Prezado(a) Leitor(a),
Apresentamos o Código de Ética e Conduta do Grupo Oxxy, documento obrigatório que orienta a conduta de todos os que atuam em nosso nome. Ele consolida princípios de ética, integridade, responsabilidade e respeito, que devem nortear todas as relações internas e externas.
O Termo de Responsabilidade e Compromisso, anexo a este documento, deve ser assinado por todos os colaboradores e terceiros que atuem em nome do Grupo Oxxy, como condição indispensável para início ou continuidade das atividades.
Desta forma, o Código de Ética e Conduta do Grupo Oxxy busca fortalecer nossa cultura, desempenhando, sempre, uma atividade ética.
Boa leitura!
Humberto Celina Cardoso
Diretor Presidente
QUEM SOMOS
Fundado em 1999, o Grupo Oxxy é formado por empresas de tecnologia da informação com foco em soluções para cidades inteligentes, vistoria automotiva, talonário de multas eletrônicas, simuladores e softwares para gestão de Centro de Formação de Condutores e Condomínios. Destaca-se por sua excelência na prestação de serviços, somos um dos poucos Grupos no Brasil que possuem empresas com as certificações ISO9001; ISO20000; ISO270001 e
ISO22301. Além de um ambiente seguro, temos uma sala cofre construída em sede própria em conformidade com a norma NBR-11515.
Empresas que integram o Grupo Oxxy:
● Oxxygenium
● Oxxy.Net
● Oxxygen Pesquisa
OBJETIVO E ABRANGÊNCIA
O presente Código de Ética e Conduta do Grupo Oxxy tem como objetivo apresentar as diretrizes fundamentais da empresa, determinando sua forma de atuação dentro dos princípios éticos no meio empresarial.
Este Código aplica-se a todos os Colaboradores, entendidos como qualquer pessoa física ou jurídica que atue em nome do Grupo Oxxy, incluindo empregados, terceirizados, representantes, fornecedores e prestadores de serviços.
AMBIENTE DE TRABALHO
Entre os funcionários, colaboradores, prestadores de serviços em geral e clientes, assim como todo o público que atinge a atividade empresarial do Grupo Oxxy, deve ser adotada uma conduta ética e transparente, não se admitindo discriminação de qualquer natureza, assédio moral, sexual, verbal, visual ou físico, utilização de trabalho ilegal, honrando os princípios de honestidade e integridade, não adotando posturas ou atitudes que possam comprometer a imagem, a reputação e os interesses das empresas do Grupo Oxxy.
O Grupo Oxxy mantém com seu público uma relação de confiança, parceria e respeito e, desta forma, os prestadores de serviços e colaboradores deverão sempre, durante sua atividade laboral, evitar conflitos entre interesses pessoais e os da empresa, nos relacionamentos com outros prestadores de serviços, colaboradores, clientes, fornecedores, entre outros.
Assim, o Grupo Oxxy:
⮚ Tem o compromisso de manter um ambiente de trabalho aberto, livre de condutas impróprias e desrespeitosas, bem como incentiva pessoas de todas as origens e experiências a contribuir com ideias das mais diversas para a organização;
⮚ Espera dos prestadores de serviços, funcionários e/ou colaboradores e clientes transparência em todos os atos praticados no exercício de suas funções;
⮚ Assim como a discriminação, não tolera assédio moral, sexual, verbal, visual ou físico, e/ou danos morais entre seus prestadores de serviços e colaboradores, sob pena de rescisão contratual, sem prejuízo de medidas criminais cabíveis;
⮚ Em nenhuma hipótese usará trabalho ilegal, assim disposto em Lei, tanto por parte de seus colaboradores, como de seus clientes, contratados e prestadores de serviços em geral;
⮚ Espera de seus funcionários, colaboradores, prestadores de serviços e parceiros uma postura íntegra sempre que estes estiverem representando o Grupo Oxxy em situações profissionais ou sociais, devendo honrar os princípios de honestidade e integridade.
Entre os prestadores de serviços, funcionários e/ou colaboradores do Grupo Oxxy, algumas REGRAS DE CONDUTA deverão ser observadas, sendo elas:
Deveres de todos na empresa
Todos os funcionários, prestadores de serviços e/ou colaboradores devem:
⮚ agir com disciplina no local de trabalho;
⮚ zelar pela ordem e asseio no local de trabalho;
⮚ zelar pela boa conservação das instalações, equipamentos e máquinas, comunicando as anormalidades notadas;
⮚ manter conduta compatível com a dignidade do serviço prestado e com a reputação da Empresa;
⮚ usar os meios de identificação pessoal estabelecidos;
⮚ manter espírito colaborativo com a Empresa e com seus colegas;
⮚ informar a área ou responsável pelos recursos humanos sobre qualquer modificação em seus dados pessoais, tais como estado civil, militar, aumento ou redução de pessoas na família, eventual mudança de residência, etc.;
⮚ Permitir a verificação de mochilas, bolsas e demais objetos pessoais quando houver justificativa formal relacionada à segurança ou investigação interna, observando a legislação aplicável.;
⮚ respeitar a honra, boa fama e integridade física de todas as pessoas com quem mantiver contato;
⮚ responder por prejuízos causados à Empresa, quer por dolo ou culpa (negligência, imperícia ou imprudência).
Cumprimento das leis
Os funcionários, prestadores de serviços e/ou colaboradores do Grupo Oxxy devem cumprir integralmente as disposições de todas as leis – federais, estaduais, municipais e estrangeiras – aplicáveis aos negócios das empresas do Grupo Oxxy. Todas as leis federais, estaduais, municipais e estrangeiras são consideradas parte integrante deste anexo e aqui incorporadas por referência para todos os fins legais.
Controle de Acessos
Controle de acesso físico: Algumas das empresas do Grupo Oxxy possuem controle de seu acesso físico a partir de fechaduras biométricas, todos os prestadores de serviços, funcionários e/ou colaboradores, quando solicitado, devem realizar o cadastro biométrico para acesso ao ambiente da empresa. Os ambientes são protegidos e monitorados por câmeras de segurança 24hs.
