Política de Segurança da Informação e Comunicação de Angra dos Reis - (PSIC)

Versão 1.0, 28/03/2023

A Prefeitura Municipal de Angra dos Reis - PMAR torna público, por meio de seu sítio eletrônico, a sua Política de Segurança da Informação e Comunicação - PSIC.

A mesma foi elaborada e está em conformidade com as Leis Federais nº 12.965/2014 e nº 13.853/2019 e nela, estão contidos um conjunto de padrões, normas e diretrizes estabelecendo princípios, compromissos, valores, requisitos e orientações a fim de mitigar riscos para os dados armazenados em nossos ambientes computacionais.

Esta PSIC também estabelece regras sobre a gestão de senhas, acesso a dados, backup de dados, gerenciamento de dispositivos móveis e uma camada adicional de proteção para os dados sensíveis existentes em nossa base de dados, informações confidenciais, como informações financeiras, informações de saúde ou dados de pessoa natural, dentre outras questões correlatas.

Lembrando que este documento não é imutável, seus padrões poderão ser revistos e atualizados a qualquer tempo, para atender as necessidades do munícipe e do cenário atual da PMAR.

Está convencionado pela equipe da Superintendência de Tecnologia da Informação de Angra dos Reis - SUTIN que os pilares desta PSIC são:

  • Confidencialidade - diz respeito ao caráter da informação ao ponto que apenas quem tem o direito de acesso àqueles dados poderá utilizá-lo.
  • Integridade - representa a veracidade das informações de maneira que todos os dados custodiados pela PMAR possam ser considerados confiáveis e íntegros para cada pessoa e caso.
  • Disponibilidade - diz respeito ao perdimento da informação, ou seja, ela deverá estar disponível a quem dela precisar (dentro das normas de acesso estabelecidas em lei).

Finalidade

A Secretaria de Planejamento e Parcerias - SPP através da SUTIN, com base fundamentada na Lei 13.709, de 14 de agosto de 2018 e que trata sobre a proteção de dados pessoais, considera:

  1. o respeito à privacidade;
  2. a autodeterminação informativa;
  3. a liberdade de expressão, de informação, de comunicação e de opinião;
  4. a inviolabilidade da intimidade, da honra e da imagem;
  5. o desenvolvimento econômico e tecnológico e a inovação;
  6. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
  7. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
  8. o inteiro teor da Lei no 13.303, de 30 de junho de 2016, denominada Lei das Estatais;
  9. o inteiro teor da Lei no 12.527, de 18 de novembro de 2011, denominada Lei de Acesso à Informação - LAI;
  10. o inteiro teor da Lei no 12.965, de 23 de abril de 2014, denominada Marco Civil da Internet;
  11. o inteiro teor da Política de Privacidade da PMAR;
  12. o inteiro teor da norma NBR ISO/IEC 27.701.

E compromete-se, tornando pública e acessível a seus usuários, demais partes interessadas e público em geral a presente declaração, que passa a vigorar nos termos a seguir.

Definições

Para os fins desta Declaração, entende-se por:

  1. Categorização da informação: forma de organização do tratamento da informação dentro da PMAR, correspondente à chamada “classificação da informação”, em outras empresas, de modo a garantir unidade e coerência no tratamento de dados e informações;
  2. Cliente: pessoa natural ou jurídica que mantenha relação comercial com a PMAR, por meio de contrato de prestação de serviços;
  3. Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas;
  4. Continuidade de negócios: conjunto de processos de negócio configurados para que a organização continue a entrega de produtos ou serviços em um nível aceitável previamente definido após incidentes de interrupção;
  5. Dado pessoal: informação relacionada a pessoa natural, sela ela identificada ou identificável;
  6. Integridade: garantia da exatidão e completeza da informação e dos métodos de seu processamento;
  7. Parceiro: pessoa jurídica com a qual à PMAR mantém relação de cooperação e suporte recíproco, por meio de convênios, termos de cooperação ou similares;
  8. Segurança da informação: conjunto de práticas e métodos voltados para a preservação da confidencialidade, integridade e disponibilidade da informação tratada no âmbito da organização;
  9. Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  10. Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, cruzamento, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e
  11. Usuário: pessoa natural ou jurídica que acesse os programas e projetos da PMAR independentemente de ser titular de dados cadastrados em seus sistemas e serviços, mas que, para esse acesso forneça dados pessoais de qualquer natureza, com consentimento de uso explícito.

