Políticas de segurança

A Epimed Solutions é especializada em soluções para gestão de informações clínicas e epidemiológicas, que melhoram a eficiência do atendimento hospitalar e a segurança do paciente. A Epimed Solutions recebe dos hospitais, clínicas, organizações sociais de saúde e outras instituições de saúde (“Instituição de Saúde”), Dados Pessoais e/ou Dados Sensíveis (“Dados”) dos pacientes das Instituições de Saúde (“Pacientes”).

A Epimed Solutions, baseada nas normas NBR ISO/IEC 27.001 e ISO/IEC 27.002, e na lei nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), definiu a sua Política de Segurança da Informação (“Política”), estabelecendo as normas e procedimentos necessários para a continuidade dos seus negócios e a proteção da confidencialidade das informações, em especial dos Dados Pessoais dos Pacientes.

Todas as determinações contidas nesta Política deverão ser interpretadas de acordo com as determinações da Política de Privacidade e Proteção de Dados Pessoais, que sempre prevalecerão quando em eventual conflito com as diretrizes desta Política.

O objetivo da Política consiste em estabelecer regras de boas práticas de Tratamento de Dados, determinar as medidas de segurança, técnicas e administrativas para proteger os Dados Pessoais dos Pacientes, e, ainda, garantir a confidencialidade, integridade e proteção das informações da Epimed Solutions. Outrossim, visa proteger os Dados e informações da Epimed Solutions contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Essa Política se aplica a todos os colaboradores da Epimed Solutions, clientes, prestadores de serviços e terceiros contratados.

Termos iniciados em letras maiúsculas utilizados, mas não definidos nesta Política de outra forma, terão os significados a eles atribuídos na Política de Privacidade e Proteção de Dados Pessoais.

Para a melhor compreensão desta Política é necessário entender as seguintes definições:

• Dado Pessoal: qualquer informação relacionada à pessoa natural identificada ou identificável. Para fins dessa Política a referência à Dado Pessoal incluirá Dados Pessoais Sensíveis;
• Dado Pessoal Sensível: Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Lei Geral de Proteção de Dados (LGPD): Lei nº 13.709/2018 que dispõe sobre a proteção de Dados Pessoais;
• Titular de Dados: pessoa natural a quem se referem os Dados Pessoais que são objetos de tratamento; e
• Tratamento: toda operação realizada com Dados Pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Esta Política aplica-se a todas as pessoas, física ou jurídica, funcionário, prestador de serviços, estagiário ou pessoas autorizadas a ter acesso às informações, Dados Pessoais e/ou recursos de tecnologia da Epimed Solutions, de seus clientes e/ou dos Pacientes das Instituições de Saúde, de acordo com as permissões a ele atribuídas.

São reconhecidos como usuários da infraestrutura de TI todos as pessoas, físicas ou jurídicas, colaboradores, funcionários, prestadores de serviços, profissionais autônomos, temporários, estagiários, ou pessoas autorizadas a ter acesso às informações, Dados Pessoais e/ou recursos de tecnologia da Epimed Solutions, de acordo com as permissões a ele atribuídas.

A Epimed Solutions entende que o sistema de segurança da informação somente será eficaz com o comprometimento de TODOS!

6.1 Dos Usuários

• Respeitar esta Política de Segurança da Informação;
• Respeitar a Política de Privacidade e Proteção de Dados Pessoais da Epimed, de forma a garantir a segurança e inviolabilidade dos Dados dos Pacientes;
• Respeitar todas as normas da LGPD;
• Responder pelo descumprimento dos procedimentos de tratamento de Dados dos Pacientes previsto na Política de Proteção de Dados Pessoais;
• Responder pela guarda e proteção dos recursos computacionais colocados à sua disposição para o trabalho;
• Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
• Ativar suas senhas de proteção para E-mail e Sistema Operacional, sob a orientação da Gerência de Infraestrutura;
• Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
• Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus etc.;
• Assegurar que as informações e dados de propriedade da Epimed Solutions, inclusive, os Dados dos Pacientes não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico;
• Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados, conforme artigo 154-A do Código Penal Brasileiro;
• Relatar para o seu responsável hierárquico e à Gerência de Infraestrutura o surgimento da necessidade de um novo software para suas atividades; e
• Responder pelo prejuízo ou dano que vier a provocar a Epimed Solutions ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

