Versão: 1.0 (novembro/2024)
1. Introdução
A Fundação Universidade do Vale do Itajaí, doravante denominada Fundação Univali, abrangendo suas mantidas, sempre preza por relações transparentes e éticas, bem como pela proteção dos dados e informações de seus estudantes, colaboradores, prestadores ou tomadores de serviços, parceiros e demais pessoas ou entidades que se relacionada. Com o advento da Lei Geral de Proteção de Dados (LGPD), por meio da Lei nº 13.709/2018 e seu vigor (em grande parte) a partir do ano de 2020, a Fundação UNIVALI não tem medido esforços para sua completa adequação. Dentre as ações institucionais, instituiu o Comitê da Lei Geral de Proteção de Dados (LGPD), publicou sua Política de Privacidade, sua Política de Cookies, efetuou treinamentos e divulgações acerca da LGPD, bem como adotou outras medidas que visam aumentar a segurança dos dados tratados no âmbito da Instituição e a segurança de sua infraestrutura tecnológica destinada ao uso da comunidade acadêmica, com efetiva orientação a estudantes, colaboradores, prestadores ou tomadores de serviços e parceiros quanto à utilização segura dos ativos oferecidos pela Instituição.
Assim, a presente Política de Segurança da Informação e Proteção de Dados, doravante denominada Política de Segurança da Informação ou simplesmente PSI, tem como objetivo corroborar e estabelecer as diretrizes e orientações essenciais para a utilização segura e ética dos recursos tecnológicos da Fundação UNIVALI, e em conformidade com a LGPD.
A Política de Segurança da Informação (PSI) aqui descrita deve ser rigorosamente observada e seguida por todos os membros da comunidade acadêmica e quaisquer pessoas que utilizem ou tenham acesso a dados pessoais e/ou sigilosos, seja por força contratual, atividades educacionais ou utilização de recursos materiais ou imateriais da Fundação UNIVALI, abrangendo-se, portanto, todos os estudantes, colaboradores, prestadores ou tomadores de serviços, parceiros e demais pessoas ou entidades
relacionados com a Fundação UNIVALI e que venham a ter acesso a dados pessoais, sigilosos e/ou a recursos físicos ou tecnológicos da Instituição.
A elaboração e aprovação da PSI foi um processo estruturado e participativo, envolvendo diferentes etapas e atores, principalmente os membros do Comitê da LGPD. Em 02 de julho de 2024, foi concluída a minuta inicial do documento, que foi apresentada ao Comitê da LGPD para análise em 25 de julho de 2024. Entre 27 de agosto e 27 de setembro de 2024, os setores internos realizaram as alterações e contribuições necessárias para o aprimoramento da proposta. Em 03 de outubro de 2024, a versão final foi aprovada pelo Comitê da LGPD, culminando com sua aprovação pelo Conselho de Administração Superior (CAS) da Fundação Univali em 29 de novembro de 2024, formalizando sua aplicação em toda a Instituição.
Este documento é interno, possui valor jurídico e aplicabilidade imediata, visando garantir a proteção da confidencialidade, integridade, disponibilidade e autenticidade das informações.
Destaca-se que todos os documentos relacionados à proteção de dados estão disponíveis no site da Univali para consulta de suas disposições.
2. Termos e Definições
ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável pela regulamentação, implementação e fiscalização das normas estabelecidas pela LGPD no Brasil.
ATIVOS: são todos os recursos que têm valor para uma organização e que devem ser protegidos. Eles podem ser tangíveis, como hardware e software, ou intangíveis, como dados e propriedade intelectual.
AUTENTICIDADE: a autenticidade assegura que as informações são genuínas e que as identidades das partes envolvidas na comunicação são verificadas.
BACKUP: é o processo de criar cópias de dados para restaurá-los em caso de perda ou de incidente que comprometa sua integridade.
COMITÊ DA LGPD: comitê interno que trabalha em conjunto com o(a) EPD/DPO e é formado por uma equipe interdisciplinar, cujos membros, inclusive o Presidente, são nomeados pelo Presidente da Fundação UNIVALI.
CONFIDENCIALIDADE: a confidencialidade é o princípio que garante que a informação seja acessível apenas por pessoas autorizadas.
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
DADOS PESSOAIS: são informações que se referem a uma pessoa natural identificada ou identificável.