Privacidade

A PMAR atua em consonância com os seus programas e projetos, com as suas secretarias, autarquias e fundações e, sempre respeitando o direito à privacidade, visando o melhor uso da tecnologia da informação em seus ambientes computacionais a fim de satisfazer a sociedade, de forma sustentável e autônoma, garantindo a estabilidade e a continuidade de seus serviços.

Considera-se privacidade, para os fins desta PSIC, o atributo de certeza por parte do usuário e das demais partes interessadas em relação:

  1. à forma como os serviços, os sistemas, os processos e as pessoas do quadro de servidores atuam e se comportam em relação a esses usuários; e
  2. à razoável expectativa de discrição e de preservação de seus interesses e informações de qualquer natureza.

3.1 - Exceções

Exclui-se da restrição que a privacidade impõe, e nos limites da excepcionalidade que o justifique, a informação:

  1. à que corresponda às hipóteses do Art. 4º da Lei 13.709/2018;
  2. pública por determinação legal;
  3. objeto de decisão judicial transitada em julgado, pela divulgação ou exibição da informação ou dado;
  4. ostensiva com dever de transparência ativa;
  5. ostensiva com dever de transparência passiva;
  6. já dada, por ato do titular, ao conhecimento público;
  7. havida e gerida no âmbito da relação de trabalho entre suas secretarias, fundações e autarquias, ou ainda, entre estes entes, empresas e seus colaboradores, fundamental ao exercício do poder diretivo, no âmbito estrito dessa finalidade; e
  8. dados necessários à legítima atuação da PMAR em atendimento à sua missão institucional e no limite da finalidade adequada à base legal aplicável.

3.2 - Categorização da informação

A PMAR mantém modelo sistematizado de categorização da informação, em conformidade com a LAI e com a LGPD, e zela, nos termos do art. 8º da Lei nº 5.615, de 13 de outubro de 1970, pelo sigilo das informações e dos dados que trata, sejam pessoais ou não, além de se manter alinhado com as boas práticas de segurança e trato tecnológico, e com as práticas mais avançadas de governança, empregando modelos NBR ISO, COBIT/ISACA, ITIL e afins em suas atividades.

3.3 - Dados sensíveis

A PMAR compreende que o tratamento de dados sensíveis é submetido à maior rigor legal e à supervisão mais severa, pela Autoridade Nacional de Proteção de Dados e, nesse sentido, trata dados sensíveis exclusivamente sob o pálio de uma das hipóteses legais do Art. 11 da LGPD, preferencialmente mediante consentimento informado e categórico.

3.4 - Dados de crianças

Da mesma forma, no tocante aos dados de crianças e adolescentes, a PMAR tratará qualquer processamento segundo os seguintes mandamentos:

  1. No tocante a tratamento de dados com base em consentimento: a PMAR só tratará dados de crianças (até 12 anos incompletos) mediante consentimento dos pais ou do responsável, nos termos da Lei;
  2. No tocante a tratamento de dados de menores até 16 anos incompletos e no caso de tratamentos fundados em outras bases legais: a PMAR operará em conformidade com o que dispuser o Estatuto da Criança e do Adolescente e demais normas aplicáveis à espécie.

