Aviso de Privacidade

A UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. deseja manter uma relação de confiança e transparência junto aos seus beneficiários e visitantes.

Em razão disso, elaboramos este documento para ajudar você a entender quais informações são coletadas, por qual motivo as coletamos, se as compartilhamos e com quem. Além disso, este aviso tem como objetivo informar os seus direitos relativos a essas informações e como exercê-los junto à UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.

Para nós, é prioridade zelar pela privacidade e pela segurança dos seus Dados Pessoais. Qualquer informação que você nos forneça será tratada de acordo com os limites aqui estabelecidos.
 
Estamos em constante evolução e, por isso, aprimoramos periodicamente os nossos compromissos, tendo como premissa sermos sempre melhores para os nossos cooperados, clientes, colaboradores, parceiros e a sociedade.
 
Criamos este Aviso de Privacidade para reafirmar nosso compromisso com a segurança, privacidade e a transparência no tratamento das suas informações, com o objetivo de viabilizar a operação da sua assistência à saúde pela Unimed Cataguases.
 
A presente política se aplica:

• Todos os beneficiários dos nossos planos de saúde;
• Usuários do site, estruturas físicas, recursos ou outros serviços da Unimed Cataguases.
• Cooperados;
• Funcionários;
• Prestadores de serviços pessoas físicas.
 
Esses dados podem se referir àqueles necessários para identificá-lo, para fins de cadastro, cumprimento da legislação, tais como seu nome, e-mail, telefone, endereço, CPF, ou ainda àqueles necessários para prover os serviços da Unimed Cataguases de forma eficiente e segura.
 
O tratamento de dados pode ser necessário para:

•        A confecção dos cadastros;

• Execução do seu contrato de assistência médica à saúde;

•        O cumprimento da legislação.
 
Dados tratados no âmbito da Unimed Cataguases:
 

• Nome/nome social;
• Sexo/gênero;
• Identidade;
• CPF;
• Endereços físicos e eletrônicos;
• Estado civil;
• Telefones;
• Naturalidade/nacionalidade;
• Número do cartão nacional de saúde;
• Dados bancários.

 
Por ser uma operadora de planos de saúde, gestora de saúde a Unimed Cataguases trata dados de saúde decorrentes da própria prestação dos seus serviços. 
 
Responsável pelo tratamento dos dados:
 
A atividade desenvolvida por essa Cooperativa é complexa, composta por diversas outras atividades correlatas, sendo que a Unimed Cataguases é uma das controladoras dos dados pessoais relacionadas ao seu plano de saúde. As entidades da rede assistencial, em relação a determinadas atividades por elas levadas a efeito, também são controladoras.

A ANS – Agência Nacional de Saúde Suplementar, por exemplo, também é controladora, assim como as demais operadoras do Sistema Unimed e a Unimed do Brasil. 

Se o seu plano for coletivo, em razão da natureza deste, a sua contratante também é controladora de dados pessoais no âmbito do plano de saúde. 
 
Quais são os direitos do titular de dados pessoais?
  
De acordo com a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD), você tem o direito de:
 

• Acessar
• Retificar
• solicitar a portabilidade de seus dados
• requisitar anonimização
• bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei
• apagar dados, além de autorizar o tratamento desses dados por nós

 
O direito à eliminação/apagamento/expurgo de dados/anonimização não poderá ser feito em prejuízo de direitos da Unimed Cataguases, tais como o direito a ampla defesa, para execução do contrato, para auditorias, para a verificação de cumprimento de contrato com prestadores de assistência à saúde que componham ou não a rede, dentre outros.

Os dados serão mantidos pela Unimed Cataguases, identificados os beneficiários, até que sejam esgotados os prazos prescricionais ou decadenciais previstos na legislação nacional.

Nos atendimentos presenciais, o tratamento de dados (preenchimento de formulários, identificação pessoal, entrega de informações e assemelhados) será presumidamente consentido.
 
Os seus direitos poderão ser solicitados por meio do seguinte email: dpo@unimedcataguases.coop.br
 
2. Por que coletamos seus dados pessoais?
 
A prestação de serviços de assistência à saúde por meio de um plano de saúde não é possível sem o tratamento de dados ou com tratamento de dados exclusivamente sob a forma anonimizada. Entretanto, mantemos os seus dados de forma segura.
 
As bases legais que permitem o tratamento de dados pela Unimed Cataguases são as dispostas na LGPD, tais como: 
 
• Execução do plano de saúde ou na fase pré-contratual;
• Cumprimento de legislação e contratos firmados;
• Tutela da saúde dos beneficiários;
• Exercício regular de direitos;
• Proteção da vida ou da incolumidade física do titular dos dados ou de terceiros;
• Interesse legítimo de controlador ou de terceiros;
• Proteção do crédito;
• Garantia da prevenção à fraude e à segurança do titular.
 
3. Como utilizamos seus dados pessoais?

3.1 Dados informados pelos usuários
  
Na maioria das vezes, nós utilizamos as informações com o objetivo de identificar você, tais como seu nome, CPF, telefone, endereço, e-mail, e, ainda, aquelas necessárias para prover os serviços de forma eficiente e segura, por exemplo, enviar comunicações assistenciais de saúde, enviar o boleto de pagamento, para regularização de débitos e outras informações relativas ao seu contrato. 
 
Além disso, usamos seus dados para identificá-lo em atendimentos na rede de cobertura do seu plano.
 
Seus dados também são utilizados para identificar e autenticar seu acesso no app e/ou Portal Corporativo da Unimed Cataguases.
 
Coletamos, ainda, informações que os usuários enviam quando entram em contato com o atendimento ao cliente da Unimed Cataguases, seja em nossa loja física, por meio dos telefones de contato, acesso ao sítio, app ou através dos cookies.
 
3.2 Dados criados durante o uso dos nossos serviços
 
Podemos, ainda, coletar e tratar informações de utilização relacionadas ao uso de nossos serviços, inclusive o tipo de serviço solicitado ou prestado, informações como local, data e hora em que o serviço foi prestado, se houve e qual o valor de coparticipação gerado. 
 