A entrada e circulação de visitantes nas dependências das empresas só será permitida desde que este esteja acompanhado por uma pessoa da empresa, e esteja devidamente identificado.
Controle acesso lógico – gerenciamento de acesso do usuário: Para ter acesso aos softwares utilizados pela empresa, todos os prestadores de serviços e/ou colaboradores recebem login e senha, que possibilitará o acesso aos sistemas e dados de acordo com as necessidades do departamento onde atua.
Cada senha é pessoal e intransferível. O compartilhamento ou anotação em locais acessíveis constitui violação grave de segurança da informação e enseja medidas disciplinares.
Do uso de equipamentos eletrônicos pessoais
A utilização de aparelhos de telefonia celular, notebooks, filmadoras, máquinas fotográficas, e outros de uso pessoal nas dependências da empresa está autorizado desde que estes sejam utilizados dentro dos padrões estabelecidos no item “Das proibições” que segue abaixo neste Código.
O uso de equipamentos eletrônicos de entretenimento pendrives e HDs externos de uso pessoal nos computadores da empresa é proibido, a utilização destes só será permitida mediante autorização prévia e formal.
Da Política da Mesa/Tela Limpa
Quando o prestador de serviço, funcionário e/ou colaborador ausentar-se de seu posto de trabalho ou não estiver utilizando a informação, deverá bloquear a tela de seu computador evitando perda e danos à informação. Caso uma sessão fique ociosa por mais de 15 minutos, será solicitado ao usuário que redigite a senha de acesso.
Documentos impressos, digitais e mídias removíveis não devem ficar expostos, evitando assim acessos não autorizados.
Documentos confidenciais em papel, e mídias removíveis quando não estiverem sendo utilizados devem ser armazenados em arquivos protegidos com chave, especialmente fora do horário normal de trabalho. Informações sensíveis, ou críticas ao negócio, quando impressas, devem ser imediatamente retiradas da impressora, e quando digitalizadas, excluídas da pasta pública.
Organização, limpeza e higiene no departamento: Os funcionários têm o compromisso e responsabilidade de manter o ambiente de trabalho limpo e organizado. Manter a organização de gavetas, mesas, e áreas comuns. Tornando desta forma um ambiente agradável a todos.
Apresentação pessoal
A vestimenta deve ser compatível com ambiente corporativo, priorizando discrição e profissionalismo. Roupas excessivamente informais, com rasgos, transparências, símbolos políticos ou mensagens ofensivas não são permitidas.
Ao colaborador é garantido o direito de formular sugestões ou reclamações acerca de qualquer assunto pertinente ao serviço e às atividades da Empresa.
Das informações transmitidas pela empresa
Os prestadores de serviços, funcionários e/ou colaboradores devem observar o presente Código de Ética e Conduta, circulares, ordens de serviço, avisos, comunicados e outras instruções expedidas pelo RH e/ou direção da Empresa.
Todos os prestadores de serviços, funcionários e/ou colaboradores possuem acesso a este código via sistema e APP da empresa, e declaram, por escrito, tê-lo recebido, lido e estar de acordo com todo seu conteúdo e condições
O presente Código de Ética e Conduta pode ser substituído por outro, sempre que a empresa julgar conveniente, em consequência de alteração na legislação social, ou regras internas.
Prestação de serviços a outras empresas e conflito de interesses:
Um conflito de interesses surge quando você se encontra em uma situação em que dois ou mais interesses concorrentes conflitam e prejudicam sua capacidade para tomar decisões objetivas, sem desvios, ou imparciais. Desse modo, todos os funcionários, prestadores de serviços e colaboradores do Grupo Oxxy devem conduzir as suas atividades de forma a não conflitar com os interesses do Grupo Oxxy. Você não deve concluir uma operação, adquirir participação ou tomar qualquer medida que seja contrária aos interesses do Grupo Oxxy ou incompatível com o dever de lealdade e com as obrigações que são inerentes à sua relação com o Grupo Oxxy.
O funcionário, prestador de serviço e o colaborador também não poderão manter vínculo empregatício, prestar serviços, ainda que esporádicos, ou ser administrador, proprietário em titularidade de direitos de sócio, direta ou indiretamente, sob qualquer forma, de empresa que atue no mesmo ramo de negócio do Grupo Oxxy.
Da Segurança de Informação:
Todos os funcionários, prestadores de serviços e colaboradores terão acesso às regras de Segurança de Informação do Grupo Oxxy, ora anexa ao presente Código, de modo que deverá aplicá-la no dia a dia de seu relacionamento com o Grupo Oxxy, com a finalidade de garantir a disponibilidade, integridade, confidencialidade, legalidade e autenticidade da informação necessária para a realização de negócios do Grupo Oxxy.
Nosso compromisso com a proteção de dados se estende à forma como gerenciamos nossos fornecedores e parceiros de negócio. A empresa respeita os direitos dos clientes sobre os dados pessoais por eles controlados, o que inclui transparência total sobre a cadeia de tratamento de dados. Portanto, a comunicação sobre a contratação, substituição ou alteração de suboperadores e fornecedores seguirá estritamente os procedimentos definidos nos contratos de serviço e nas políticas internas de compliance, garantindo que os clientes sejam informados com antecedência e tenham a oportunidade de se opor a mudanças que afetem seus dados.
Política de divulgação de informações:
Não é permitida a modificação, cópia, distribuição, transmissão, exibição, execução, reprodução, publicação, licenciamento ou upload de qualquer software licenciado à empresa, de informações de propriedade da empresa ou de seus clientes, mesmo que de forma parcial.
Os conteúdos da rede, intranet, extranet e os serviços da empresa são para uso profissional e exclusivo desta.