4 - Princípios da proteção de dados pessoais

A proteção de dados pessoais observa os princípios a seguir, no tocante à sua aplicação, gerenciamento e forma de interpretação, são eles:

  1. Princípio da protetividade dos dados pessoais: o tratamento de dados pessoais no âmbito da PMAR é feito com atenção aos direitos dos titulares de dados pessoais e aos requisitos contratuais e legais.
  2. Princípio da atualidade: esta PSIC é dinâmica e condizente com o estado da arte em tecnologia e deve ser lida e interpretada em sua versão última, publicada na página angra.rj.gov.br.
  3. Princípio da integridade: Os serviços prestados ao munícipe pela PMAR são focados na finalidade pública e no cumprimento de sua missão institucional, nos termos da lei, e em hipótese alguma devem convergir com interesses particulares, especialmente aqueles que ofereçam ou possam oferecer prejuízo à Administração Pública Municipal.
  4. Princípio da universalidade: A PMAR atua em prol de seus programas e projetos para benefício da sociedade, em relação a estes, qualquer grau de prioridade ou preterição em face uns dos outros, atuando com neutralidade de tratamento, em relação a níveis de serviço garantidos, salvo nas hipóteses em que, por opção contratual, haja essa diferenciação de forma explícita e pré-definida.
  5. Proteção legal de dados pessoais em seus ambientes institucionais: os dados e elementos manipulados relativos aos programas e projetos da PMAR, sejam pessoais ou corporativos, são tratados com o devido sigilo, nos termos do art. 8º da Lei no 5.615, de 13 de outubro de 1970.
  6. Princípio da finalidade: as práticas de tratamento de dados pessoais no âmbito interno da PMAR condizem com sua natureza, seu escopo e sua missão institucional, mas, sobretudo, são realizadas em alinhamento com a finalidade legal, contratual e com a finalidade informada ao Titular, nos casos de aplicação da base legal “consentimento”.
  7. Princípio da adequação: o tratamento dado pela PMAR aos dados pessoais e os propósitos observados são rigorosamente vinculados à finalidade informada ao Titular ou prevista em contrato, convênio, lei, regulamento ou política pública e condizente com a base legal que o autoriza.
  8. Princípio da necessidade: os serviços, aplicações e regras de negócio, desde sua concepção, observam rigor minimalista, pautado pela coleta de apenas dados estritamente necessários à realização dos propósitos e do tratamento em si.
  9. Princípio do livre acesso: em conformidade com as regras e direitos prescritos nos artigos 9º e 18º da LGPD, ao Titular é garantido livre acesso aos próprios dados pessoais, mediante adequada identificação pessoal, para que não haja prejuízo ao princípio da segurança.
  10. Princípio da qualidade: a acurácia, correção, atualização e integridade dos dados é preocupação objeto de revisão contínua e de práticas de aperfeiçoamento e checagem no âmbito dos sistemas da PMAR, sem prejuízo do acesso franqueado ao Titular para que possa intervir sempre que haja falhas de qualidade no tratamento.
  11. Princípio da transparência: os direitos de acesso são franqueados ao Titular e aos órgãos de controle, de modo a garantir clareza a respeito das práticas e das políticas aplicadas aos nossos serviços.
  12. Princípio da segurança: a PMAR mantém uma equipe de segurança da informação preparada e em atividade constante que atua na atualização e integração de normas e políticas, revisão de procedimentos e harmonização do nível de gestão em segurança da informação e do nível de Gestão de Privacidade com o nível de Governança.
  13. Princípio da prevenção: a atuação da PMAR é pautada pela compreensão de que sua estrutura, seus processos e suas pessoas devem estar preparados para se antecipar a problemas, com adequada gestão de riscos, inovação, respeito pela experiência do usuário e respeito pela qualidade de seus serviços prestados ao munícipe.
  14. Princípio da não-discriminação: em hipótese alguma as decisões, configurações, o planejamento e a gestão das atividades da PMAR no tratamento de dados pessoais podem implicar qualquer tipo de direcionamento ou viés discriminatório ou atentatório aos direitos e liberdades individuais, garantida a efetiva dignidade no tratamento à pessoa natural, à igualdade de oportunidades, à neutralidade da configuração dos ativos geridos e das decisões corporativas e comerciais.
  15. Princípio da responsabilização: no tratamento de dados pessoais e da privacidade do indivíduo a PMAR entende que a responsabilidade proativa deve pautar a conduta de seus servidores e as decisões de seu nível de governança, por meio de adequados processos.