DADOS SENSÍVEIS: são um tipo de dado pessoal que, se divulgado, pode levar à discriminação do titular. Eles incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, vinculados a uma pessoa natural.
DATACENTER: é uma instalação que abriga sistemas computacionais e componentes associados, como sistemas de telecomunicações e armazenamento de dados.
DISPONIBILIDADE: a disponibilidade assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa autorizada.
EPD/DPO: o(a) Encarregado(a) de Proteção de Dados (EPD), ou em inglês, Data Protection Officer (DPO) é o(a) profissional que atua nas interações entre a Fundação UNIVALI (Controladora), os titulares e a ANPD.
GERÊNCIA DA TECNOLOGIA DA INFORMAÇÃO: setor da Fundação Univali, doravante denominada Gerência de TI ou simplesmente GTI, responsável pela gestão, implementação, manutenção e suporte das tecnologias e sistemas de informação dentro da Instituição, abrangendo a mantenedora e suas mantidas.
INFORMAÇÕES CONFIDENCIAIS: são dados ou informações que não são de conhecimento público e cuja divulgação não autorizada pode causar prejuízos à organização ou às pessoas envolvidas.
INTEGRIDADE: é o princípio da segurança da informação que garante que os dados sejam precisos e confiáveis, não sendo alterados ou destruídos de maneira não autorizada.
LGPD: Lei nº 13.709/2018, Lei Geral de Proteção de Dados do Brasil que regula o tratamento de dados pessoais, garantindo direitos aos titulares e impondo obrigações às organizações.
PHISHING: palavra em inglês que significa “isca”. É um tipo de fraude na qual o golpista tenta obter informações pessoais e financeiras do usuário, combinando meios técnicos e engenharia social.
SEGURANÇA DA INFORMAÇÃO: conjunto de práticas e políticas que visam garantir proteção de dados contra acesso não autorizado, alterações ou destruição.
TRATAMENTO DE DADOS: refere-se a qualquer operação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento, processamento, arquivamento, modificação, comunicação e eliminação.
TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
USUÁRIO: aquele que utiliza determinado bem ou serviço, abrangendo nesta Política de Segurança da Informação os estudantes, colaboradores técnicos-administrativos e docentes, prestadores ou tomadores de serviços, parceiros e demais membros da comunidade acadêmica.
3. Diretrizes gerais da Segurança da Informação
A gestão e a segurança da informação relativas aos dados pessoais tratados pela Fundação UNIVALI serão de responsabilidade da Instituição, a qual se caracteriza como Controladora de dados pessoais, com acompanhamento e atuação do(a) Encarregado(a) de Proteção de Dados (EPD) (também identificado pela sigla DPO - Data Protection Officer), o(a) qual é nomeado(a) pela Controladora, bem como as atividades e documentos alusivos à proteção de dados no âmbito da Fundação UNIVALI também serão submetidas à análise e deliberação do Comitê da LGPD.
Para garantir a gestão e segurança dos dados tratados pela Fundação UNIVALI, todos os ativos são identificados, mapeados, inventariados, monitorados e protegidos, visando prevenir qualquer ameaça e evidenciar a total integridade de sua segurança.
O cumprimento da presente Política de Segurança da Informação (PSI) e demais normas concernentes à proteção de dados devem ser avaliados e suas disposições deverão ser revisadas periodicamente pelos membros do Comitê da LGPD e pelo(a) EPD/DPO nomeado(a) pela Fundação UNIVALI, garantindo assim sua atualização, alinhamento com diplomas legais e adequação à eventuais novas ameaças cibernéticas.
Além das diretrizes definidas nesta PSI, a Fundação UNIVALI adota as melhores práticas e procedimentos recomendados por instituições públicas e privadas responsáveis por estabelecer padrões na área de segurança da informação.
A falta de cumprimento dos requisitos estabelecidos nesta PSI e nas normas de segurança da informação constituirá violação da norma interna da Fundação UNIVALI, sujeitando o usuário a aplicação de medidas administrativas e legais cabíveis à espécie.
