se medidas podem ser tomadas para recuperar dados perdidos e limitar qualquer dano causado pela violação. (por exemplo: desabilitar/limpar remotamente um notebook perdido contendo dados pessoais de indivíduos. )
  • Evite o acesso não autorizado ao sistema.
  • Redefinir senhas se contas e/ou senhas forem comprometidas.
  • Isole as causas da violação de dados no sistema e, quando aplicável, altere os direitos de acesso ao sistema comprometido e remova as conexões externas ao sistema.

 

AVALIE OS RISCOS E O IMPACTO

Conhecer os riscos e o impacto das violações de dados ajudará a Water2buy a determinar se pode haver sérias consequências para os indivíduos afetados, bem como as etapas necessárias para notificar os indivíduos afetados.

 

Risco e impacto nos indivíduos

  • Quantas pessoas foram afetadas?
    Um número maior pode não significar um risco maior, mas avaliar isso ajuda na avaliação geral do risco.
  • Os dados pessoais de quem foram violados?
    Os dados pessoais pertencem a funcionários, clientes ou menores? Pessoas diferentes enfrentarão níveis variados de risco como resultado da perda de dados pessoais.
  • Que tipos de dados pessoais estavam envolvidos?
    Isso ajudará a determinar se há risco à reputação, roubo de identidade, segurança e/ou perda financeira dos indivíduos afetados.
  • Alguma medida adicional em vigor para minimizar o impacto de uma violação de dados? por exemplo: um dispositivo perdido protegido por uma senha ou criptografia forte pode reduzir o impacto de uma violação de dados.

 

Risco e impacto nas organizações

  • O que causou a violação de dados?
    Determinar como ocorreu a violação (através de roubo, acidente, acesso não autorizado, etc. ) ajudará a identificar medidas imediatas a serem tomadas para conter a violação e restaurar a confiança do público em um produto ou serviço.
  • Quando e com que frequência ocorreu a violação?
    Examinar isso ajudará a Water2buy a entender melhor a natureza da violação (p. g malicioso ou acidental).
  • Quem pode obter acesso aos dados pessoais comprometidos?
    Isso determinará como os dados comprometidos podem ser usados. Em particular, os indivíduos afetados devem ser notificados se os dados pessoais forem adquiridos por uma pessoa não autorizada.
  • Os dados comprometidos afetarão as transações com terceiros?
    Determinar isso ajudará a identificar se outras organizações precisam ser notificadas.

 

RELATAR O INCIDENTE

A Water2buy é legalmente obrigada a notificar os indivíduos afetados se seus dados pessoais forem violados. Isso incentivará os indivíduos a tomar medidas preventivas para reduzir o impacto da violação de dados e também ajudará a Water2buy a reconstruir a confiança do consumidor.

Quem notificar:

  • Notifique os indivíduos cujos dados pessoais foram comprometidos.
  • Notifique outros terceiros, como bancos, empresas de cartão de crédito ou a polícia, quando relevante.
  • Notifique o GDPR especialmente se uma violação de dados envolver dados pessoais confidenciais.
  • As autoridades relevantes (por exemplo: polícia) devem ser notificadas se houver suspeita de atividade criminosa e as evidências para investigação devem ser preservadas (por exemplo: hacking, roubo ou acesso não autorizado ao sistema por um funcionário. )

 

Quando notificar:

  • Notifique os indivíduos afetados imediatamente se uma violação de dados envolver dados pessoais confidenciais. Isso permite que eles tomem as ações necessárias com antecedência para evitar possíveis abusos dos dados comprometidos.
  • Notificar os indivíduos afetados quando a violação de dados for resolvida

 

Como Notificar:

  • Use as formas mais eficazes de chegar aos indivíduos afetados, levando em consideração a urgência da situação e o número de indivíduos afetados (p. g comunicados de imprensa, redes sociais, mensagens móveis, SMS, e-mails, chamadas telefónicas).
  • As notificações devem ser simples de entender, específicas e fornecer instruções claras sobre o que os indivíduos podem fazer para se proteger.

 

O que notificar:

  • Como e quando ocorreu a violação de dados e os tipos de dados pessoais envolvidos na violação de dados.
  • O que a Water2buy fez ou fará em resposta aos riscos causados ​​pela violação de dados.
  • Fatos específicos sobre a violação de dados, quando aplicável, e as ações que os indivíduos podem tomar para evitar que esses dados sejam mal utilizados ou abusados.
  • Detalhes de contato e como os indivíduos afetados podem entrar em contato com a organização para obter mais informações ou assistência (p. g números de linha de apoio, endereços de e-mail ou website).

 

AVALIE A RESPOSTA E A RECUPERAÇÃO PARA EVITAR FUTURAS VIOLAÇÕES

Após as medidas tomadas para resolver a violação de dados, a Water2buy deve analisar a causa da violação e avaliar se as medidas e processos de proteção e prevenção existentes são suficientes para evitar a ocorrência de violações semelhantes e, quando aplicável, pôr fim às práticas que levou à violação de dados.

 

Problemas operacionais e relacionados a políticas:

  • As auditorias foram conduzidas regularmente em medidas de segurança físicas e relacionadas a TI?
  • Existem processos que podem ser simplificados ou introduzidos para limitar os danos se ocorrerem violações futuras ou para prevenir uma recaída?
  • Houve pontos fracos nas medidas de segurança existentes, como o uso de software desatualizado e medidas de proteção, ou pontos fracos no uso de dispositivos portáteis de armazenamento, rede ou conectividade com a Internet?
  • Os métodos de acesso e transmissão de dados pessoais eram suficientemente seguros, por exemplo: acesso limitado apenas a pessoal autorizado?
  • Os serviços de suporte de partes externas devem ser aprimorados, como fornecedores e parceiros, para proteger melhor os dados pessoais?
  • As responsabilidades dos fornecedores e parceiros foram claramente definidas em relação ao tratamento de dados pessoais?
  • Existe a necessidade de desenvolver novos cenários de violação de dados?

Problemas relacionados a recursos:

  • Foram alocados recursos suficientes para gerenciar a violação de dados?
  • Os recursos externos devem ser contratados para gerenciar melhor esses incidentes?
  • O pessoal-chave recebeu recursos suficientes para gerenciar o incidente?

 

Problemas relacionados a funcionários:

  • Os funcionários estavam cientes dos problemas relacionados à segurança?
  • Foi fornecido treinamento sobre questões de proteção de dados pessoais e habilidades de gerenciamento de incidentes?
  • Os funcionários foram informados sobre a violação de dados e os pontos de aprendizado do incidente?

 

Problemas relacionados ao gerenciamento:

  • Como a administração foi envolvida no gerenciamento da violação de dados?
  •  Houve uma linha clara de responsabilidade e comunicação durante o gerenciamento da violação de dados?

 

Monitoramento

Todos devem observar esta política.

Consequências do não cumprimento

Levamos a conformidade com esta política muito a sério. O não cumprimento coloca você e a organização em risco.

A importância desta política significa que o não cumprimento de qualquer requisito pode levar a ações disciplinares de acordo com nossos procedimentos que podem resultar em demissão.