A empresa poderá inspecionar estações de trabalho e arquivos corporativos, respeitando a legislação vigente e os limites da finalidade profissional dos recursos.
Material sexualmente explícito (em especial pedofilia), racista, político, religioso, ou quaisquer tipos de discriminação não podem ser consultados, expostos, armazenados, distribuídos, editados ou gravados através do uso dos recursos computacionais e de comunicação das empresas. Se qualquer dos prestadores de serviços ou colaboradores tomar conhecimento da prática de algum ato ilícito já aqui elencados ou não, deverá informar o fato à empresa, para que sejam tomadas as devidas providências junto às autoridades competentes. As empresas informam que a qualquer tempo, e havendo suspeita de algum ato ilícito, e a pedido das autoridades competentes, poderá disponibilizar os dados pessoais de seus funcionários para auxiliar nas investigações.
O uso de qualquer recurso da empresa para atividades ilegais é motivo para demissão por justa causa ou rescisão imediata de contratos; as empresas cooperam ativamente com as autoridades nesses casos.
As empresas do Grupo Oxxy se comprometem em garantir a confidencialidade, integridade e disponibilidade da informação na organização, assegurando que esta receba um nível adequado de proteção. Abaixo tabela com a classificação de nossas informações:
| Classificação das Informações | ||
|---|---|---|
Confidenciais Destinados a grupos específicos como Diretoria e Financeiro | Uso Interno Destinados aos departamentos onde os prestadores de serviço, colaboradores ou funcionários têm acesso | Uso Público São de acesso público, por todos, pois não causarão danos à organização. |
| Exemplos: Contratos e Acordos com clientes, informações financeiras e folha de pagamentos. | Exemplos: Políticas, procedimentos, Regulamento Interno, Formulários, Checklist. | Exemplos: Marketing, site da Grupo Oxxy e e-mail conforme disclaimer. |
As empresas do Grupo Oxxy adotam metodologias e controles para garantir a segurança da informação; recomendamos que consulte os Procedimentos e Políticas vigentes disponíveis através dos sistemas do grupo Oxxy e/ou departamento de qualidade e de recursos humanos.
Das proibições:
É expressamente proibido ao funcionário, prestador de serviço ou colaborador:
⮚ permanecer em setores estranhos àqueles afetos à sua área de atuação; ingressar na empresa por vias não determinadas;
⮚ ocupar-se de qualquer atividade que possa prejudicar os interesses do serviço, bem como a utilização de máquinas, computadores, telefones, etc. disponíveis no ambiente de trabalho, para uso pessoal;
⮚ promover algazarra, brincadeiras e promover ou aderir a discussões, discursos políticos, religiosos, etc., nas dependências da empresa;
⮚ fumar nos recintos da empresa;
⮚ receber visitas ou introduzir pessoas estranhas no recinto da empresa, sem prévia autorização;
⮚ retirar do local de trabalho, sem prévia autorização, qualquer equipamento, objeto ou documento de propriedade da Empresa;
⮚ prestar serviço, fazer parte ou colaborar com qualquer espécie de entidade que seja concorrente da Empresa;
⮚ utilizar de impressos da Empresa para assuntos não relacionados ao serviço,
⮚ exercer comércio interno, efetuar negócios, jogos ou atividades alheias ao serviço;
⮚ divulgar, por qualquer meio, segredo, assunto ou fato de natureza privada da empresa;
⮚ portar arma de qualquer natureza, bebidas alcoólicas, entorpecentes, bem como se apresentar a empresa embriagado ou sob o efeito de qualquer espécie de entorpecente, ainda que lícito;
⮚ dar ordens ou assumir atitudes de direção sem ter para isso a necessária autorização;
⮚ Não é permitida a ingestão de comidas no posto de trabalho.
⮚ Líquidos como água, chá e café só serão permitidos sobre as mesas, se estiverem em recipientes devidamente fechados.
⮚ divulgar, informar ou dar conhecimento, por qualquer meio ou forma, acerca das remunerações recebidas da empresa;
⮚ fazer serviço para si ou para terceiros utilizado equipamentos, ferramentas ou materiais da empresa, sem autorização;
⮚ receber, sob qualquer forma ou pretexto, presentes de pessoas que estejam em relação de negócios com a empresa.
É expressamente proibido aos funcionários, prestadores de serviços ou colaboradores e será considerado como ato de violação de segredo profissional e ato de improbidade, tomar anotações ou cópias de detalhes técnicos e administrativos sobre qualquer assunto que se relacione com as atividades industriais e comerciais da empresa, para fins particulares, assim como permitir ou facilitar sua retirada das dependências da empresa.
Relacionamento com clientes
O relacionamento do Grupo Oxxy com seus clientes está pautado, sempre, em princípios éticos, assim como na missão e valores da empresa. Todos os clientes devem ser tratados de forma justa e de acordo com as leis, obrigações contratuais, práticas e regulamentos aplicáveis.
As informações obtidas em razão de parcerias fechadas são confidenciais, sendo proibida a divulgação a terceiros, a menos que previamente autorizada, por escrito, pelo cliente.
Desta forma, esperamos de nossos clientes a mesma conduta ética, assim como o mesmo compromisso com as informações e operações do Grupo Oxxy.
As atividades desenvolvidas pelos clientes do Grupo Oxxy não poderão, em nenhuma hipótese, estar em desacordo com leis municipais, estaduais e/ou federais, estando sujeitas às licenças e autorizações dos órgãos públicos competentes.
O atendimento ao cliente deve ser eficiente, correto e alinhado às condições contratuais, sem promessas ou concessões não autorizadas.