Em alguns casos, podemos fazer essa coleta por meio de cookies e tecnologias similares que criam e mantêm identificadores únicos.

Ao visitar um site, por exemplo, informações pessoais como nome, e-mail e interesses dos usuários podem ser armazenadas em um Cookie. Trata-se de uma prática comum no âmbito da internet.

Os cookies ajudam o website a se lembrar de informações sobre a visita, como o seu idioma, por exemplo. Isso pode tornar a sua próxima visita mais fácil e o site mais útil para você.

A Unimed Cataguases utiliza apenas cookies necessários, ou seja, aqueles que são essenciais para que o website carregue adequadamente e permita a sua navegação, bem como faça o uso de todas as funcionalidades disponíveis.

Também podemos usar esses dados para serviços de atendimento ao cliente, para fins de segurança, para melhorar nossos produtos, serviços e para análises.
 
Podemos coletar dados quando o usuário os fornece em sintonia com a LGPD através ações de marketing e promocionais.
 
3.3 Como e com quem compartilhamos seus dados?
 
Compartilhamos seus dados para o cumprimento de obrigações legais, ordens judiciais, ou por determinação de autoridades nacionais competentes, bem como para responder a solicitações de órgãos públicos ou governamentais, de acordo com a legislação vigente.
 
O compartilhamento de dados com outras entidades, públicas ou privadas, pela Unimed Cataguases, ocorre de acordo com as bases legais dispostas nos artigos 7º e 11 da LGPD, além dos princípios nela contidos. A Unimed Cataguases se preocupa com a segurança e com a privacidade dos seus dados, utilizando soluções tecnológicas e de processos seguros.
 
• No caso de beneficiários, pode ser necessário compartilhar, em algum momento, os seus dados pessoais com todo e qualquer prestador da rede da Unimed Cataguases, tais como – mas não se limitando - médicos, clínicas, hospitais e laboratórios. Esse compartilhamento é essencial para a prestação de serviços de assistência médica à saúde.

• Ainda no caso de beneficiários, há compartilhamento com outras Unimed’s e com a Unimed do Brasil, quando esse mesmo beneficiário precisa ser atendido em rede de outra Unimed, ou, ainda, quando realizamos o atendimento do cliente de outra Unimed, em razão do intercâmbio de rede dentro do Sistema.

• Há compartilhamento de dados pessoais com órgãos públicos ou governamentais (especialmente com a Agência Nacional de Saúde e Ministério da Saúde), de acordo com a legislação vigente, para o cumprimento de obrigações legais, ordens judiciais, ou por determinação de autoridades nacionais competentes.

• Se você for beneficiário e o seu plano for coletivo, em razão da natureza deste, a contratante também é controladora de dados pessoais no âmbito do plano de saúde em relação a algumas atividades e há compartilhamento de dados pessoais entre ela e a Unimed Cataguases, para que seja possível prestar os serviços e verificar se o contrato está sendo executado conforme contratado.
 
• Há compartilhamento de dados com instituições financeiras para a execução de serviços de emissão de documentos de cobrança e com gráficas ou empresas assemelhadas.

• Se você for beneficiário, pode haver compartilhamento de dados com empresas especializadas em cobrança e serviços de proteção ao crédito, para as ações de recebimento de valores pela Unimed Cataguases.

• Pode haver compartilhamento de dados com empresas para armazenamento de dados em ambiente externo, em nuvem ou datas centers, para a prestação de nossos serviços e execução de seu contrato.

As trocas de informações via internet são feitas com a utilização de ferramentas de segurança.
  
4. Como arquivamos os seus dados pessoais?
 
Os dados são arquivados obedecendo à temporalidade necessária para a realização das finalidades descritas acima e/ou de acordo com prazos legais vigentes. Em caso de litígio pendente, os dados podem ser conservados até trânsito em julgado da decisão.
 
Todos os meios técnicos e de conscientização são implementados pela Unimed Cataguases para manter os seus dados seguros, para evitar a perda, roubo, utilização equivocada, alteração indevida, acesso não autorizado e apropriação indevida de dados dos clientes, colaboradores, cooperados, pacientes e usuários em geral.
 
A navegação no nosso website, e a utilização do nosso app via rede aberta de internet pode trazer risco por não ser possível a completa eliminação de um eventual acesso indevido. Assim, cabe ao usuário a utilização e medidas seguras para a navegação.
 
Como descartamos seus dados?

Seus dados são descartados de forma segura e conforme legislações vigentes.
 
5. Ainda há dúvidas?
 
Em caso de dúvidas relacionada ao tratamento dos seus dados pessoais ou a esta política, entre em contato com a Encarregada de Dados Pessoais – Indiara Amábili da Silva Ferreira - pelo e-mail dpo@unimedcataguases.coop.br
 
Por derradeiro, registra-se que este Aviso de Privacidade será revisado periodicamente para garantir a sua atualização e adequação às mudanças legais e normativas, tendo sido revisado e aprovado em 11 de abril de 2024, quando foi disponibilizada essa última versão no site da Cooperativa.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
 
A Política de Segurança da Informação, na UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., aplica-se a todos os funcionários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento dessa Cooperativa. 

Todo e qualquer usuário de recursos e informações, físicas ou digitais da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. possui a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática. 

A violação desta política de segurança é qualquer ato que:
 

1. Exponha a UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados e/ou de informações ou ainda da perda de equipamento.
2. Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados corporativos.
3. Envolva o uso de dados para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou qualquer outro dispositivo governamental.

OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO: Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..  
 
MISSÃO DO SETOR DE TECNOLOGIA DA INFORMAÇÃO: Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação necessária para a realização do negócio da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.. Ser o gestor do processo de segurança, juntamente com os Encarregados pela Proteção de Dados Pessoais, e proteger as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações para esta finalidade.

É dever de todos na UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. considerar a informação como um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. e deve sempre ser tratada profissionalmente.  
 
CLASSIFICAÇÃO DA INFORMAÇÃO: É de responsabilidade do Coordenador de cada área estabelecer critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) de acordo com a tabela abaixo:

1 – Pública
2 – Interna
3 – Confidencial
4 – Restrita 

Conceitos:
 

• • Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. 