4. Diretrizes Específicas
4.1. Canais oficiais de comunicação na instituição
A Fundação UNIVALI dispõe de domínios próprios para utilização de correio eletrônico/e-mail aos usuários:
I
o domínio @edu.univali.br é direcionado aos estudantes ativos e egressos, tendo como objetivo principal o contato entre a Instituição e o estudante, inclusive para atividades educacionais, em conformidade com as regras da norma interna sobre uso do “E-mail Univali”;
II
o domínio @univali.br é reservado exclusivamente aos colaboradores técnico-administrativos e docentes da Instituição, em conformidade com as regras da norma interna sobre uso do ‘E-mail UNIVALI’, sendo sua destinação exclusiva para fins corporativos e relacionados às atividades do colaborador na Instituição.
Em hipótese de desligamento de colaborador, o domínio @univali.br deve ser inativado em momento oportuno, definido pela Fundação Univali, impossibilitado a continuidade de sua utilização pelo usuário.
Visando maior eficácia e agilidade no atendimento da comunidade acadêmica e de seus colaboradores/parceiros, a Fundação Univali dispõe de sistemas de comunicação on-line, como o “Omnichat” e o “Microsoft Teams”, não sendo autorizado a utilização de outros sistemas/ferramentas/aplicativos que não estejam homologados pela Fundação Univali, por meio da Gerência de Tecnologia da Informação (GTI), principalmente de uso pessoal, para comunicações setoriais e institucionais.
Todos os sistemas de comunicação disponibilizados pela Fundação UNIVALI são submetidos a camadas de segurança e autenticação, restritos exclusivamente a usuários autorizados e monitorados pela GTI.
O acesso e a utilização das informações da Fundação Univali devem se dar exclusivamente dentro da jornada de trabalho e/ou horários estipulados contratualmente, excetuando a hipótese de desempenho de atividades justificadas e/ou jornada extraordinária, devidamente autorizados e monitorados.
4.2. Aquisição, desenvolvimento e manutenção de sistemas
A gestão (aquisição, desenvolvimento, manutenção, instalação, desinstalação e/ou configuração) de sistemas informatizados é de responsabilidade exclusiva da GTI, devendo sempre serem observadas as diretrizes gerais e especificas contidas na presente PSI bem como demais normas legais e institucionais.
É obrigação do usuário dos sistemas informatizados da Fundação Univali a utilização exclusivamente de softwares e hardwares previamente homologados, autorizados e/ou instalados por colaboradores da equipe da GTI.
4.3. Tratamentos de dados sensíveis e confidenciais
O tratamento de dados pessoais sensíveis e/ou confidenciais se dará com a extrema observância das bases legais e princípios fundamentais à Lei Geral de Proteção de Dados.
Quaisquer dados sensíveis e/ou confidenciais que não sejam mais essenciais para a atividade educacional, administrativa e/ou de atendimento à legislação e/ou à regulamentação que justifique legalmente seu tratamento pela Fundação Univali, deverão ser excluídos ou descartados de maneira segura e apta a impossibilitar sua recuperação.
A obrigação de sigilo profissional sobre as informações confidenciais adquiridas durante o período de trabalho persiste mesmo após o término da relação profissional entre a Fundação Univali e o colaborador. Dessa forma, é proibido o uso ou compartilhamento de qualquer informação obtida, recebida ou gerada em função do vínculo profissional para com pessoas externas à Fundação Univali e/ou não relacionadas formalmente à Fundação Univali e autorizadas a ter acesso a tais informações, seja por força contratual ou normativa. Informações classificadas como confidenciais não devem, em hipótese alguma, ser publicadas na internet, em mídias sociais ou expostas em impressos ou outros meios de fixação ou armazenagem que possam ser lidos, copiados ou livremente acessados por terceiros não autorizados a seu conhecimento e/ou uso.
Informações confidenciais ou de acesso restrito também não devem ser debatidas, exibidas ou compartilhadas em locais públicos ou de acesso irrestrito a terceiros, em condições, meios ou por sistemas eletrônicos que possam de alguma forma resultar em risco de exposição ou divulgação indevidas ou na efetiva exposição ou divulgação indevida de tais informações, devendo-se zelar pelo sigilo de tais informações em relação a quaisquer indivíduos não autorizados pela Fundação Univali para delas conhecer.