6.2 Dos Responsáveis Hierárquicos

• Apoiar e zelar pelo cumprimento desta Política, servindo como modelo de conduta para os colaboradores sob a sua gestão;
• Atribuir, na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da Política;
• Autorizar o acesso e definir o perfil do usuário junto à Gerência de Infraestrutura;
• Autorizar as mudanças no perfil do usuário junto à Gerência de Infraestrutura;
• Educar os usuários sobre os princípios e procedimentos de segurança da informação;
• Notificar imediatamente à Gerência de Infraestrutura quaisquer vulnerabilidades e ameaças à quebra de segurança;
• Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação;
• Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato à Gerência de Infraestrutura;
• Obter aprovação técnica da Gerência de Infraestrutura antes de solicitar a compra de hardware, software ou serviços de informática;
• Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta Política;
• Respeitar a Política de Privacidade e Proteção de Dados Pessoais da Epimed; e
• Respeitar todas as normas da LGPD.

6.3 Da Área de T.I

• Configurar os equipamentos e sistemas para cumprir os requerimentos desta Política;
• Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais;
• Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
• Garantir segurança do acesso público e manter evidências que permitam a rastreabilidade para auditoria ou investigação;
• Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes;
• Administrar, proteger e testar as cópias de segurança dos programas e dados ao negócio da Epimed Solutions;
• Gerenciar o descarte de informações a pedido dos custodiantes;
• Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário;
• Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio;
• Criar a identidade lógica dos colaboradores na empresa;
• Atribuir contas e senhas identificáveis à pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação;
• Proteger todos os ativos de informação da empresa contra códigos maliciosos e/ou vírus;
• Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção;
• Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da empresa;
• Realizar inspeções periódicas de configurações técnicas e análise de riscos;
• Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais;
• Garantir, assim que solicitado, o bloqueio de acesso de usuários por motivo de desligamento da empresa;
• Propor as metodologias de desenvolvimento e processos específicos que visem aumentar a segurança da informação;
• Promover a conscientização dos colaboradores em relação à relevância da segurança da informação;
• Apoiar a avaliação e a adequação de controles de segurança da informação para novos sistemas ou serviços;
• Buscar alinhamento com as diretrizes corporativas da empresa;
• Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;
• Implantar sistemas de monitoramento nas estações de trabalho, servidores, e-mails, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
• Monitorar o ambiente de TI, a capacidade instalada da rede e dos equipamentos, o tempo de resposta no acesso à internet e aos sistemas críticos da Epimed Solutions, indisponibilidade aos sistemas críticos, incidentes de segurança (vírus, trojans, furtos, acessos indevidos e assim por diante); a atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);
• Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior), conforme procedimento publicado na matriz de responsabilidade; e
• Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.

• Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra, ou seja, cometa o crime de falsa identidade conforme definido no 307 do Código Penal Brasileiro;
• Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para o uso compartilhado, este deverá ser responsabilizado;
• Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %);
• É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados;
• As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, ), e não devem ser baseadas em informações pessoais, como por exemplo, o nome próprio, de familiares, a data de nascimento, o endereço, a placa de veículo, nome da empresa, e/ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “123456”, entre outras;
• Os usuários devem proceder com a troca de senha, caso suspeitem de quebra por terceiros ou obrigatoriamente a cada 3 (três) meses, de forma que caso não o façam terão seus acessos bloqueados automaticamente;
• O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários; e
• Tentativas de violação e burla de senhas de acesso, criptografia ou identificação biométrica, se identificada, serão alvo de ação disciplinar.

• A cada 6 (seis) meses, a Gerência de Infraestrutura deve revisar os usuários cadastrados para deliberar sobre a manutenção, revisão ou revogação dos perfis de acesso existentes;
• Na eventualidade de transferências ou alterações de cargo, função ou área, os perfis de acesso são revisados;
• O acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura; e
• O acesso aos Dados Pessoais dos Pacientes será restrito e limitado ao estritamente necessário para o cumprimento da finalidade do Tratamento, de forma que somente os profissionais essenciais às funções poderão ter o acesso permitido pela Gerência de Infraestrutura.

• O acesso de usuários desligados da Epimed Solutions deve ser revogado imediatamente no momento da comunicação do desligamento realizado pelo Departamento de Recursos Humanos;
• A revogação de acesso deve ser registrada de modo que seja possível determinar a data da ocorrência, os usuários afetados, assim como os privilégios revogados;
• As credenciais de acesso dos usuários que encerraram suas atividades na Epimed Solutions não devem ser removidas das bases cadastrais, mas devem ser bloqueadas de forma que não seja possível utilizá-las; e
• Devem ser mantidos registros que permitam identificar os usuários responsáveis pelas ações realizadas por meio das credenciais de acesso, mesmo depois de bloqueadas.

