MEDIDAS DE SEGURANÇA TÉCNICA E ORGANIZACIONAL DA FERRERO
1. CONTROLES GERAIS
1.1 A Ferrero implementou políticas de proteção de dados pessoais devidamente documentadas e atualizadas regularmente.
1.2 Os procedimentos de proteção de dados pessoais da Ferrero são formalmente documentados, quando necessário, revisados periodicamente e substanciados com documentos objetivos (por exemplo, atas de reuniões, listas, logs de TI), que podem demonstrar diligência e vigilância constantes em relação à proteção de dados pessoais nas atividades de processamento.
1.3 A Ferrero nomeou um diretor de segurança e um diretor de proteção de dados (DPO) responsáveis por coordenar e monitorar as regras e procedimentos de segurança, bem como a conformidade da proteção de dados.
2. DIREITOS DOS TITULARES DE DADOS
2.1 Os funcionários da Ferrero estão cientes dos procedimentos para que os titulares de dados exerçam seu direito de acesso, bem como para comunicar as solicitações de exercício dos direitos dos titulares de dados ao controlador de dados.
2.2 A Ferrero mantém um registro geral no qual essas solicitações para o exercício do direito de acesso, por exemplo, são registradas.
2.3 A Ferrero nomeou uma pessoa/função (o DPO) responsável pelo fornecimento de explicações por escrito ao controlador de dados acerca das solicitações dos titulares de dados.
2.4 A Ferrero estabeleceu um prazo para a comunicação das solicitações ao controlador de dados.
2.5 A Ferrero possui um procedimento para documentar, por escrito, qualquer recusa às solicitações dos titulares de dados para exercer seus direitos de eliminação, restrição de processamento ou portabilidade de dados, e para compartilhar essa documentação com o controlador de dados.
3. POLÍTICA DE PRIVACIDADE
3.1 Os funcionários da Ferrero e as outras pessoas responsáveis pela disponibilização de avisos de políticas de privacidade/proteção de dados pessoais aos titulares de dados e/ou pela coleta do consentimento dos titulares de dados, também em nome do controlador de dados, foram especificamente treinados em relação às regras de proteção de dados pessoais.
3.2 A Ferrero verifica periodicamente o comportamento desses funcionários ou de outras pessoas ao lidar com os titulares de dados.
3.3 Ao disponibilizar avisos de políticas de privacidade/proteção de dados pessoais aos titulares de dados, os funcionários da Ferrero e as outras pessoas responsáveis podem informar claramente aos titulares de dados sobre seus direitos, verbalmente ou por escrito.
3.4 A Ferrero mantém um registro de todas as fontes das quais obtém dados pessoais.
4. PESSOAS AUTORIZADAS
4.1 A Ferrero realizou nomeações formais para todas as pessoas autorizadas, individualmente ou como parte de categorias homogêneas.
4.2 Todas as pessoas autorizadas receberam instruções específicas por escrito sobre como processar e proteger dados pessoais.
4.3 A Ferrero mantém uma lista atualizada de pessoas autorizadas, e todas essas pessoas recebem treinamento e educação adequados sobre proteção de dados pessoais. Esse treinamento está sendo documentado adequadamente.
4.4 Os privilégios de acesso concedidos a pessoas autorizadas são adequados e atualizados. As instruções dadas às pessoas autorizadas são atualizadas. Isso é confirmado periodicamente.
5. TREINAMENTO
5.1 Os novos recrutados são devidamente instruídos antes de começar a processar dados pessoais.
5.2 A integridade e a confiabilidade dos funcionários são avaliadas antes de lhes serem designadas atividades que envolvam acesso a dados pessoais.
5.3 Todas as pessoas autorizadas recebem atualizações operacionais regulares sobre segurança.
5.4 A Ferrero distribui diretrizes de segurança para todas as pessoas autorizadas.
5.5 A Ferrero mantém documentação para dar suporte e comprovar as atividades de treinamento realizadas.
6. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
6.1 A Ferrero definiu um conjunto de critérios e políticas para esclarecer sua postura e suporte à segurança da informação, bem como controles de segurança relacionados a dispositivos móveis e teletrabalho (como trabalho a distância, acesso remoto e locais de trabalho virtuais).
6.2 A Ferrero definiu funções e responsabilidades separadas para a segurança da informação e as atribuiu às pessoas adequadas, a fim de evitar conflitos de interesses e evitar atividades indevidas.
6.3 A Ferrero firmou os devidos acordos com subprocessador(es), que os obrigam a implementar medidas de segurança técnica e organizacional adequadas em relação à proteção de dados pessoais.