4.4. Tratamento e transmissão de dados eletrônicos
O colaborador é responsável por proteger seus dispositivos eletrônicos, como caixa de e-mail, comunicadores instantâneos, computadores e similares, utilizando senhas seguras e ferramentas de proteção contra vírus e softwares maliciosos. Além disso, deve manter a área de trabalho e a tela do dispositivo, que possam ser facilmente vistas por terceiros, sempre limpas e organizadas. A manutenção periódica desses cuidados é essencial para evitar a exposição de senhas, telas ou documentos eletrônicos que contenham dados pessoais e informações confidenciais a pessoas não autorizadas, assegurando, assim, a proteção e o sigilo das informações tratadas.
O colaborador é responsável por efetuar a exclusão de mensagens que não são relacionadas ao trabalho realizado na Fundação UNIVALI, efetuar o adequado arquivamento de demandas finalizadas e promover a eliminação de mensagens com conteúdo suspeito e/ou que apresentem risco de infecção do sistema da entidade por código malicioso.
Quando ocorrer uso dos equipamentos, dispositivos e mídias fora da Fundação UNIVALI, seja para manutenção, locação ou outros usos, quando retornarem deverão ser enviados para a GTI, que procederá a uma avaliação para aferir o grau de risco de acesso não autorizado aos dados do equipamento em questão, inclusive podendo apreciar se é apropriado liberar o dispositivo para reparo ou se será necessário realizar procedimento de eliminação prévia de dados, quando for tecnicamente possível.
Os dispositivos de armazenamento (como drives e mídias de armazenamento) que tornarem obsoletos e/ou forem substituídos por outros, independentemente de apresentarem defeitos ou não, e que contenham (ou possam conter) informações pessoais e/ou confidenciais, devem ser submetidos à processo de exclusão segura e irrecuperável de dados. Acerca deste procedimento deverá ser produzido documento a ser firmado pelo técnico responsável, nele constando, ao menos, o tipo do procedimento adotado, o alcance do mesmo (se abrangeu toda a mídia/equipamento ou apenas parte) e o parecer técnico sobre a impossibilidade de recuperação dos dados. Este procedimento de exclusão segura dos dados deverá ser adotado também na hipótese de doação, empréstimo ou venda de dispositivo de armazenamento ou de equipamento eletrônico contendo dispositivo de armazenamento a terceiros, quando se tratar de pessoa ou entidade externa ao âmbito da Fundação UNIVALI.
É autorizado à GTI a adoção de desmontagem e/ou destruição de dispositivos de armazenamento (como drives e mídias) destinados ao descarte definitivo e cuja condição não permita a utilização de qualquer método de exclusão definitiva dos dados neles contidos.
4.5. Controle de acesso
A Fundação Univali dispõe de sistema organizacional de armazenamento unificado, hospedado em ambiente de computação em rede que conta com criptografia e verificação em duas etapas, doravante denominado de “Extranet”.
O ambiente Extranet, além da verificação em duas etapas, possui níveis de acesso observando as peculiaridades de cargo e setor, assim como necessidade de tratamento do dado.
Para obtenção de acesso a um determinado arquivo, o gestor do colaborador deve encaminhar solicitação, via sistema de chamados, à equipe da GTI, momento que deverão ser fornecidas as informações necessárias do colaborador.
Para utilização de todo e qualquer equipamento eletrônico de propriedade da Fundação Univali se faz necessário o acesso via login e senha próprios, ciente o usuário que, em hipótese de distanciamento de sua estação de trabalho/estudo, este deverá imediatamente realizar o bloqueio ou desligamento do equipamento.
Os acessos concedidos serão revisados periodicamente para garantir que permanecem ativos e atualizados.
A revogação de acesso deverá ser solicitada pelo gestor responsável pelo acesso do estudante, colaborador, prestador/tomador de serviços ou parceiro. A solicitação deverá ser dirigida à GTI, por meio dos canais institucionais já disponibilizados, preferencialmente, pelo registro de chamado no sistema interno da Instituição. Além disso, os direitos de acesso aos sistemas informatizados e/ou equipamentos e/ou softwares podem ser alterados e/ou revogados a qualquer tempo pela Fundação Univali, independentemente de aviso prévio ou solicitação do gestor, inclusive por questões de segurança, manutenção do sistema e/ou prevenção de incidentes.
4.6. Acesso à internet e redes sociais
A Fundação Univali oferece conectividade sem fio para dispositivos móveis em suas instalações, contando com políticas, monitoramento e configurações específicas para garantir a privacidade dos usuários, tudo em conformidade com a LGPD.