 

• • Informação Interna: É toda informação que só pode ser acessada por funcionários da Cooperativa. São informações que possuem um grau de confidencialidade que pode comprometer a imagem desta. 

 

• • Informação Confidencial: É toda informação que pode ser acessada por usuários da Cooperativa e por parceiros da mesma. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da Cooperativa ou ao negócio do parceiro.

 

• •  Informação Restrita: É toda informação que pode ser acessada somente por usuários da Cooperativa, explicitamente indicado, pelo nome ou por área a qual pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia da Unimed Cataguases. Todo Coordenador deve orientar seus subordinados a não circularem informações e/ou mídias consideradas internas, confidenciais e/ou restritas, como também não deixar relatórios nas impressoras e mídias em locais de fácil acesso, tendo sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho, não deixar nenhum relatório interno e/ou mídia confidencial e/ou restrita sobre suas mesas.

 

• DADOS DOS FUNCIONÁRIOS

A UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. se compromete a não acumular ou manter intencionalmente os Dados Pessoais de Funcionários além daqueles relevantes na condução do seu negócio. Todos os Dados Pessoais de Funcionários que porventura sejam armazenados serão considerados dados confidenciais. Estes dados pessoais não serão usados para fins diversos daqueles para os quais foram coletados.

Dados Pessoais de Funcionários não serão transferidos para terceiros, exceto quando exigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso, a lista de endereços eletrônicos (e-mails) usados pelos funcionários da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.. Por outro lado, fica expressamente proibido o armazenamento de dados pessoais nas instalações da Cooperativa, sem a prévia e expressa autorização por parte da diretoria e/ou do setor de tecnologia da informação.

Tais dados jamais poderão ser armazenados nos diretórios dos Servidores da Cooperativa, em qualquer outro ativo digital e de informática a ela pertencente, sendo certo que jamais poderão fazer parte da rotina de backup.

A qualquer tempo, a UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. poderá realizar, através do setor de tecnologia da informação, auditoria nas máquinas (desktops) de trabalho dos colaboradores, com o objetivo de verificar o cumprimento dos quesitos de segurança e conformidades operacionais.
 

• ADMISSÃO E DEMISSÃO DE FUNCIONÁRIOS / TEMPORÁRIOS / ESTAGIÁRIOS

O responsável pelo Departamento Pessoal da Cooperativa deverá informar ao setor de Informática, toda e qualquer movimentação de temporários e/ou estagiários, e admissão/demissão de funcionários, para que os mesmos possam ser cadastrados ou excluídos nos sistemas da Cooperativa. Isto inclui o fornecimento de sua senha (“password”) e registro do seu nome como usuário no sistema (user-id), pelo setor de Informática.

Cabe ao setor solicitante da contratação a comunicação ao setor de Informática sobre as rotinas a que o novo contratado terá direito de acesso. No caso de temporários e/ou estagiários deverá também ser informado o tempo em que o mesmo prestará serviço à Cooperativa, para que na data de seu desligamento possam também ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema. No caso de demissão, o setor responsável deverá comunicar o fato o mais rapidamente à Informática, para que o funcionário demitido seja excluído do sistema.

Cabe ao setor de Departamento Pessoal dar conhecimento e obter as devidas assinaturas de concordância dos novos contratados em relação à Política de Segurança da Informação da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.. Nenhum funcionário, estagiário ou temporário, poderá ser contratado, sem que tenha concordado, de forma expressa, com esta política.
 

• TRANSFERÊNCIA DE FUNCIONÁRIOS / TEMPORÁRIOS / ESTAGIÁRIOS

Quando um funcionário for promovido ou transferido de seção, o respectivo coordenador deverá comunicar o fato ao Setor de Informática, para que sejam feitas as adequações necessárias para o acesso do referido funcionário ao sistema informatizado da Cooperativa.
 

• PROGRAMAS ILEGAIS

A UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. respeita os direitos autorais dos programas que usa e reconhece que deve pagar o justo valor por eles, não recomendando o uso de programas não licenciados nos computadores da Cooperativa.  É terminantemente proibido o uso de programas ilegais (sem licenciamento) na UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..

Os usuários não podem, em hipótese alguma, instalar este tipo de “software” (programa) nos equipamentos da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., mesmo porque somente o pessoal da área de TI possui autorização para a instalação de programas previamente autorizados dentro da Política de Segurança da Cooperativa. Periodicamente, o Setor de Informática fará verificações nos dados dos servidores e/ou nos computadores dos usuários, visando a garantir a correta aplicação desta diretriz. Caso sejam encontrados programas não autorizados, estes deverão ser removidos dos computadores.

Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam perante a Cooperativa por quaisquer problemas ou prejuízos causados oriundos desta ação, estando sujeitos às sansões previstas neste documento.
  

• PERMISSÕES E SENHAS

As permissões e senhas para o acesso aos sistemas da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. serão fornecidas pelo setor de TI de acordo com o departamento de trabalho de cada colaborador. A saber:

Todo usuário para acessar os dados da rede da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., deverá possuir um login e senha, previamente cadastrados pelo pessoal de TI.

Quem deve fornecer os dados referentes aos direitos do usuário é o responsável direto pela sua chefia, que deve entrar em contato ao departamento de TI. 

Quando da necessidade de cadastramento de um novo usuário para a utilização da “rede”, dos sistemas ou dos equipamentos de informática da Cooperativa, o setor de origem do novo usuário deverá comunicar esta necessidade ao setor de TI, por meio de chamado interno, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos.

A área de TI fará, no prazo de até 24 (vinte e quatro) horas, o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada imediatamente após o primeiro login. Por segurança, a área de TI recomenda que as senhas tenham, no mínimo, 10 caracteres alfanuméricos, contendo, ainda, caracteres especiais, letras maiúsculas e minúsculas, para que não sejam facilmente copiadas.

Tais senhas e permissões de acesso deverão ser alteradas em um período máximo de 60 (sessenta) dias.

Fica ajustado, ainda, que após 3 (três) tentativas de login mal-sucedidas, haverá o bloqueio definitivo do acesso, com a necessidade de criação de nova senha para aquele usuário/colaborador.