Política Anticorrupção
A Direção do Grupo Oxxy vem através desta Política Anticorrupção declarar formalmente o seu comprometimento em satisfazer os requisitos do Sistema de Gestão Anticorrupção e a proibição total de corrupção nas suas relações comerciais e o total cumprimento das leis Anticorrupção vigentes no País sobretudo os requisitos do Decreto nº8420/2015 e a Lei Federal Anticorrupção nº 12.846/2013, definindo como diretrizes maiores as abaixo descritas:
● proibição total de pagamentos, recebimentos ou fornecimento de benefícios para autoridades governamentais, agentes privados, clientes e parceiros comerciais;
● proibição total na oferta de presentes, brindes e hospitalidades para autoridades governamentais, agentes privados, clientes e parceiros comerciais;
● critérios nas doações e contribuições para instituições de caridade e programas sociais com proibição total de doações para partidos políticos;
● encorajamento no levantamento de preocupações com base na boa-fé ou em uma razoável convicção na confiança, sem medo de represália, através do seu canal de denúncias cujo link se encontra disponibilizado para todas as partes interessadas;
● comprometimento com a melhoria contínua do Sistema de Gestão Anticorrupção;
● plena autoridade e independência do comitê de compliance e do compliance officer sobre as consequências do não cumprimento dessa política anticorrupção com base nas investigações sobre os possíveis envolvidos em denúncias;
● aplicação de punições em conformidade às regras estabelecidas desde a advertência verbal até a demissão por justa causa;
Canal de Denúncias
O Canal de Denúncias da Oxxy.Net foi criado objetivando atender os requisitos do
Decreto nº 8420/2015 e a Lei Federal Anticorrupção nº 12.846/2013. As denúncias serão tratadas de forma confidencial e restrita aos responsáveis pela análise e apuração das mesmas. Disponível em no site www.oxxy.net.
COM FORNECEDORES E PARCEIROS DE NEGÓCIOS
O Grupo Oxxy e suas empresas buscam em seus fornecedores os mesmos padrões éticos de conduta com que atua, a fim de promover e manter sua cultura ética. Toda contratação deverá apresentar sustentação técnica e econômica, não sendo permitido favorecimento de qualquer natureza. Todos os fornecedores devem ser tratados de forma justa e de acordo com as leis, obrigações contratuais, práticas e regulamentos aplicáveis.
As regras e procedimentos do Código de Ética e Conduta do Grupo Oxxy se aplicam a todos os terceiros que representam a empresa, como consultores, prestadores de serviços, empreiteiros, parceiros de negócios, fornecedores, entre outros.
Para garantir a aplicação do presente Código de Ética e Conduta, todos os contratos celebrados com terceiros deverão conter cláusulas para assegurar uma conduta ética, com o objetivo de fornecer ao Grupo Oxxy e seus fornecedores o bem estar na relação comercial.
COM OS CONCORRENTES
O propósito básico das leis de defesa da concorrência é proteger e oferecer um ambiente econômico aberto para que novos negócios possam concorrer em mercados livres de condutas oclusivas ou discriminatórias. Quando esta finalidade não é alcançada em decorrência de ações privadas colusivas ou abuso de poder econômico, as leis de defesa da concorrência e o sistema de livre concorrência são violados. A violação dessas leis pode resultar em imposição de penalidades severas sobre o Grupo Oxxy e suas empresas e, em alguns casos, sobre os indivíduos
envolvidos, inclusive de natureza criminal.
O Grupo Oxxy e suas empresas sempre pautam sua atuação em cumprimento às leis de defesa da concorrência.
Segue uma lista com as principais proibições no que se refere às leis de defesa da concorrência:
• Não discuta preços com os concorrentes;
• Não faça acordos para limitar ou aumentar os níveis de produção com concorrentes;
• Não dividira clientes, mercados ou territórios com concorrentes;
• Não faça acordos com concorrentes para boicotar fornecedores ou clientes;
• Não participe em reuniões com objetivos ilegais com concorrentes;
• Não utilize um produto ou serviço como influência para forçar ou induzir um cliente a comprar outro produto ou serviço;
• Não elabore documentos ou faça declarações sem considerar seus impactos n concorrência; e
• Não esconda qualquer irregularidade; informe-a imediatamente ao seu superior.
Este Código não pretende ser uma revisão exaustiva das leis de defesa da concorrência e não substitui uma consultoria especializada. Caso você tenha dúvidas sobre uma situação específica, você deve consultar o Departamento Jurídico do Grupo Oxxy.
COM O MEIO AMBIENTE
O Grupo Oxxy respeita a legislação ambiental brasileira, comprometendo-se com a proteção do meio ambiente e visando à preservação de nossos recursos naturais. Como meio de compromisso com o meio ambiente e com a legislação ambiental vigente, o Grupo Oxxy obtém para todos os seus empreendimentos as licenças e autorizações necessárias para a localização, instalação e operação de seus empreendimentos.
Desta forma, seguimos responsavelmente em conformidade com todas as regulamentações e leis ambientais aplicáveis.
A política do Grupo Oxxy é conduzir de forma ética, socialmente responsável e economicamente sustentável suas atividades, protegendo seus colaboradores, prestadores de serviços e clientes e esperando a mesma conduta da parte desses.
Por fim, a responsabilidade ambiental da empresa é um conjunto de atitudes que levam em conta o crescimento econômico, ajustado à proteção do meio ambiente na atualidade, como também para as gerações futuras.
DA VIOLAÇÃO DO CÓDIGO DE ÉTICA E CONDUTA DO GRUPO OXXY
Conforme exposto, todos os prestadores de serviços, colaboradores, empregados, administradores, fornecedores e clientes deverão se comportar de acordo com o presente
Código de Ética e Conduta, assim como obedecer às leis do ordenamento jurídico brasileiro e
estrangeiro aplicáveis, de modo que qualquer violação será tratada como um assunto de extrema gravidade, passível de rescisão contratual.
Caso você tenha razões para acreditar que o presente Código de Ética e Conduta do Grupo Oxxy está sendo violado, nós incentivamos você a levar o assunto ao conhecimento do seu superior imediato ou ao Departamento Jurídico do Grupo Oxxy, se for o caso. Tenha certeza de que os prestadores de serviço ou colaboradores que, de boa-fé, reportem uma possível violação serão protegidos e não sofrerão retaliação.