A responsabilidade pela custódia do equipamento ou dispositivo, bem como dos conteúdos instalados, cabe integralmente ao seu proprietário ou ao possuidor, este último, na hipótese de uso de equipamentos ou dispositivos de propriedade da Fundação Univali (equipamentos ou dispositivos institucionais).
A Fundação Univali orienta que se evite a utilização dos dispositivos e equipamentos institucionais para acesso livre à internet e redes sociais não relacionadas aos sites, sistemas internos ou atividades vinculadas à atuação do usuário junto à Fundação Univali. Entretanto, na hipótese de o acesso ser imprescindível, deverá haver pelo usuário a atenção e zelo em face de sites e links maliciosos, bem como o zelo pela a segurança do acesso, optando-se pelo uso de senhas e verificação em duas etapas, quando disponível.
Toda informação acessada, transmitida, recebida ou produzida na internet está sujeita ao monitoramento Institucional. Em conformidade com a legislação vigente, a Fundação UNIVALI reserva-se o direito de controle e registro de todos os acessos e atividades de tráfego que utilizam sua rede interna e/ou os acessos à internet disponibilizados pela Instituição e/ou efetuados por meio de seus equipamentos.
É fundamental que todo usuário mantenha extrema cautela ao receber arquivos executáveis, solicitações de login automático, pedidos de informações cadastrais pela internet, ofertas promocionais excessivamente vantajosas e outras atividades suspeitas de phishing, evitando assim quaisquer ameaças que possam desencadear um incidente de segurança.
Não é permitido realizar ou facilitar acesso não autorizado, monitorar, interceptar, desativar, sobrecarregar, obstruir ou acessar indevidamente dados, sistemas ou redes, incluindo tentativas de examinar ou testar vulnerabilidades em sistemas internos ou externos da Fundação Univali, ressalvando-se, nesta última hipótese, a realização de atividade vinculada a pesquisa ou projeto acadêmico e desde que expressamente delimitada a atividade a ser executada e com expressa e prévia autorização da Fundação Univali.
4.7. Política de senhas
Os sistemas da Fundação Univali possuem diretrizes rigorosas para garantir a segurança de acesso aos dispositivos, especialmente no que diz respeito às senhas. As senhas devem atender a critérios mínimos de caracteres e incluir caracteres especiais, além de evitar termos sequenciais e dados pessoais. Para usuários com níveis mais altos de acesso, as exigências poderão ser ainda mais elevadas, a critério da GTI e da Fundação Univali.
A senha de usuário é de acesso individual, sigiloso, intransferível e é proibido seu armazenamento em computadores, dispositivos móveis, papel ou qualquer outro meio físico ou eletrônico que permita ou possa permitir seu acesso por terceiros.
Além das regras já elencadas para o cadastramento de senhas, deverá ser priorizada a adoção da verificação em duas etapas, trocas de senhas periódicas e o bloqueio de acesso em tentativa múltipla de login sequencial, sempre que for tecnicamente possível.
4.8. Trabalho e acesso remoto
Em casos específicos de autorização por parte da Fundação Univali para a adoção do trabalho e/ou acesso remotos, a Instituição priorizará a disponibilização de equipamentos eletrônicos necessários para realização da atividade laboral, munidos de acessórios ou softwares que permitam elevado nível de segurança de dados.
Equipamentos pessoais não munidos de acessórios ou softwares que os dotem de elevado nível de segurança na proteção de dados ou aqueles que sejam expressamente desautorizados pela GTI, não poderão ser utilizados para efetuar conexões remotas aos sistemas e ambientes da Fundação Univali.
Caso haja autorização da Fundação Univali para a realização de trabalho remoto com uso de dispositivos diversos daqueles fornecidos ou de propriedade da Fundação Univali, estes equipamentos devem cumprir todas as exigências de configuração de acesso e segurança de dados, em conformidade com as comunicações veiculadas pela GTI ou, alternativamente, deverão ser configurados previamente pela equipe da GTI (diretamente pelos profissionais ou sob orientação direta destes colaboradores), mediante a adoção de medidas de segurança essenciais, a exemplo de criptografia,
software antivírus, ferramentas para acesso seguro à VPN (Rede Privada Virtual) e firewall pessoal. Estas medidas visam garantir a confidencialidade, segurança e integridade das informações da Fundação Univali.