Todos os usuários responsáveis pela aprovação eletrônica de documentos (exemplo: pedidos de compra, solicitações e etc) deverão comunicar ao Setor de TI qual será o seu substituto quando de sua ausência da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., para que as permissões possam ser alteradas (delegação de poderes) também no prazo de até 24 (vinte e quatro) horas. 

Quando houver a necessidade de acesso para usuários externos, sejam eles temporários ou não, a permissão de acesso deverá ser bloqueada tão logo este tenha terminado o seu trabalho e se houver, no futuro, nova necessidade de acesso, deverá então ser desbloqueada pelo pessoal de TI.

Em caso de desligamento de um colaborador, o setor de Tecnologia da Informação deverá ser comunicado acerca desse desligamento para que proceda, imediatamente, à revogação de toda e qualquer permissão de acesso a dados e/ou sistemas por parte do colaborador, incluindo, mas não se limitando ao acesso às redes sociais.
 

• COMPARTILHAMENTO DE DADOS

Não é permitido o compartilhamento de pastas nos computadores e desktops da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., salvo arquivos e pastas previamente configurados pela TI. Todos os dados do sistema de gestão deverão ser armazenados nos Servidores e a autorização para acessá-los deverá ser fornecida pela autenticação no Servidor. Os colaboradores responsáveis pela TI estão orientados a rastrear, periodicamente, todos os compartilhamentos existentes nas estações de trabalho e garantir que dados considerados confidenciais e/ou restritos não estejam armazenados na rede.

Os compartilhamentos de impressoras devem estar sujeitos às autorizações de acesso pelo administrador TI.  Não são permitidos na Cooperativa o compartilhamento de dispositivos móveis tais como pen-drivers, HD externos e outros.
 

• BACKUP (CÓPIA DE SEGURANÇA DOS DADOS)

Todos os dados da Cooperativa deverão ser protegidos através de rotinas sistemáticas de Backup. Cópias de segurança do sistema de gestão e servidores de rede são de responsabilidade do setor interno de TI, que serão feitas diariamente. 
 
Com relação aos arquivos extra sistema de gestão tais como: ofícios, planilhas, formulários e outros, deverão ser realizados backups pelo próprio colaborador.

A frequência dos backups será definida com base na criticidade dos dados e sistemas, levando em consideração o impacto de uma eventual perda de dados. 

A tabela abaixo apresenta a frequência mínima:
 

Tipo de Backup	Frequência Mínima	Observações
Backup Completo	Diário	Deve ser realizado ao menos uma vez por dia para garantir a recuperação de todos os dados.
Backup Incremental	De 12 em 12 horas	Realizado após o backup completo, armazenando somente as alterações realizadas desde o último backup completo ou incremental.

Frequências adicionais de backup podem ser necessárias para sistemas críticos ou com alta taxa de mudança de dados.

A Unimed Cataguases utilizará as seguintes estratégias de backup:
 

• Backup Completo: Cópia de segurança completa de todos os dados, utilizado como base para os backups incrementais.
• Backup Incremental: Cópia de segurança que armazena apenas os dados alterados desde o último backup completo.

A escolha entre os tipos de backup será feita com base na criticidade dos dados, no tempo de recuperação desejado e na capacidade de armazenamento disponível.

O tempo de retenção das cópias de segurança também será definido com base na criticidade dos dados, nos tipos de dados e nas exigências legais, seguindo, sempre que possível, a tabela de temporalidade dessa organização.

As cópias de segurança serão armazenadas em múltiplos locais, incluindo, mas não se limitando, ao armazenamento em disco, em nuvem e em “fita” para garantir a proteção contra desastres. 

Serão utilizados os seguintes métodos:
 

• Armazenamento Local: Cópias de segurança armazenadas em servidores localizados nas instalações da Unimed Cataguases, além do armazenamento em “fita”. A segurança física desses locais será garantida através de medidas de acesso controlado, monitoramento e proteção contra incêndios.
• Armazenamento em Nuvem: Cópias de segurança armazenadas em nuvem.

A lista completa dos sistemas incluídos no programa de backup será mantida atualizada e disponível para consulta junto ao setor de Tecnologia da Informação.

A lista será revisada periodicamente para incluir novos sistemas e excluir sistemas obsoletos.

Testes de recuperação de backups serão realizados periodicamente para garantir a integridade das cópias e a eficácia do processo de recuperação. A periodicidade dos testes será definida para cada sistema, considerando sua criticidade (avaliada pelos profissionais de Tecnologia da Informação).
  

•  CÓPIAS DE SEGURANÇA DE ARQUIVOS EM DESKTOPS

É proibido o armazenamento de dados em desktops individuais, entretanto, existem alguns programas fiscais que não permitem o armazenamento em rede. Nestes e em outros casos, o pessoal de TI deverá alertar ao usuário que ele deve fazer backup dos dados de sua máquina periodicamente.

É de responsabilidade dos próprios usuários a elaboração de cópias de segurança (“backups”) de dados e outros arquivos ou documentos, desenvolvidos pelos funcionários, em suas estações de trabalho, e que não sejam considerados de fundamental importância para a continuidade dos negócios da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..

No caso das informações consideradas de fundamental importância para a continuidade dos negócios da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., o Setor de Informática disponibilizará um diretório onde cada usuário deverá manter estas informações. Estas informações serão incluídas na rotina semanal de backup da Informática.
 

• GESTÃO DE FIREWALL

A configuração e a implementação dos firewalls devem ser realizadas por profissionais de TI qualificados e experientes, seguindo as melhores práticas de segurança da informação. A configuração deve ser baseada em um modelo de "menor privilégio", permitindo apenas o tráfego estritamente necessário.

A rede deve ser segmentada em zonas de segurança, com firewalls implementando o controle de tráfego entre as zonas.

Os firewalls devem ser monitorados continuamente para detectar atividades suspeitas ou tentativas de intrusão. Logs de eventos devem ser regularmente revisados e analisados.

Toda a configuração dos firewalls, incluindo as regras e as configurações de segurança, devem ser completamente documentadas.