A violação deste Código de Ética e Conduta é considerada falta funcional, sujeitando o infrator às medidas disciplinares adequadas e cabíveis a cada caso, sendo elas trabalhistas, administrativas, civis, como também penais, tudo em conformidade com a legislação brasileira.
Todas as violações ao Código de Ética e Conduta serão examinadas pelo Departamento Jurídico do Grupo Oxxy juntamente com os diretores da empresa, que definirão a punição adequada a cada caso.
ANEXO I
O Sistema de Gestão de Segurança da Informação (SGSI) do Grupo Oxxy e se aplica a todos
os colaboradores, prestadores, unidades, sistemas, processos e ativos de informação. A Direçãodeclara formalmente seu compromisso com a proteção das informações, a conformidade legal, a melhoria contínua e os requisitos da ISO/IEC 27001.
O SGSI do Grupo Oxxy abrange todos os processos, unidades físicas, colaboradores, prestadores, sistemas, infraestrutura tecnológica, serviços em nuvem, aplicações corporativas, redes internas, dados armazenados e tratados pelas empresas Oxxygenium, Oxxy.Net e Oxxygen Pesquisa. Estão incluídos todos os ambientes corporativos, data centers e a Sala Cofre certificadaconforme a NBR 15247.
A segurança da informação do Grupo Oxxy aplica-se a todos os prestadores de serviços e funcionários que utilizam a rede de computadores ou tenham acesso a informações pertencentes a ela. Todo e qualquer usuário de recursos computadorizados têm a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática. A violação deste anexo compreende qualquer ato que, dolosa ou culposamente:
● Exponha a Empresa a uma perda ou dano efetivo ou potencial por meio do comprometimento da segurança dos dados, de informações ou ainda da perda de equipamento.
● Envolve a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos.
● Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento, contrato ou qualquer outro dispositivo governamental.
1 - OBJETIVO
Garantir a disponibilidade, integridade, confidencialidade, legalidade e autenticidade d informação necessária para a realização dos negócios do Grupo Oxxy.
2 - MISSÕES DO SETOR DE TECNOLOGIA DA INFORMAÇÃO
Garantir a disponibilidade, integridade, confidencialidade, legalidade e autenticidade da informação necessária para a realização do negócio do Grupo Oxxy.
Ser o gestor do processo de segurança e proteger as informações do Grupo Oxxy e de seus parceiros, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade.
3 - CLASSIFICAÇÕES DA INFORMAÇÃO
É de responsabilidade do Gerente/Supervisor de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a tabela abaixo:
– Pública
– Interna
– Confidencial
– Restrita Conceitos:
● Informação Pública: É toda informação que pode ser acessada por usuários doGrupo Oxxy, clientes, fornecedores, prestadores de serviços e público em geral.
● Informação Interna: É toda informação que só pode ser acessada por funcionários ou prestadores de serviços do Grupo Oxxy. São informações que possuem um grau de confidencialidade que pode comprometer a imagem do Grupo Oxxy.
● Informação Confidencial: É toda informação que pode ser acessada por usuários do Grupo Oxxy e seus parceiros. A divulgação não autorizada desta informação pode causar dano ou impacto (financeiro, de imagem ou operacional) aos negócios do Grupo Oxxy ou aos negócios do parceiro.
● Informação Restrita: É toda informação que pode ser acessada somente por usuários do Grupo Oxxy explicitamente indicados pelos nomes ou por área a que pertencem. A divulgação não autorizada desta informação pode causar sérios danos aos negócios e/ou comprometer a estratégia de negócios do Grupo Oxxy. Todo Gerente/Supervisor deve orientar seus subordinados a não circular, gravar ou reproduzir informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso de outros funcionários ou prestadores de serviços do Grupo Oxxy, ten sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhu relatório e/ou mídia confidencial e/ou restrito sobre suas mesas.
4 - ADMISSÃO E ROMPIMENTO CONTRATUAL COM PRESTADORES OU COLABORADORES
A admissão do prestador de serviço ou colaborador está condicionada aos termos do processo de seleção e recrutamento, dependendo ainda da avaliação médica e apresentação dos documentos exigidos, no prazo fixado pelo empregador.
O setor de Recrutamento e Seleção de Pessoal do Grupo Oxxy deverá informar ao setor de Informática toda e qualquer movimentação de temporários, prestadores de serviços e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos no sistema do Grupo Oxxy. Isto inclui o fornecimento de sua senha (password) e registro do seu nome como usuário no sistema (user-id), pelo setor de Informática.
Cabe ao setor solicitante da contratação a comunicação ao setor de Informática sobre as rotinas do novo contratado e o nível das informações a que terá acesso. No caso de temporários, prestadores de serviços e/ou estagiários deverá também ser informado o tempo em que os mesmos prestarão serviço ao Grupo Oxxy, para que na data de seu desligamento possam também ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema.
No caso de dispensa, o setor de Recursos Humanos deverá comunicar o fato o mais rapidamente possível à Informática, para que o funcionário dispensado seja excluído do sistema e o seu acesso imediatamente bloqueado.
Cabe ao setor de Recursos Humanos informar e obter as devidas assinaturas de concordância dos novos contratados em relação à Segurança da Informação do Grupo Oxxy. Nenhum funcionário, estagiário ou temporário, poderá ser contratado, sem ter expressamente concordado com este anexo.
5 – DOS PROGRAMAS ILEGAIS
A empresa respeita os direitos autorais dos programas que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores. É terminantemente proibido o uso de programas ilegais (sem licenciamento) no Grupo Oxxy.
Os usuários não podem, em hipótese alguma, instalar software (programa) ilegal nos equipamentos do Grupo Oxxy. Somente funcionários da área de TI do Grupo Oxxy têm autorização para instalação de programas nos equipamentos. Periodicamente, o setor de Informática fará verificações nos dados dos servidores e/ou nos computadores dos usuários,visando garantir a correta aplicação desta diretriz. Caso sejam encontrados programas não autorizados, estes deverão ser removidos dos computadores.
Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados se responsabilizarão perante o Grupo Oxxy e terceiros por quaisquer problemas ou danos de qualquer natureza causados oriundos desta ação, estando sujeitos às sanções previstas neste documento e às devidas penalidades previstas em lei.
6 - PERMISSÕES E SENHAS
Para acessar os dados da rede do Grupo Oxxy, todo usuário deverá possuir um login e senha previamente cadastrados pelo setor de Informática.
O superior imediato do novo usuário deverá enviar ao Departamento de Recursos Humanos um e-mail com a orientação sobre o nível de informação que poderá ser acessada pelo novo usuário. Quando da necessidade de cadastramento de um novo usuário para utilização da "rede", sistemas ou equipamentos de informática do Grupo Oxxy, o setor de origem do novo usuário deverá comunicar esta necessidade ao setor de TI, por meio de memorando ou e-mail, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos.
A área de TI fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada imediatamente após o primeiro login e após isso a cada 45 (quarenta e cinco) dias. Por segurança, a área de TI recomenda que as senhas tenham sempre um critério mínimo de segurança para que não sejam facilmente copiadas, e não possam ser repetidas.
Política mínima de senhas:
➢ mínimo de 8 caracteres;
➢ conter letras maiúsculas, minúsculas, números e caracteres especiais;
➢ bloqueio automático após 5 tentativas inválidas;
➢ proibição de reutilização das últimas 5 senhas;
➢ mudança obrigatória a cada 45 dias (já previsto na política, reforçado aqui).
Todos os usuários responsáveis pela aprovação eletrônica de documentos (exemplo: pedidos de compra, solicitações e etc.) deverão comunicar ao setor de TI qual será o seu substituto quando de sua ausência do Grupo Oxxy, para que as permissões possam ser alteradas (delegação de poderes). Quando houver necessidade de acesso para usuários externos, sejam eles temporários ou não, a permissão de acesso deverá ser bloqueada tão logo este tenha terminado o seu trabalho e, se houver no futuro nova necessidade de acesso, deverá então ser desbloqueado pelo pessoal de TI.
7 - COMPARTILHAMENTOS DE DADOS
Não é permitido o compartilhamento de pastas nos notebooks e desktops do Grupo Oxxy. Todos os dados deverão ser armazenados nos servidores da rede, e a autorização para acessá-los deverá ser fornecida pelo Servidor AD (Active Directory).
Uso Aceitável dos Recursos de Tecnologia
Todos os usuários devem cumprir as regras de uso aceitável referentes ao uso d Internet, e-mail corporativo, equipamentos, dispositivos móveis e serviços em nuvem, conform definido nesta PSI e no Termo de Concordância (Anexo III). É proibido o uso de recursos corporativos para fins ilícitos, pessoais excessivos ou que comprometam a segurança da informação.
8 - BACKUPS (CÓPIA DE SEGURANÇA DOS DADOS)
Todos os dados do Grupo Oxxy deverão ser protegidos através de rotinas sistemáticas de elaboração de cópias de segurança (backup). A geração de cópias de segurança do sistema ERP e de servidores de rede são de responsabilidade do Setor Interno de TI ou terceirizado e deverão ser feitas diariamente.
As mídias devem ser armazenadas em local seguro, preferencialmente em DATA CENTER externo, para evitar perda de dados em caso de sinistros.
9 - CÓPIAS DE SEGURANÇA DE ARQUIVOS EM DESKTOPS
Não é política do Grupo Oxxy o armazenamento de dados em notebooks e desktops individuais. Entretanto, existem alguns programas (por exemplo, programas fiscais) que não permitem o armazenamento em rede. Nestes e em outros casos, o pessoal de TI deverá orientar o usuário a fazer backup dos dados de seu equipamento periodicamente.
É responsabilidade dos próprios usuários a elaboração de cópias de segurança (backups) de dados e outros arquivos ou documentos, desenvolvidos pelos funcionários, em suas estações de trabalho, e que não sejam considerados de fundamental importância para a continuidade do negócios do Grupo Oxxy.
No caso das informações consideradas de fundamental importância para a continuidade dos negócios do Grupo Oxxy, o setor de Informática disponibilizará um espaço nos servidores onde cada usuário deverá manter estas informações. Estas informações serão incluídas na rotina diária de backup da Informática.
10 - SEGURANÇA E INTEGRIDADE DOS DADOS
O gerenciamento do(s) banco(s) de dados é responsabilidade exclusiva do Setor de TI, assim como a manutenção, alteração e atualização de equipamentos e programas.
11 – TRATAMENTO DE DADOS PESSOAIS
Conceitos preliminares:
(i) Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável
(ii) Dados Sensíveis: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
(iii) Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Da forma de tratamento dos dados pessoais e sensíveis: O tratamento de todos os dados pessoais e sensíveis fornecidos voluntariamente pelos prestadores de serviços, funcionários ou colaboradores possuirão quatro etapas, sendo elas: Coleta, Armazenamento, Compartilhamento e Exclusão.
A seguir veremos como será realizado o tratamento em cada uma dessas etapas.
⮚ COLETA
A coleta de dados é realizada pelo Grupo Oxxy por meio do fornecimento voluntário do prestador de serviço, funcionário ou colaborador, por escrito, no ato de assinatura do contrato de prestação de serviço, contrato de trabalho ou qualquer outro instrumento formal, bem como na ocasião de cadastro nos aplicativos e sistemas do Grupo Oxxy e do cadastramento biométrico.
Importante ressaltar que no momento da coleta dos dados o prestador de serviço, funcionário ou colaborador fica ciente da sua finalidade ou destinação, bem como para quais propósitos os dados serão tratados.