4.9. Datacenters e backups
O Datacenter da Fundação Univali deve ser mantido em local físico de difícil acesso, com elaborado sistema de restrição de entrada, preferencialmente por identificação digital previamente cadastrada. Seu monitoramento deve ser contínuo e ininterrupto.
O acesso nas instalações do Datacenter deve ser realizado exclusivamente por pessoas autorizadas pela GTI e, preferencialmente, colaboradores da Fundação Univali.
Deve ser realizado o armazenamento seguro de cópia das informações e dados contidos nos servidores da Fundação Univali por meio de backup com utilização de criptografia, conforme definido no Plano de Contingência da GTI.
Os backups devem ser analisados periodicamente e, quando considerados desatualizados, inutilizáveis ou comprometidos, deve-se avaliar sua eliminação definitiva. Caso necessário, a destruição do equipamento físico deve ser efetuada de maneira que impossibilite sua restauração.
Na hipótese de desligamento de colaborador ou prestador de serviços com entrada autorizada ao Datacenter e/ou Backups, deverá ser imediatamente revogado seu acesso e excluídas suas credenciais ou operações com os dados junto ao sistema.
4.10. Proteção contra softwares maliciosos
Os servidores e as estações de trabalho contam com antivírus instalados, em funcionamento e regularmente atualizados, entretanto, o colaborador é responsável por conectar periodicamente seu computador à rede Univali para garantir que todos os sistemas de segurança, como atualizações de patches, antivírus e políticas de segurança, sejam mantidos atualizados.
Em caso de suspeita de vírus, problemas de funcionalidade, ou identificada a presença de dispositivo estranho conectado ao equipamento, o usuário deverá acionar a GTI para as devidas providências.
Os usuários não devem clicar em links desconhecidos, bem como, não abrir em hipótese alguma e-mails de destinatários não confiáveis, momento que, de pronto, devem ser encaminhados ou deles dada ciência à GTI para análise.
4.11. Certificado digital
Os usuários devem privilegiar a utilização de assinatura digital via site governamental autenticador (gov.br) ou mediante site ou serviço de certificação digital compatível com o padrão de autenticação definido pelo ICP-Brasil.
Na impossibilidade de utilização das assinaturas digitais acima indicadas, deverão ser utilizados certificados digitais com autenticidade e níveis de segurança adequados, compatíveis com a legislação vigente e, quando for o caso, sua instalação nos dispositivos deverá se dar por orientação ou ação direta da equipe da GTI.
4.12. Tratamento, transmissão, armazenamento e descarte de dados físicos
Para o tratamento de dados em meios físicos no âmbito da Fundação Univali é necessária a análise preliminar de sua imprescindibilidade. Caso seja desnecessária a impressão de dados em meios físicos ou a manutenção destes meios físicos contendo dados, estes devem ser digitalizados com posterior eliminação de cópias, anotações e impressões ou, conforme o caso, a devolução a terceiros desses documentos/meios na hipótese de apresentação temporária de documentos para fins de comprovação.
A Fundação Univali deve observar os prazos estabelecidos pela legislação específica para a manutenção e guarda de documentos, sejam eles físicos ou digitais, conforme a área relacionada ao conteúdo das informações, ressalvada sua guarda para fins judiciais e de prevenção à defesa de interesses da Fundação Univali.
A guarda dos documentos deve se dar de forma organizada, sigilosa e segura, com medidas que evitem riscos de incêndio, e o acesso deve ser restrito a colaboradores devidamente autorizados.
A transmissão de dados e documentos físicos poderá ocorrer exclusivamente entre pessoas autorizadas e mediante protocolo.
A eliminação dos documentos deve ocorrer de maneira a impossibilitar sua recuperação e/ou acesso à informação. Na hipótese de terceirização da eliminação de documentos físicos, este procedimento deverá ser efetuado por pessoa ou empresa com vínculo contratual junto à Fundação Univali, no qual deverão ser expressas as condições da eliminação e garantias de sigilo e confidencialidade em relação às informações presentes nos meios físicos.