A atualização dos firewalls é crucial para garantir sua eficácia na proteção contra novas ameaças. As seguintes diretrizes devem ser seguidas:
 

• Atualizações de Firmware: As atualizações de firmware dos firewalls devem ser aplicadas com regularidade, seguindo o cronograma de liberação do fabricante e as recomendações de segurança. Antes da aplicação de qualquer atualização, um teste completo deve ser realizado em ambiente de teste para verificar a compatibilidade e a estabilidade.
• Atualizações de Assinaturas: As assinaturas de vírus, malwares e outras ameaças devem ser atualizadas diariamente ou com a frequência recomendada pelo fabricante. O sistema de atualização deve ser configurado para atualizações automáticas sempre que possível.
• Gestão de Mudanças: As atualizações de firewalls devem ser gerenciadas seguindo os procedimentos de gestão de mudanças detalhados nesta mesma Política de Segurança da Informação, garantindo a aprovação e o controle adequado do processo.
• Monitoramento Pós-Atualização: Após a atualização, os firewalls devem ser monitorados para garantir que estejam funcionando corretamente e que não haja impactos negativos no desempenho da rede.

Todos os incidentes relacionados aos firewalls devem ser trabalhados seguindo o plano de resposta a incidentes desta organização.
 

•  SEGURANÇA E INTEGRIDADE DOS DADOS

O gerenciamento do(s) banco(s) de dados é responsabilidade exclusiva do Setor de TI, juntamente com a DPO, assim como a manutenção, a alteração e a atualização de equipamentos e programas.

O acesso à Internet será autorizado para os usuários que necessitarem da mesma para o desempenho das suas atividades profissionais na UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..  Sites que não contenham informações que agreguem conhecimento profissional e/ou para o negócio não devem ser acessados. O uso da Internet será monitorado pelo setor de Informática.

Todos os funcionários terão permissão para uso (navegação) da Internet, com perfil restrito, baseado nas recomendações do Supervisor de Informática. A UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. utiliza Firewall, um dispositivo de segurança de rede responsável por monitorar todo o tráfego de entrada e saída. Ele é uma espécie de filtro que permite ou bloqueia tráfegos específicos, de acordo com as regras internas de segurança.

Não é permitido instalar programas provenientes da Internet nos microcomputadores da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. sem a expressa anuência do setor de Informática, exceto os programas oferecidos por órgãos institucionais do Sistema Unimed, públicos federais, estaduais e/ou municipais. Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros. Quando navegando na Internet, é proibida a visualização, a transferência (downloads), a cópia ou qualquer outro tipo de acesso a sites:
 

• De estações de rádio;
• De conteúdo pornográfico ou relacionados a sexo;
• Que defendam atividades ilegais;
• Que menosprezem, depreciem ou incitem o preconceito a determinadas classes;
• Que promovam a participação em salas de discussão de assuntos não relacionados aos negócios da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.;
• Que promovam discussão pública sobre os negócios da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., a menos que autorizado pela Diretoria;
• Que possibilitem a distribuição de informações de nível “Confidencial”;
• Que permitam a transferência (downloads) de arquivos e/ou programas ilegais.

 

• PROPRIEDADE INTELECTUAL

É de propriedade da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a Cooperativa.
 

•  USO DO CORREIO ELETRÔNICO (E-MAIL)

O correio eletrônico fornecido pela UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. é um instrumento de comunicação interna e externa, para a realização do negócio dessa Cooperativa. As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., não podem ser contrárias à legislação vigente e nem aos princípios éticos da mesma.

O uso do correio eletrônico é individual, intransferível, destinado para o uso profissional e o usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que:
 

• Possam trazer prejuízos a outras pessoas;
• Contenham declarações difamatórias, discriminatórias e linguagem ofensiva;
• Sejam hostis e inúteis;
• Sejam relativas a “correntes”, de conteúdos pornográficos ou equivalentes;
• Possam prejudicar a imagem da Cooperativa;
• Possam prejudicar a imagem de outras empresas;
• Sejam incoerentes com as políticas da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.;
• Estejam fora do escopo profissional e de negócio da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..

Para incluir um novo usuário no correio eletrônico, a respectiva Coordenação deverá abrir um chamado interno, direcionado ao Setor de Informática, que providenciará a inclusão do mesmo. A utilização do “e-mail” deve ser criteriosa e profissional.

O Setor de Informática fará auditorias no servidor de correio e/ou nas estações de trabalho dos usuários, sempre que julgar necessário, visando à segurança, as conformidades operacionais e institucionais da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..

Fica terminantemente proibido utilizar o e-mail institucional (...@unimedcataguases.coop.br) fornecido aos colaboradores para a realização de cadastro em sites de compras e qualquer outro site que não seja autorizado pelo setor de TI da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA..
 

• NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS

O Setor de Informática é responsável pela aplicação da Política da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. em relação à definição de compra e substituição de “software” e “hardware”. Qualquer necessidade de novos programas (“softwares”) ou de novos equipamentos de informática (hardware) deverá ser discutida com o responsável pelo setor de Informática. Não é permitida a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários, salvo quando autorizado expressamente pelo setor de TI.
 

• GESTÃO DE MUDANÇAS NO AMBIENTE DE TI E NOS SISTEMAS DE INFORMAÇÃO

Este capítulo abrange todas as mudanças que impactam os sistemas de informação, infraestrutura de TI e aplicações da Unimed Cataguases, incluindo, mas não se limitando a:

- Implementação de novos sistemas e aplicações;
- Atualizações de software e hardware;
- Alterações na configuração de sistemas e redes;
- Mudanças nos processos operacionais relacionados à TI;
- Implementação de novas tecnologias;
- Remoção de sistemas e aplicações;
- Mudanças em políticas e procedimentos de segurança da informação.

O processo de gestão de mudanças segue uma abordagem estruturada e controlada, composta pelas seguintes etapas:

- Solicitação de Mudança: Todas as solicitações de mudança devem ser formalmente registradas através de um chamado interno, endereçado ao Setor de Tecnologia da Informação, contendo, no mínimo:
 

• Descrição detalhada da mudança proposta;
• Justificativa da mudança;
• Impacto da mudança (operacional, segurança, financeiro);
• Cronograma proposto para implementação;
• Responsáveis pela implementação e aprovação;
• Avaliação de riscos e controles de segurança.