⮚ ARMAZENAMENTO
Após o Grupo Oxxy coletar todos os dados fornecidos voluntariamente pelo prestador de serviço, funcionário ou colaborador estes serão armazenados de maneira segura pelo período destinado à sua finalidade.
Salienta-se que todos os dados são armazenados nos servidores do Grupo Oxxy que são altamente protegidos por uma Sala Cofre com grau de proteção S60D, devidamente certificada pela ABNT NBR 15247.
⮚ COMPARTILHAMENTO
O prestador de serviço, funcionário ou colaborador tem plena ciência e concorda que todos os dados coletados e armazenados poderão ser partilhados entre todas as empresas do Grupo Oxxy, bem como para os órgãos públicos de acordo com os fins legítimos especificados e de acordo com a finalidade previamente estipulada.
⮚ TÉRMINO DO TRATAMENTO E EXCLUSÃO
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
(i) verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
(ii) fim do período de tratamento;
(iii) comunicação do titular em relação aos seus dados pessoais, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no §5º do artigo 8º da Lei Geral de Proteção de Dados, resguardado o interesse público ou;
(iv) determinação da autoridade nacional, quando houver violação ao disposto na Lei Geral de Proteção de Dados.
Os prestadores de serviço, funcionários ou colaboradores tem plena ciência e concorda que os dados pessoais e sensíveis serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
(i) cumprimento de obrigação legal ou regulatória pelo controlador;
(ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
(iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
(iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
DIREITOS DO USUÁRIO
Todas as condições acima estão de acordo com a legislação brasileira, atendendo, especialmente, os termos da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados).
Ademais, todos os prestadores de serviço, funcionários e colaboradores poderão exercer qualquer um dos direitos descritos abaixo ou previstos na Lei Geral de Proteção de Dados, através de um requerimento por escrito, a ser enviado para [email protected], especialmente sobre:
A - GERENCIAMENTO DAS INFORMAÇÕES PESSOAIS
Os prestadores de serviços, funcionários e colaboradores do Grupo Oxxy poderão solicitar a atualização ou modificação de suas informações pessoais, sendo que este o seu único responsável pelas informações transmitidas.
B - RETIFICAÇÃO DE INFORMAÇÕES INCORRETAS OU INCOMPLETA
Os prestadores de serviço, funcionários e colaboradores têm direito de pedir para o Grupo Oxxy corrigir informações pessoais incorretas ou incompletas referentes aos seus dados.
C - PORTABILIDADE E ACESSO A DADOS
De acordo com a lei aplicável aos prestadores de serviço, funcionários e colaboradores poderão solicitar cópias de seus dados pessoais mantidos. Os prestadores de serviço, funcionários e colaboradores também poderão solicitar cópias de dados pessoais que forneceu ao Grupo Oxxy em um formato estruturado, comumente usados e legível e/ou solicitar que enviemos essas informações a outro empregador ou contratante (quando for tecnicamente viável).
D - OBJEÇÃO AO PROCESSAMENTO
De acordo com a lei aplicável aos prestadores de serviço, funcionários e colaboradores poderão exigir que o Grupo Oxxy não processe dados pessoais para determinados fins específicos. Se os prestadores de serviço, funcionários e colaboradores se opuser a tal processamento, o Grupo Oxxy não processará mais seus dados pessoais, a menos que possamos demonstrar motivos legítimos convincentes para tal processamento ou que esse processamento seja necessário para o estabelecimento, o exercício ou a defesa de reivindicações legais.
E - APRESENTAÇÃO DE RECLAMAÇÕES
Os prestadores de serviço, funcionários e colaboradores têm o direito de apresentar reclamações sobre nossas atividades registrando uma queixa através do e-mail que pode ser acessada pelo [email protected].
12 - NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS
O Setor de Informática é responsável pela aplicação da segurança da informação do Grupo Oxxy em relação à definição de compra e substituição de software e hardware. Qualquer necessidade de novos programas (softwares) ou de novos equipamentos de informática (hardware) deverá ser discutida com o responsável pelo setor de Informática. Não é permitida a compra ou o desenvolvimento de softwares ou hardwares diretamente pelos usuários.
13 - USO DE NOTEBOOKS
Os usuários que tiverem direito ao uso de computadores pessoais (laptop ou notebook), ou qualquer outro equipamento computacional, de propriedade do Grupo Oxxy, devem estar cientes de que:
⮚ Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais.
⮚ A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário.
⮚ É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo.
O usuário não deve alterar a configuração do equipamento recebido. Alguns cuidados que devem ser observados:
Fora da empresa:
⮚ Mantenha o equipamento sempre com você;
⮚ Atenção em hall de hotéis, aeroportos, aviões, táxi e etc;
⮚ Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível;
⮚ Atenção ao transportar o equipamento na rua. Em caso de perda, furto ou roubo:
⮚ Registre a ocorrência em uma delegacia de polícia;
⮚ Comunique ao seu superior imediato e ao setor de Informática;
Envie uma cópia da ocorrência registrada na delegacia de polícia para o setor de Informática.
Uso de Dispositivos Pessoais (BYOD)
O uso de dispositivos pessoais para acessar sistemas, redes ou dados corporativos é proibido, salvo autorização formal da área de Tecnologia da Informação e aplicação dos controles de segurança definidos pelo SGSI.
14 - RESPONSABILIDADE DOS GERENTES / SUPERVISORES
Os gerentes e supervisores são responsáveis pelas definições dos direitos de acesso de seus funcionários e/ou prestadores de serviços aos sistemas e informações do Grupo Oxxy, cabendo a eles verificarem se eles estão acessando exatamente as rotinas compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, e mantendo cópias de segurança de seus arquivos individuais, conforme estabelecido neste anexo.