• Os recursos de TI alocados pela Epimed Solutions aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho, sendo proibido o uso deles para fins pessoais;
• Aos colaboradores da Epimed Solutions fica proibido o uso de equipamentos de tecnologia, como computadores, tablets, notebooks, netbooks e similares de propriedade particular nas dependências da empresa;
• É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria); e
• Todo computador em desuso, deverá ser encaminhado à área de TI para a remoção das informações, descarte ou reuso.

• O papel de parede e proteção de tela de todos os micros deverá seguir a padronização da Epimed Solutions;
• O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostos ao acesso não autorizado; e
• Os computadores deverão ser bloqueados por senha quando não estiverem sendo utilizados.

• Mídias contendo informações referentes à Epimed Solutions deverão ser destruídas antes de seu descarte;
• CD’s, DVD’s, e documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao HD’s deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização; e
• Os Dados armazenados na Base de Dados da Epimed Solutions serão descartados em caso de ordem específica das Instituições de Saúde, ou em caso de término da relação contratual da Epimed Solutions com a Instituição de Saúde, nos termos da Política de Privacidade e Proteção de Dados Pessoais e da Política de Retenção de Dados.

• A Epimed Solutions bloqueia por padrão em todas as estações com acesso elevado o uso de mídias removíveis; e
• Quando necessária a utilização de mídias removíveis, o usuário deve abrir uma solicitação para o Departamento de Infraestrutura via canal de chamados (ServiceDesk), que irá solicitar aprovações necessárias para liberação temporária do recurso para o usuário específico.

• O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área e classificá-las como Pública, Confidencial, Restrita ou
• Os Dados dos Pacientes sempre serão classificados como confidenciais e restritos, recebendo tratamento especial de proteção à confidencialidade;
• O processo de classificação da informação deve iniciar com a definição do grau de proteção necessário, com base nos quatro níveis de sigilo, conforme classificação definida na Política de Retenção de Dados e exposta abaixo:

1. CONFIDENCIAL: É toda informação de importância estratégica para o sucesso e continuidade dos objetivos da Epimed, de forma que deve ser mantida em confidencialidade e manuseada apenas por pessoas autorizadas. Se for indisponibilizada, corrompida ou acessada indevidamente pode acarretar severos incidentes financeiros, de reputação ao negócio ou de imagem da empresa, podendo ter como resultado ações legais e perda de diferencial Como exemplo, podemos citar os documentos e dados referentes a clientes e parceiros de negócios ou informações referentes a projetos com os quais a Epimed está envolvida.
2. RESTRITA: Informação cujo acesso e manuseio deverá ser apenas para pessoas Caso sejam divulgadas erroneamente, afetam a continuidade de um ou mais processos de negócio da empresa. O vazamento de informações com essa classificação gera impacto para uma ou mais áreas da empresa. Como exemplo, podemos citar planilhas de determinada área da empresa contendo informações pessoais dos colaboradores. Nestes casos, apenas colaboradores que necessariamente realizem o tratamento destes dados e informações no dia a dia poderão ter o acesso à respectiva planilha;
3. INTERNA. São informações compartilhadas internamente destinadas à utilização interna por colaboradores e prestadores de serviço da empresa e não destinadas à distribuição fora do âmbito corporativo. Nessa categoria estão identificadores ou outras informações não capazes de identificar uma pessoa natural. Como exemplo, podemos citar as políticas internas da empresa, tais como Política de Realização do Home Office e a Política de Capacitação Profissional, assim como outros documentos que serão disponibilizados via Intranet; e
4. PÚBLICA. Toda informação que pode ser distribuída ao público externo, o que, usualmente, ocorre por já serem conhecidas do público ou por estarem disponíveis em canais corporativos e públicos apropriados. Como exemplo, podemos citar todas as informações que estão disponíveis no site da Epimed, tais como o Código de Conduta e Ética e as Políticas de Segurança da Informação e Privacidade de Dados.

• A Epimed Solutions, por intermédio da Gerência de Infraestrutura, disponibiliza software corporativo de antivírus instalado para todos os usuários;
• O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor;
• A área de TI da Epimed Solutions não recomenda que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona; e
• As checagens periódicas do disco rígido, do HD e da estação de trabalho estão programadas para execução periódica automática conforme definições da área de TI no aplicativo servidor.

• Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da Epimed Solutions;
• É proibida a criação de pastas pessoais nos servidores de rede;
• A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da Epimed Solutions e ser solicitada pelo responsável hierárquico à Gerência de Infraestrutura;
• O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e da Gerência de Infraestrutura para o controle do acesso de cada usuário;
• Todos os arquivos que não sejam do interesse da Epimed Solutions deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias;
• Informações classificadas como CONFIDENCIAIS devem ser armazenadas em ambiente criptografado; e
• O armazenamento de arquivos nos servidores de rede ou nas estações de trabalho dos usuários da Epimed Solutions deve observar as normas da LGPD e as orientações da Política de Proteção de Dados Pessoais.

A política de Backup da Epimed contempla a realização de 1 (um) backup full semanal e backups incrementais diários de todo ambiente com retenção de 30 (trinta) dias.

Todos os backups são realizados em storages de ambientes paralelos da Epimed, que nos proporcionam uma maior velocidade para validação dos backups, assim como para restauração de dados se assim for necessário.

Compete à Gerência de Infraestrutura criar e manter cópias de segurança (backups) apenas dos dados armazenados nos servidores de rede.

Os usuários devem manter obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos e outros dados críticos da Epimed Solutions nas pastas departamentais dos servidores de rede.

São de responsabilidade exclusiva do usuário a cópia de segurança (backup) e a guarda dos dados gravados da sua estação local de trabalho.

Os Dados Pessoais dos Pacientes são, sob qualquer circunstância, restritos e confidenciais, sendo vedado o acesso por pessoas não autorizadas pela Gerência de Infraestrutura. Não é permitido o armazenamento de Dados Pessoais de Pacientes nas pastas departamentais dos servidores de rede ou nas estações locais de trabalho dos usuários, de forma que estes deverão ser armazenados em locais dotados de proteção à confidencialidade, com acesso limitado às pessoas autorizadas e ao estritamente necessário, na forma do Item 8 da Política.

A Internet foi instalada para viabilizar a busca de informações e agilizar determinados processos da Epimed Solutions, sendo proibido o uso pessoal da ferramenta.

O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos causados.

A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos relatórios com nomes dos usuários, páginas consultadas, tempo de consulta e o conteúdo navegado.

É vedada a utilização dos ativos de tecnologia da informação e comunicação da Epimed para acessar, armazenar, divulgar ou propagar qualquer material ligado à pornografia, pedofilia, jogos, racismo, homofobia ou qualquer outro conteúdo ilícito.

Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva da Epimed Solutions, sendo proibidas as cópias integrais, ou mesmo as parciais, bem como a instalação de softwares piratas.

Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais, além de denegrir a imagem da empresa e, por esta razão, estão terminantemente proibidos.

A instalação de softwares não autorizados (“Pirataria”) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa.

Todas as implantações de Servidores são baseadas em um template padrão para cada ambiente e distribuído através do sistema de Gerenciamento de Imagens do VMware.

Os Sistemas Operacionais das estações de trabalho são distribuídos através da ferramenta de distribuição e configuração da plataforma Kaspersky Security for Business – Advanced.

• É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária à lei, à moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros;

• O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas devem ser de caráter exclusivamente profissional;
• Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pela hierarquia da Epimed Solutions;
• A salvaguarda do conteúdo anexo ao e-mail é de responsabilidade exclusiva do usuário, ficando a Epimed Solutions isenta de tal obrigação;
• É proibido o uso de software de e-mail, mensagens instantâneas e correio interno não homologados pela Gerência de Infraestrutura. O uso dos mesmos é de responsabilidade do usuário e podem trazer riscos à segurança da informação além de dificultar o suporte técnico;
• Quaisquer comunicados em massa, propagandas, informativos, imagens etc. deverão ser previamente aprovados pela Gerência de Infraestrutura, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail;
• Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos;
• O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados;
• As mensagens trafegadas sob o domínio da Epimed Solutions poderão ser auditadas, mediante solicitação, conforme definição do Tribunal Superior do Trabalho (TST). Desta forma, é proibida a utilização particular;
• Em nenhuma hipótese a Epimed Solutions será responsabilizada perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo; e
• O fato de o colaborador responder a um e-mail fora do horário de expediente não configurará hora Para que isto ocorra, é necessário que a Epimed Solutions tenha exigido, na solicitação formalmente enviada por e-mail, a realização de uma tarefa fora do horário de trabalho.

Auditorias serão realizadas e relatórios serão gerados periodicamente ou conforme solicitações de acordo com os procedimentos da área de TI.