5 - Conformidade e Governança

5.1 - Conformidade legal

A PMAR se declara:

  1. Em conformidade com a Lei no 13.709, de 14 de agosto de 2018;
  2. Comprometida com a manutenção dessa conformidade pela execução de ações de melhoria contínua e aperfeiçoamento; e
  3. Aderente aos princípios supracitados;

5.2 -Governança de risco

A PMAR se declara:

Em conformidade com a LAI e também mantém adequado Programa de Segurança da Informação, Gestão de Riscos e Controle Interno, e às boas práticas de Governança Corporativa.

A PMAR dispõe de setor responsável para tratar da Segurança da Informação, atuando em conformidade com os frameworks contemporâneos de melhores práticas.

5.3 - Governança de TI, privacidade e proteção de dados

A PMAR dispõe de setor responsável para tratar da Governança de Tecnologia da Informação.
Igualmente, este setor é responsável pela Governança de Privacidade, portanto, a PMAR se declara em conformidade com os frameworks contemporâneos de melhores práticas.

A governança de privacidade e proteção de dados também está sob a coordenação do Encarregado de Dados (DPO).

6 - Termos de uso dos serviços

A PMAR poderá publicar regras específicas de acesso para cada serviço a fim de atender as suas políticas públicas.

6.1 - Responsabilidade

A PMAR não se responsabiliza por práticas maliciosas ou pelo mau uso pessoal de conteúdo de outros sítios, tampouco pela exploração maliciosa de falhas na segurança de dados ou ilegalidades cometidas por terceiros.

Assim, a PMAR se compromete a oferecer o melhor em termos de segurança aos serviços que cada cidadão acessa, adquirindo ativos modernos e efetivos, aplicando metodologias notoriamente identificadas como melhores práticas e adotando providências disponíveis no estado da arte em prol da segurança da informação.

6.2 - Coleta de informações

Para diversos serviços, A PMAR coleta dados indispensáveis ao funcionamento das aplicações, como nome e CPF (ou Razão Social e CNPJ, no caso de Pessoas Jurídicas), endereço, e-mail, telefones para contato, entre outros. O titular pode optar por não conceder alguma dessas informações.

Nessa situação, a aplicação avisara´ sobre as consequências da na~o-autorizac¸a~o, tanto em termos de limitações de serviço, como de negação de acesso à aplicação, informando expressamente os motivos.

A PMAR pode, ainda, poderá coletar e armazenar informações sobre a navegação do titular, como endereço IP, páginas acessadas, tempo de permanência e características de dispositivos móveis. Informações de outras fontes, cadastro de parceiros ou de outros órgãos, dentro ou fora do município, também podem ser somados a` nossa base de dados.

6.3 - Cookies

Os cookies são pequenos arquivos que podem ser salvos em um dispositivo (computador, tablet ou telefone) do usuário, quando visita um sítio na internet.
Os cookeis podem se utilizar de cookies quando envia pequenos pacotes de dados para o navegador do usuário, que ficam armazenados em seu dispositivo.
Essa tecnologia nos ajuda a entender melhor o comportamento dos usuários, inclusive para fins de segurança e privacidade, e nos informam as seções mais visitadas nos nossos sítios, contribuindo para uma experiência cada vez melhor na utilização dos nossos serviços.
Nós utilizamos cookies de sessão, temporários, que se excluem quando o usuário sai do nosso sítio ou cookies persistentes, que não se excluem, até que o usuário os apague ou seu navegador o faça, dependendo da data de expiração do cookie. Os cookies persistentes têm uma data de expiração gravada em seu código, mas sua duração pode variar.
A maior parte dos navegadores são predefinidos para aceitar cookies de forma automática. Nas configurações, é possível alterar essa regra, porém, com os cookies desativados algumas funcionalidades do sítio podem não funcionar da forma mais adequada.
Ao clicar em “Estou ciente”, no aviso sobre uso de cookies, o usuário concorda com a nossa utilização dos cookies. Para entender mais sobre os cookies que utilizamos, recomendamos ler a tabela a seguir.