O setor de Tecnologia da Informação, juntamente com a Coordenação respectiva e a DPO da singular avaliarão a solicitação, analisando os riscos potenciais e o impacto da mudança no negócio. Esta avaliação considerará:
 

• Conformidade com as políticas de segurança da informação;
• Impacto na disponibilidade, integridade e confidencialidade dos dados;
• Impacto nos serviços prestados;
• Recursos necessários para implementação;
• Possíveis impactos em outros sistemas ou áreas.

A aprovação dependerá da classificação de risco e do impacto da mudança.

A implementação será realizada conforme o plano aprovado, seguindo os procedimentos e controles definidos. O progresso da implementação será monitorado e documentado. Testes rigorosos devem ser realizados antes da implantação em produção.

Antes da implementação em produção, a mudança passará por testes completos, visando a garantir a sua funcionalidade e segurança, minimizando riscos e impactos. Os testes devem incluir testes unitários, de integração e de aceitação do usuário.

Após a aprovação nos testes, a mudança será implementada em produção, seguindo um plano de implantação definido e previamente aprovado. A implementação deve ser realizada em horários de menor impacto operacional, sempre que possível.

Após a implementação, a mudança será monitorada por um período definido para garantir sua estabilidade e funcionamento conforme o esperado. Qualquer problema ou desvio será prontamente investigado e corrigido.

Toda a documentação relacionada ao processo de gestão de mudanças deve ser mantida atualizada e arquivada pelo prazo de 05 (cinco) anos, incluindo solicitações, aprovações, planos de implementação, relatórios de teste e registros de monitoramento.

A equipe de TI e os usuários afetados pelas mudanças devem receber treinamento adequado para garantir a utilização correta dos novos sistemas e aplicações.

Independentemente de mudança na estrutura tecnológica dessa singular, todos os dispositivos e sistemas operacionais devem estar operando com a última versão disponibilizada pelo fabricante, sendo certo que caberá aos responsáveis pelo setor de tecnologia da informação verificar a disponibilidade de novas atualizações semanalmente.
 

• GERENCIAMENTO DE PROBLEMAS ENVOLVENDO A ESTRUTURA DE TI

Este capítulo abrange a gestão de problemas em todos os componentes da infraestrutura de TI da Unimed Cataguases, incluindo, mas não se limitando a:
 

• Hardware (servidores, estações de trabalho, dispositivos de rede, etc.);
• Software (sistemas operacionais, aplicações, banco de dados, etc.);
• Redes (LAN, WAN, internet, etc.);
• Serviços (e-mail, acesso remoto, etc.);
• Segurança da informação (incidentes de segurança, vulnerabilidades, etc.).

O processo de gestão de problemas se baseia em um ciclo PDCA (Planejar, Fazer, Checar, Agir), sendo certo que os multicitados problemas, envolvendo a infraestrutura de TI, poderão ser identificados por meio de:
 

• Chamado interno: Através de email;
• Monitoramento de sistemas: Através de ferramentas de monitoramento que detectam falhas ou anomalias;
• Logs de sistemas: Análise de logs para identificar erros e problemas;
• Alertas automáticos: Notificações geradas por sistemas de monitoramento.

Todos os problemas identificados devem ser tratados pelo setor de Tecnologia da Informação desta singular, com a abertura de um chamado que contenha, sempre que possível:
 

• Data e hora da ocorrência;
• Descrição detalhada do problema;
• Impacto do problema (operacional, financeiro, segurança);
• Prioridade do problema;
• Usuário afetado (se aplicável);
• Localização do problema (se aplicável);
• Informações relevantes para diagnóstico.

Após o registro, o problema será analisado pelos responsáveis técnicos, que buscarão identificar a causa raiz do mesmo. Esta análise pode incluir:
 

• Revisão de logs de sistemas;
• Verificação de configurações;
• Testes de funcionalidades;
• Consulta a documentação;
• Contato com fornecedores.

Após a identificação da causa raiz, será elaborada uma solução para o problema. A solução deve ser testada e implementada, garantindo a resolução do mesmo e a restauração do serviço.

Após a implementação da solução, o problema deve ser verificado para garantir a sua resolução completa. O registro do problema será atualizado com o resultado da solução e fechado após a confirmação da resolução.

Para evitar a recorrência, ações preventivas devem ser implementadas, como:
 

• Atualização de softwares e firmwares;
• Implementação de patches de segurança;
• Melhorias na infraestrutura;
• Atualização da documentação;
• Treinamento de usuários;
• Análise de causa raiz profunda, para identificar falhas sistêmicas.

O processo de gestão de problemas deve ser monitorado regularmente para identificar oportunidades de melhoria.
 

• DIRETRIZES PARA A UTILIZAÇÃO DE DISPOSITIVOS MÓVEIS

Este capítulo estabelece as regras, direitos, obrigações e responsabilidades relacionadas à utilização de dispositivos móveis corporativos (smartphones, chips, tablets, notebooks etc.) pelos colaboradores da Unimed Cataguases, garantindo a segurança da informação, a conformidade legal e a proteção dos dados da organização.

Sempre que necessário, a Unimed Cataguases fornecerá os dispositivos móveis corporativos aos colaboradores para o desempenho das suas funções. O uso de dispositivos pessoais para acesso a sistemas e dados corporativos só será permitido mediante autorização expressa e com a instalação dos softwares e configurações de segurança exigidos pela Unimed Cataguases e que serão definidos pelo setor de Tecnologia da Informação.

Os dispositivos móveis corporativos são propriedade da Unimed Cataguases que reserva o direito de monitorar e acessar tais dispositivos a qualquer momento, por razões de segurança ou conformidade legal.

Os colaboradores são responsáveis por manter a confidencialidade de suas senhas nos moldes estabelecidos neste documento e por adotar medidas de segurança para proteger os seus dispositivos contra acessos não autorizados.