O Setor de Informática fará auditorias periódicas do acesso dos usuários às informações, verificando:
⮚ Que tipo de informação o usuário pode acessar;
⮚ Quem está autorizado a acessar determinada rotina e/ou informação;
⮚ Quem acessou determinada rotina e informação
⮚ Quem autorizou o usuário a ter permissão de acesso à determinada rotina ou informação;
⮚ Que informação ou rotina determinadas usuário acessou;
⮚ Quem tentou acessar qualquer rotina ou informação sem estar autorizado.
15 - SISTEMAS DE TELECOMUNICAÇÕES
O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos do Grupo Oxxy, assim como, o uso de eventuais ramais virtuais instalados nos computadores, é responsabilidade do setor de Informática, de acordo com as definições da Diretoria do Grupo Oxxy. Ao final de cada mês, para controle, serão enviados relatórios informando a cada gerência quanto foi gasto por cada ramal.
16 - USO DE ANTIVÍRUS
Todo arquivo em mídia proveniente de entidade externa ao Grupo Oxxy deve ser verificado por programa antivírus. Todo arquivo recebido / obtido através do ambiente Internet deve ser verificado por programa antivírus. Todas as estações de trabalho devem ter um antivírus instalado. A atualização do antivírus será automática, agendada pelo setor de Informática, via rede. O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.
17 - PENALIDADES
O não cumprimento da Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho por justa causa, outra ação disciplinar e/ou processo civil ou criminal.
18. ESTRUTURA DE GOVERNANÇA E RESPONSABILIDADES
Para atender à ISO 27001, o Grupo Oxxy estabelece formalmente sua estrutura de governança de segurança da informação:
➢ Alta direção: aprova a política, fornece recursos e avalia resultados.
➢ Gestor do SGSI: designado para coordenar o sistema de gestão de segurança da informação.
➢ Comitê de Segurança da Informação: acompanha riscos, incidentes e aprova planos de ação.
➢ Donos de ativos: responsáveis pela classificação e proteção de cada ativo de informação.
➢ Responsáveis por riscos, incidentes e continuidade: papéis definidos para garantir a gestão integrada.
19. GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
O Grupo Oxxy adota metodologia formal de gestão de riscos (matriz de probabilidade/impacto) para identificar, avaliar e tratar riscos de segurança e privacidade. São definidos critérios de risco, documentação de resultados, responsabilidades e periodicidade derevisão anual. A Declaração de Aplicabilidade (SoA) lista todos os controles aplicáveis, justificando inclusões ou exclusões e é aprovada pela direção.
A metodologia completa de avaliação e tratamento de riscos está formalizada no Procedimento de Gestão de Riscos do SGSI, mantido pela área de Segurança da Informação. Sua aplicação é obrigatória para todos os processos críticos e revisada anualmente.
20. GESTÃO DE ATIVOS
Todos os ativos de informação (hardware, software, dados, pessoas, instalações) são inventariados. Cada ativo tem um proprietário responsável por sua classificação, uso e ciclo de vida. Procedimentos são estabelecidos para registro de entrada e saída de ativos, devolução e descarte seguro, garantindo rastreabilidade e proteção adequada.
21. CRIPTOGRAFIA E PROTEÇÃO DE DADOS
Estabelece requisitos para uso de criptografia em repouso e em trânsito, uso de senhas robustas e múltiplo fator de autenticação em sistemas críticos. A gestão de chaves criptográficas inclui geração, distribuição, armazenamento seguro, rotação e revogação.
22. LOG, AUDITORIA E MONITORAMENTO
São definidos os tipos de logs a serem registrados (acesso, administração, eventos de segurança), o prazo de retenção e os responsáveis por sua análise. Ferramentas de monitoramento detectam atividades anômalas e alertam a equipe de segurança para ações corretivas.
Os logs corporativos são retidos por período mínimo de 12 meses, armazenados em ambiente seguro, com acesso restrito à equipe de Tecnologia da Informação e Segurança da Informação.
23. DIRETRIZES DE PRIVACIDADE E CONFORMIDADE LGPD
Complementando a seção de tratamento de dados pessoais, o Grupo Oxxy identifica bases legais para cada operação de tratamento, mantém inventário de dados pessoais (ROPA),realiza avaliações de impacto (DPIA) quando necessário e designa formalmente o Encarregado de Proteção de Dados (DPO). Processos internos foram estabelecidos para atendimento aos titulares (acesso, correção, exclusão, oposição, portabilidade, revisão de decisões automatizadas) com prazos definidos e registros.
24. GESTÃO DE MUDANÇAS
Qualquer mudança em sistemas, infraestrutura ou processos de TI é submetida a processo formal de gestão de mudanças, com análise de impacto, aprovação prévia, registro, testes e rollback. Mudanças emergenciais também são registradas e revisadas posteriormente.
25. GESTÃO DE INCIDENTES DE SEGURANÇA
Um incidente é qualquer evento que comprometa confidencialidade, integridade ou disponibilidade da informação. A política define fluxos de comunicação, prazos de resposta (SLAs), responsabilidades, registro de incidentes, análise de causa raiz e ações de melhoria. Autoridades e titulares serão notificados conforme exigido por lei.
26. CONTINUIDADE DE NEGÓCIOS E RECUPERAÇÃO DE DESASTRES (BCP/DRP)
Planos de continuidade e recuperação de desastres estabelecem objetivos de tempo de procedimentos para retomada de operações após eventos disruptivos. Testes periódicos são realizados para validar a eficácia dos planos.
27. AVALIAÇÃO DE FORNECEDORES E REQUISITOS DE SEGURANÇA
Fornecedores e prestadores de serviços são classificados por criticidade. São definidos requisitos mínimos de segurança a serem incluídos nos contratos, processos de homologação prévia e avaliações periódicas para garantir conformidade.
28. REVISÃO, AUDITORIAS INTERNAS E MELHORIA CONTÍNUA
Este anexo é revisado anualmente ou quando houver mudanças significativas no ambiente ou legislação. Auditorias internas periódicas verificam a aderência aos controles; os resultados são reportados à alta direção e utilizados para melhoria contínua do SGSI.