6.4 - Níveis de coleta

6.4.1 - Cookies estritamente necessários e como são utilizados

Esses cookies são necessários para o funcionamento do sítio e não podem ser desligados. São definidos quando o usuário solicita um serviço. Não armazenam nenhuma informação pessoal identificável. Seus benefícios ajudam a melhorar a experiência de usuário e a navegabilidade.

6.4.2 - Cookies de desempenho

Esses cookies nos permitem contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso sítio. Todas as informações que esses cookies coletam são agregadas e, portanto, anônimas. Se esses cookies não forem permitidos, não saberemos que o usuário visitou nosso sítio.
Ajudam a fornecer uma boa experiência de navegação, uma vez que nos permitem saber as páginas mais e menos populares e como os visitantes se movem no sítio.

6.4.3 - Cookies funcionais

Esses cookies permitem que o sítio forneça funcionalidade e personalização aprimoradas. Podem ser definidos por nós ou por terceiros, cujos serviços adicionamos às nossas páginas. Se esses cookies não forem permitidos, alguns ou todos esses serviços podem não funcionar corretamente.
Ajudam a fornecer uma boa experiência de navegação.

6.4.4 - Cookies de publicidade

Esses cookies podem, a qualquer tempo, ser definidos em nosso sítio. Eles não armazenam informações pessoais diretamente, mas se baseiam na identificação exclusiva do navegador e dispositivo de internet do usuário.
Se esses cookies não forem permitidos, a publicidade será menos relevante para fins estatísticos e para construir um perfil de interesses do usuário a fim de lhe mostrar anúncios melhores e mais relevantes.
A opção pela utilização e a não utilização de cookies, à exceção dos cookies de sessão, é presumida pelo usuário de acordo com o serviço que ele estiver buscando em nosso sítio.
Após selecionar o serviço, previamente será exibido um banner com opções de escolha de cookies a qual denominamos de opções de “opt-in”e de “opt-out”, assim, o usuário terá a opção de aceitar, bloquear e/ou excluir definitivamente.

6.4.5 - Uso da informações

As informações coletadas durante a navegação permitem a oferta customizada de nossos serviços, o estudo de preferências e, consequentemente, uma experiência de navegação mais próxima dos interesses de cada usuário.
A PMAR pode, ainda, usar essas informações para fins de comunicação com os usuários. Dessa forma, poderão ser enviados avisos e informações de serviços desenvolvidos pela PMAR, podendo estes serem inibidos pelo usuário.
As informações também poderão ser usadas em auditorias, análises estatísticas, ciência de dados, desenvolvimento e melhoria de serviços prestados pela empresa.
Na hipótese de habilitação dos cookies de terceiros, o usuário deve se informar com esses terceiros sobre a finalidade da coleta e tratamento.

6.4.6 - Compartilhamento de informações com terceiros

A PMAR não repassara´ a terceiros, parceiros ou em qualquer negociação comercial, as informações coletadas. Toda e qualquer informação a respeito dos usuários dos serviços da PMAR somente serão repassadas mediante aprovação expressa destes ou por ordem judicial.

7 - Encarregado de dados

Para exercer os direitos do titular de dados pessoais, faça um pedido de informação na plataforma Fala.br.
A PMAR disponibiliza o Canal de Ouvidoria Externa - Fala.Br, cuja sua principal finalidade é esclarecer quaisquer dúvidas inerentes às informações que coletamos e a forma que tratamos essas informações.
Para acessar o Canal de Ouvidoria Externa - Fala.Br, visite o sítio eletrônico da PMAR em seu link: https://www.angra.rj.gov.br/ouvidoria.asp?IndexSigla=sgri