Os dispositivos móveis corporativos serão configurados com softwares de segurança, incluindo antivírus, gerenciamento de dispositivos móveis (MDM) e outras ferramentas de segurança definidas pela Unimed Cataguases. A desinstalação ou alteração desses softwares sem autorização é proibida.

A instalação de aplicativos em dispositivos móveis corporativos deverá ser autorizada pela Unimed Cataguases, especialmente pelo setor de Tecnologia da Informação. O uso de aplicativos não autorizados é proibido.

Os colaboradores devem manter os dispositivos móveis corporativos atualizados com as últimas versões de software e sistemas operacionais.

Os dispositivos móveis corporativos devem ser utilizados exclusivamente para finalidades relacionadas ao trabalho. O uso para fins pessoais é restrito e deverá ser previamente autorizado.

Os colaboradores devem proteger os dados corporativos armazenados nos dispositivos móveis, evitando o compartilhamento de informações confidenciais em ambientes não seguros, observando sempre as diretrizes da Lei Geral de Proteção de Dados - LGPD.

O acesso remoto a sistemas e dados da Unimed Cataguases através de dispositivos móveis deverá ser realizado somente por meio de canais seguros e autorizados.

O uso da internet em dispositivos móveis corporativos deve ser realizado com responsabilidade e de forma a não violar as políticas de uso da internet da Unimed. O acesso a sites impróprios ou ilegais é proibido.

Os colaboradores têm o direito de utilizar os dispositivos móveis corporativos para o desempenho de suas funções, desde que respeitem as políticas e procedimentos estabelecidos.

Os colaboradores têm a obrigação de utilizar os dispositivos móveis corporativos de forma responsável, segura e em conformidade com as políticas da Unimed Cataguases. Devem também relatar quaisquer problemas ou incidentes de segurança relacionados aos dispositivos.

Os colaboradores são responsáveis pela segurança e pelo uso adequado de seus dispositivos móveis corporativos. Qualquer violação das políticas estabelecidas poderá resultar em sanções disciplinares.

Qualquer incidente de segurança relacionado ao uso de dispositivos móveis corporativos, como perda, roubo ou suspeita de acesso não autorizado, deve ser imediatamente relatado à área de TI da Unimed Cataguases.

A Unimed Cataguases seguirá um processo de resposta a incidentes para tratar e solucionar quaisquer problemas de segurança relacionados a dispositivos móveis.
 

•  RESPONSABILIDADE DOS COORDENADORES/GERENTES

Os coordenadores/gerentes são responsáveis pelas definições dos direitos de acesso de seus funcionários aos sistemas e informações da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., cabendo a eles verificarem se os mesmos estão acessando exatamente as rotinas compatíveis com as suas respectivas funções, usando e conservando adequadamente os equipamentos, além de manter cópias de segurança de seus arquivos individuais, conforme estabelecido nesta política.

O Setor de Informática fará auditorias periódicas do acesso dos usuários às informações, verificando:
 

• • Que tipo de informação o usuário pode acessar;
  • Quem está autorizado a acessar determinada rotina e informação;
  • Quem acessou determinada rotina e informação;
  • Quem autorizou o usuário a ter permissão de acesso à determinada rotina e informação;
  • Que informação e rotina determinado usuário acessou;
  • Quem tentou acessar qualquer rotina e informação sem estar autorizado.

 

• SISTEMAS DE TELECOMUNICAÇÕES 

O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA., assim como o uso de eventuais ramais virtuais instalados nos computadores é responsabilidade do setor de Informática, de acordo com as definições da Diretoria e da Gerência da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.. 
 

•  USO DE ANTIVÍRUS

Todo arquivo em mídia proveniente de entidade externa à UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. deve ser verificado por programa antivírus. 

Todo arquivo recebido/obtido através do ambiente Internet deve ser verificado por programa antivírus.

Todas as estações de trabalho devem ter um antivírus instalado. O colaborador deverá mantê-lo atualizado.

O usuário não pode, em hipótese alguma, desabilitar o programa antivírus instalado nas estações de trabalho.

A solução adotada deve realizar, pelo menos, uma varredura semanal nos dispositivos utilizados pela UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.
 

• GESTÃO DE GUARDA DE DOCUMENTOS FÍSICOS

Este capítulo estabelece as diretrizes para o gerenciamento de documentos físicos ao longo de todo o seu ciclo de vida, desde o recebimento até a eliminação, de acordo com a tabela de temporalidade da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. e os princípios da Lei Geral de Proteção de Dados (LGPD). Tais diretrizes visam a garantir a segurança e a confidencialidade das informações, evitando acessos não autorizados e perdas de dados.

Dado o pequeno porte dessa singular, a gestão dos documentos físicos será realizada através de empresa terceirizada, contratada para essa finalidade.

Todos os colaboradores devem estar cientes e cumprir as normas estabelecidas nesta política.

Ao receber documentos físicos, o colaborador deve registrar a sua entrada e identificar as informações pessoais contidas, se houver.

Deve-se, ainda, verificar se o destinatário dos documentos é correto e adequado.

Os documentos físicos serão armazenados na supracitada empresa terceirizada e eventuais documentos que necessitem permanecer na sede dessa Cooperativa deverão ser acautelados em local seguro, com acesso restrito a pessoal autorizado.

Armários ou salas de armazenamento destes documentos devem ser monitorados pelo respectivo Coordenador que permanecerá com a respectiva chave de acesso.

O acesso aos documentos dessa Singular deve ser concedido apenas a quem tiver necessidade e autorização para tal.

Eventuais consultas a documentos físicos que ainda estejam na sede da organização deverão ser acompanhados e monitorados pelo respectivo Coordenador do setor.

Fica terminantemente proibida a duplicação e/ou extração de fotos dos documentos sem a prévia autorização do coordenador de cada setor e/ou da DPO.

O prazo de retenção de cada documento deverá seguir a tabela de temporalidade da UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.

A eliminação de documentos deve ser feita de modo seguro, garantindo a completa destruição das informações (por exemplo, através de trituração).

As atividades de manuseio de documentos devem alinhar-se, obrigatoriamente, aos princípios da LGPD, protegendo a privacidade e os direitos dos titulares dos dados.

A UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA. oferecerá no mínimo 02 (dois) treinamentos anuais para todos os colaboradores sobre a importância da proteção de dados e o cumprimento das políticas estabelecidas.
 

• BOAS PRÁTICAS PARA A PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Todos os colaboradores devem manter suas mesas livres de documentos sensíveis ou informações pessoais quando não estiverem presentes.

Documentos que não são mais necessários devem ser devidamente descartados.

Equipamentos de armazenamento, como discos externos, devem ser guardados em locais seguros ao final do expediente.

Fica proibido deixar documentos confidenciais em bandejas de impressoras. Os documentos impressos devem ser retirados imediatamente após a impressão.

Reportar qualquer anomalia nas impressoras, como documentos esquecidos, a um coordenador/gerente ou mesmo à DPO.

Nunca deixar o computador ou os sistemas abertos e desprotegidos quando se ausentar, mesmo que brevemente.

Bloquear a estação de trabalho usando as funções de proteção de tela com senha sempre que se afastar do posto.

Configurar dispositivos para que bloqueiem automaticamente após um período de inatividade.

Utilizar senhas fortes e únicas para cada sistema ou aplicação.

Nunca compartilhar senhas ou anotar em locais acessíveis.

Alterar as senhas periodicamente e imediatamente caso haja suspeita de comprometimento.

Participar dos treinamentos regulares de conscientização sobre segurança da informação e proteção de dados pessoais.

Estar sempre atualizado sobre novas políticas e procedimentos de segurança estabelecidos pela UNIMED CATAGUASES COOPERATIVA DE TRABALHO MÉDICO LTDA.

Comunicar imediatamente qualquer incidente ou suspeita de violação de dados à Encarregada de Proteção de Dados (DPO) ou ao departamento de TI.

Relatar práticas inseguras ou não conformidade com as políticas de segurança observadas no ambiente de trabalho.
 

• GESTÃO DE TERCEIROS

Este capítulo abrange todos os dados pessoais tratados por terceiros em nome da Unimed Cataguases, incluindo, mas não se limitando a: prestadores de serviços e terceirizados de qualquer natureza.

A identificação dos riscos relacionados ao tratamento de dados pessoais por terceiros será realizada através de:
 

• Contratos e Acordos: Revisão dos contratos e acordos com terceiros, para identificar as cláusulas referentes ao tratamento de dados pessoais e garantir a conformidade com a LGPD e outras regulamentações. Análise de obrigações de confidencialidade, segurança e responsabilização.
• Due Diligence: Processo de avaliação da capacidade dos terceiros em garantir a segurança e a privacidade dos dados pessoais, incluindo a avaliação das medidas adotadas, das práticas de tratamento de dados e eventuais certificações.
• Avaliação de Vulnerabilidades: Análise da capacidade técnica dos terceiros em lidar com potenciais vulnerabilidades e incidentes de segurança que afetem os dados pessoais.
• Monitoramento contínuo: Monitoramento da performance dos terceiros quanto às práticas de segurança e privacidade, incluindo verificações periódicas e possíveis auditorias.

A avaliação dos riscos será baseada em:
 

• Probabilidade: Chance de ocorrência de um incidente de segurança ou violação de privacidade por parte do terceiro.
• Impacto: Consequências da ocorrência de um incidente, considerando aspectos financeiros, reputacionais, legais e para a imagem da Unimed Cataguases.
• Criticidade dos Dados: Classificação dos dados pessoais tratados pelo terceiro (ex: dados sensíveis, dados pessoais ordinários).

Para cada risco identificado e avaliado, serão definidas ações de tratamento, que podem incluir:
 

• Contratos e Acordos: Inclusão de cláusulas contratuais robustas que estabeleçam obrigações claras em relação à segurança e privacidade dos dados, incluindo responsabilidades em caso de incidentes. Estes contratos devem especificar as responsabilidades de cada parte, incluindo a obrigação de notificação em caso de incidentes.
• Auditoria: Realização de auditorias para verificar a conformidade dos terceiros com as cláusulas contratuais e as práticas de segurança.
• Monitoramento: Implementação de mecanismos de monitoramento para verificar se os terceiros estão cumprindo as obrigações contratuais e as práticas de segurança.
• Gestão de Incidentes: Estabelecimento de procedimentos claros para a comunicação e gestão de incidentes que envolvam a violação ou perda de dados pessoais tratados por terceiros.
• Seleção cuidadosa: Seleção rigorosa dos terceiros, privilegiando empresas com boas práticas de segurança da informação e certificações relevantes.

A Encarregada pela Proteção de Dados (DPO) ficará responsável pela supervisão e coordenação do processo de gestão de riscos relacionados a terceiros.

O Jurídico ficará responsável pela inclusão das cláusulas de proteção de dados em contratos com terceiros.

A Área de TI ficará responsável pelo monitoramento técnico da segurança e privacidade dos dados tratados por terceiros.

Toda a documentação relacionada à gestão de riscos com terceiros deve ser mantida atualizada e arquivada, incluindo contratos, relatórios de due diligence, avaliações de risco, planos de tratamento de riscos e registros de monitoramento.
 

• PENALIDADES

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal.

Este documento está em vigor, por prazo indeterminado, desde abril de 2022, passando por atualizações periódicas e sua última versão foi aprovada nesta data, qual seja, em 11 de abril de 2024.
 

#	Nome	Setor	e-mail	Assinatura
	WILLIAN CAPUTO CORRÊA	Jurídico/DPO Suplente	willian@fernandoornellas.adv.br
	Dr. ANDRÉ JOSÉ ARRIGONI GOMES	Presidência	aj.arrigoni@gmail.com
	Dr. JOSÉ MANTOVANI NETO	Diretoria Administrativo Financeira	josemontovani65@gmail.com
	Dr. MARCOS MANTOVANI CHAVES	Diretoria de Recursos Próprios	marcosmchavesmed@gmail.com
	DANIELA CAVALARE NARDOTO	Gerência Geral	daniela@unimedcataguases.coop.br
	INDIARA AMÁBILI DA SILVA FERREIRA	Jurídico/DPO Titular	dpo@unimedcataguases.coop.br