7. SEGURANÇA DE RECURSOS HUMANOS
7.1 As responsabilidades de segurança da informação são consideradas, antes da contratação, no recrutamento e seleção de funcionários, contratados e funcionários temporários (por exemplo, por meio da descrição adequada de vagas ou de triagem antes da contratação) e incluídas nos contratos de trabalho ou de outros serviços (por exemplo, nos termos e condições de trabalho e em outros acordos assinados que definam funções e responsabilidades relacionadas à segurança, por meio de obrigações de conformidade, etc.).
7.2 Os gerentes da Ferrero são capazes de garantir, durante o tempo de contratação, que funcionários, contratados e funcionários temporários sejam informados e instruídos a cumprir suas obrigações de segurança da informação e sejam informados sobre a possibilidade de estarem sujeitos a procedimentos disciplinares formais no caso de incidentes envolvendo segurança da informação que possam causar.
7.3 A Ferrero possui procedimentos disciplinares formais que podem ser acionados no caso de incidentes envolvendo segurança da informação causados por funcionários, contratados e funcionários temporários.
7.4 Quando uma pessoa deixa a Ferrero, ou quando há mudanças significativas nas funções e responsabilidades, todos os aspectos relacionados à segurança são administrados por meio da obrigação de devolução de todas as informações corporativas e equipamentos corporativos, atualização de direitos/autorizações de acesso, e lembretes para as pessoas envolvidas sobre suas obrigações contínuas relacionadas à privacidade, propriedade intelectual, termos contratuais remanescentes, entre outros, inclusive sobre a conduta ética delas esperada.
7.5 As pessoas autorizadas recebem instruções específicas sobre como excluir ou destruir as informações contidas em mídia de armazenamento antes de sua reutilização.
8. GESTÃO DE ATIVOS
8.1 A Ferrero possui um inventário completo de todos os seus ativos de informação e as pessoas detentoras desses ativos são identificadas, a fim de garantir sua responsabilidade pela segurança desses ativos. A Ferrero definiu políticas de “uso aceitável” para esses ativos.
8.2 As mídias de armazenamento de informação são gerenciadas, controladas, transportadas e descartadas de maneira a não comprometer o conteúdo das informações armazenadas.
8.3 A Ferrero implementou controles para evitar que documentos que contenham categorias especiais de dados pessoais fiquem sem supervisão, quando confiados a pessoas autorizadas e removidos de seus arquivos protegidos.
8.4 As Pessoas Autorizadas têm fácil acesso a trituradores de documentos em papel.
8.6 A Ferrero implementou uma política adequada de uso, armazenamento e destruição de documentos em papel.
8.5 Os documentos em papel que contenham categorias especiais de dados pessoais são apagados ou - preferencialmente - destruídos antes de sua reutilização.
9. CONTROLE DE ACESSO
9.1 Os requisitos organizacionais da Ferrero sobre controle de acesso aos ativos de informação estão claramente documentados em uma política/procedimento de controle de acesso, e o acesso à Rede e às conexões da Ferrero é restrito.
9.2 Os usuários são informados sobre suas responsabilidades em relação à manutenção de controle de acesso efetivo, como a seleção de senhas fortes e sua confidencialidade.
9.3 O acesso às informações é restrito em conformidade com a política/procedimento de controle de acesso da Ferrero, como por meio de sistemas de login seguros, gestão de senhas, controle de acesso privilegiado e restrição de acesso aos códigos-fonte.
9.4 A Ferrero controla o acesso a áreas sensíveis. As pessoas que acessam essas áreas sensíveis obtêm autorização prévia para esse fim.
9.5 As áreas sensíveis estão equipadas com ferramentas de controle de acesso eletrônico ou sujeitas à devida supervisão.
9.6 A Ferrero revisa regularmente os registros de acesso às áreas sensíveis, como salas de servidores, para detectar acessos não justificados.
10. SEGURANÇA FÍSICA E AMBIENTAL
10.1 A Ferrero definiu claramente perímetros e barreiras físicas, com controles de acesso físico e procedimentos internos para proteger suas instalações, escritórios, salas, áreas de carga/descarga, etc. contra o acesso não autorizado (proteção contra incêndio, inundação, terremoto, bombas, etc.).
10.2 A Ferrero pode confirmar que equipamentos e/ou informações não são retirados do local sem autorização prévia, e estão devidamente protegidos dentro ou fora das instalações.
10.3 As informações contidas em mídia de armazenamento são destruídas antes que essas mídias sejam descartadas ou reutilizadas.
10.4 O equipamento não supervisionado é protegido e há um espaço específico e uma política clara de controle para esse equipamento.