4.13. Política mesa limpa e impressão
É dever do usuário manter sua estação de trabalho/estudo limpa e organizada, de modo a evitar a exposição de documentos e acesso de terceiros a dados pessoais, especialmente os sensíveis e confidenciais, contidos em documentos impressos, dispositivos tecnológicos e outros tipos de suporte de dados. Além disso, os documentos que não estão em uso, não devem ser deixados expostos em impressoras, scanners, telas de computadores e/ou salas de reunião.
Durante a utilização de meios contendo dados, esta deverá zelar pela objetividade, evitando-se a exposição de dados a equipes ou pessoas que não têm relação com o caso ou demanda que é objeto da reunião ou trabalho. Na hipótese de não ser possível a total retirada de documentos ou meios contendo dados, estes devem ser mantidos com sua face voltada para baixo ou poderá ser adotada a cobertura dos mesmos com folhas ou outros materiais aptos a ocultar seus dados até que possam ser devidamente guardados ou descartados, conforme o caso.
O descarte de meios físicos contendo dados deverá, sempre que possível, ser precedido de destruição do documento, seja por rasgadura, picotagem ou outro meio de invalidar o documento a ser descartado, inobstante à futura destruição do mesmo no processo de reciclagem de materiais.
4.14. Treinamentos
Todos os membros da comunidade acadêmica, com especial destaque para colaboradores e parceiros envolvidos no tratamento de dados na Fundação Univali, deverão passar por treinamentos periódicos nos programas de Treinamento e
Desenvolvimento vigentes na Fundação Univali, além de programas de conscientização sobre os procedimentos de segurança e o uso adequado dos recursos fornecidos pela Instituição. O objetivo é reduzir os riscos de segurança, esclarecer responsabilidades e instruir sobre os procedimentos para reportar incidentes
4.15. Gestão de incidentes
Visando a prevenção e gestão de eventuais incidentes relacionados à segurança da informação, a Fundação Univali adotará medidas que incluem a observância rigorosa da legislação brasileira, o respeito aos princípios éticos e a aplicação dos controles previstos em seus regulamentos internos. Além disso, serão utilizadas ferramentas destinadas ao monitoramento contínuo, ao registro de atividades e ao gerenciamento de acessos, tanto em ambientes digitais quanto físicos, identificando e mitigando possíveis vulnerabilidades.
A quantificação e monitoramento dos incidentes de segurança da informação digital são realizados pela GTI e pelo(a) EPD/DPO, com o objetivo de identificar quais podem ser mais frequentes ou impactantes. Essas medidas também permitem a implementação de ações corretivas e a prevenção de novos incidentes.
Após a notificação de um incidente de segurança da informação digital, a GTI e o(a) EPD/DPO, em conjunto com a Procuradoria Geral da Fundação UNIVALI, realizarão as ações necessárias para mitigar os impactos e restaurar a normalidade.
Os incidentes envolvendo dados em meios físicos serão tratados pelo(a) EPD/DPO, em conjunto com a Procuradoria Geral da Fundação Univali e o(s) setor(s) diretamente envolvido(s) no incidente, com a realização das ações necessárias para mitigar os impactos e restaurar a normalidade.
4.16. Transferência internacional de dados
A Fundação UNIVALI, no exercício de suas funções como Controladora, adotará medidas rigorosas para assegurar o resguardo e a proteção de dados pessoais em qualquer transferência internacional. Em conformidade com a Resolução CD/ANPD nº 19, de 23 de agosto de 2024, e a Lei Geral de Proteção de Dados (LGPD), a Fundação Univali identificará de forma detalhada todas as transferências internacionais de dados pessoais sob sua responsabilidade, garantindo o cumprimento dos princípios de segurança, confidencialidade e proteção.
Além do mapeamento contínuo, a Fundação Univali incluirá, em todos os contratos que envolvem transferências internacionais de dados, cláusulas específicas de proteção recomendadas pela ANPD. Adicionalmente, realizará uma criteriosa análise da Política de Privacidade das empresas contratadas para assegurar que estas atendam aos requisitos legais e de segurança exigidos, mitigando riscos e garantindo a conformidade com as normas aplicáveis.
4.17. Canal oficial de comunicação com a instituição
A Fundação Univali se coloca à disposição de toda comunidade acadêmica, estudantes, colaboradores, parceiros e demais interessados para alertas de segurança e/ou incidentes por via do e-mail privacidade@univali.br.