11. SEGURANÇA OPERACIONAL
11.1 Foram implementados e são mantidos controles de malware.
11.2 Backups adequados são executados e mantidos de acordo com a política de backup da Ferrero.
11.3 Os backups são testados. Os resultados são documentados e registrados.
12. AUTENTICAÇÃO E MONITORAMENTO
12.1 Os sistemas de marcação de tempo são sincronizados para garantir a consistência temporal dos dados de rastreamento.
12.2 A Ferrero segue o princípio do menor privilégio, permitindo acesso autorizado aos usuários com base em suas funções.
13. GESTÃO DE VULNERABILIDADE TÉCNICA
13.1 A Ferrero pode confirmar o desenvolvimento de um processo de gestão de vulnerabilidade para identificar os pontos fracos de segurança, utilizando fontes externas confiáveis para obter informações sobre vulnerabilidade e atribuindo uma classificação de risco às vulnerabilidades de segurança.
13.2 Os componentes do sistema e as atualizações de software relacionadas à correção de vulnerabilidades conhecidas são avaliadas para determinar sua aplicabilidade, testadas antes da instalação, conforme o caso, e implementadas em tempo hábil.
13.3 Foram implementadas regras sobre a instalação de software pelos usuários, a fim de evitar a criação de novas vulnerabilidades.
13.4 A Ferrero definiu e implementou um processo de teste de penetração em nível de aplicativo e de infraestrutura.
14. SEGURANÇA DA COMUNICAÇÃO
14.1 A segurança da rede e dos serviços de rede da Ferrero é protegida, por exemplo, por meio de segregação de rede.
14.2 A Ferrero implementou medidas de proteção para controlar a comunicação nos limites internos e externos da infraestrutura.
14.3 A Ferrero implementou políticas, procedimentos e acordos (por exemplo, acordos de não divulgação, acordos de Processamento de Dados Pessoais) referentes à transferência de informação de/para terceiros, inclusive por meio de mensagens eletrônicas.
14.4 A Ferrero implementou canais seguros (por exemplo, protocolos criptografados quando conectados à rede corporativa e/ou VPN no caso de conexões remotas) para a comunicação entre os sistemas de informação e a rede corporativa.
15. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DO SISTEMA
15.1 A Ferrero analisa e especifica os requisitos de controle de segurança, inclusive para aplicativos e transações na Internet.
15.2 As regras que regem a segurança de software/desenvolvimento de sistemas são definidas de acordo com a política interna da Ferrero.
15.3 As mudanças são geridas, executadas, revisadas e aprovadas (preferencialmente por meio de uma ferramenta) em um ambiente dedicado antes de serem migradas para a produção.
15.4 As alterações na configuração dos parâmetros do aplicativo são autorizadas antes da implementação e validadas após a execução.
15.5 Os pacotes de software não são modificados e os princípios de engenharia para a segurança do sistema são respeitados.
15.6 Os ambientes de desenvolvimento, teste e produção são separados para evitar acesso não autorizado ou alterações em sistemas de produção e repositórios de código.
15.7 Todos os dados de teste são cuidadosamente selecionados, gerados e controlados.
16. RELACIONAMENTO COM FORNECEDORES
16.1 A Ferrero implementou políticas, procedimentos, atividades de conscientização, etc. para proteger as informações organizacionais acessíveis pelos terceirizados de TI e outros fornecedores externos (sejam ou não subprocessadores) em toda a cadeia de suprimentos. Eles estão refletidos nos contratos por escrito assinados com essas entidades.
17. GESTÃO DE INCIDENTES ENVOLVENDO SEGURANÇA DA INFORMAÇÃO
17.1 A Ferrero implementou responsabilidades e procedimentos para gerir (relatar, avaliar, responder a e aprender com) eventos, incidentes e vulnerabilidades da segurança da informação, inclusive violações de dados pessoais, de maneira coerente e eficaz, de modo a permitir o envio de relatórios tempestivos ao controlador de dados, bem como a coleta de provas forenses adequadas, quando necessário.
18. ASPECTOS DA SEGURANÇA DA INFORMAÇÃO RELACIONADOS À GESTÃO DA CONTINUIDADE DOS NEGÓCIOS
18.1 A Ferrero planejou a continuidade da segurança da informação, e a implementou, testou e revisou como parte integrante de seus sistemas de gestão da continuidade dos negócios.
18.2 A Ferrero possui redundância suficiente para atender aos requisitos de disponibilidade.
19. CONFORMIDADE
19.1 A Ferrero identificou e documentou suas obrigações de segurança da informação perante as autoridades (inclusive superintendências) e outros terceiros, inclusive com respeito à propriedade intelectual, registros corporativos ou outros registros, privacidade e criptografia.
Última atualização: Junho de 2018