O acesso remoto ou auditoria de dados locais, mediante autorização da diretoria ou do gestor do colaborador, quando realizados no equipamento de uso do colaborador, não caracterizam invasão do mesmo, pois o equipamento é de propriedade da empresa e todas as informações contidas no mesmo são de propriedade da Epimed Solutions, uma vez que o usuário é proibido de salvar dados pessoais nos equipamentos de tecnologia da Epimed Solutions.

A Diretoria da Epimed Solutions poderá solicitar à Gerência de Infraestrutura relatórios de auditoria contendo o nome, mensagens trafegadas, acessos à Internet e demais informações do usuário conforme resolução do TST.

A Epimed Solutions possui Ferramentas de Gerenciamento de Logs, desenvolvidas internamente e soluções de terceiros que permitem identificar todas as ações realizadas pelos usuários e colaboradores e em seus sistemas.

• O acesso remoto aos equipamentos, softwares, banco de dados, informações, dados, programas de informática, e-mails, canais/endereços eletrônicos, ou a qualquer tipo de arquivo ou informação existente nos estabelecimentos da Epimed Solutions (“Escritório”), ou auditoria de dados locais, mediante autorização da diretoria ou do gestor do colaborador, quando realizados no equipamento de uso do colaborador para o exercício de sua função na Epimed Solutions, não caracteriza invasão, pois o equipamento é de propriedade da empresa, e todas as informações contidas no mesmo são de propriedade da Epimed Solutions, uma vez que o usuário é proibido de salvar dados e arquivos pessoais nos equipamentos de tecnologia da Epimed Solutions;
• O acesso remoto ao ambiente do escritório da Epimed Solutions é realizado através de uma conexão VPN – Virtual Private Network (rede privada virtual);
• O acesso remoto às informações e Dados existentes no Escritório da Epimed Solutions será restrito, sendo tratado como uma excepcionalidade e que somente será permitido mediante a prévia e expressa autorização da Diretoria da Epimed Solutions; e
• A restrição ao acesso remoto ao Escritório está alinhada com as boas práticas de segurança da informação adotadas pela Epimed Solutions, sendo uma medida para a proteção da confidencialidade dos Dados aplicada em atenção à LGPD e a Política de Privacidade e Proteção de Dados Pessoais.

• O acesso remoto aos servidores alocados no data center (“Data Center”) da Epimed Solutions é realizado através de uma conexão VPN – Virtual Private Network (rede privada virtual), originada dos estabelecimentos físicos da Epimed Solutions;
• Todos os acessos são realizados somente por colaboradores previamente autorizados pela Gerência de Infraestrutura da Epimed Solutions;
• O controle do acesso é vinculado ao perfil de rede de cada colaborador, autorizado previamente por cada área responsável;
• O acesso remoto ao Data Center da Epimed Solutions será restrito, sendo tratado como uma excepcionalidade, e somente será permitido mediante a prévia e expressa autorização fornecida pela Diretoria da Epimed Solutions; e
• A restrição ao acesso remoto ao Data Center está alinhada com as boas práticas de segurança da informação adotadas pela Epimed Solutions, sendo uma medida para a proteção da confidencialidade dos Dados aplicada em atenção à LGPD e a Política de Privacidade e Proteção de Dados Pessoais.

Antes de efetuar ações que possam apresentar risco potencial para as informações e sistemas da Epimed Solutions, o usuário deve consultar a presente Política de Segurança da Informação e a Política de Privacidade e Proteção de Dados Pessoais, a fim de certificar-se de que a atividade é lícita e segura. Os casos não previstos, dúvidas sobre segurança da informação ou quanto ao uso do software deverão ser encaminhadas para a área de Gestão de Infraestrutura.

As situações especiais e/ou pedidos de exceção a esta Política deverão ser avaliados pela Diretoria para deliberação, sob pena de infração das normas e aplicação das penalidades previstas no Item 29 abaixo.

O usuário deve estar ciente e seguir as recomendações desta Política, interpretando a classificação atribuída às informações e Dados, e assegurando que recebam tratamento adequado.

Todos os usuários deverão participar dos treinamentos realizados pelas áreas de Segurança da Informação e Proteção de Dados, de forma que a participação dos colaboradores é obrigatória e fundamental para o desempenho de suas atribuições.

O mau uso dos recursos de tecnologia poderá caracterizar um incidente de segurança da informação e pode resultar na aplicação de sanções legais e/ou administrativas, conforme a gravidade e impacto do incidente para a Epimed Solutions.

As violações às disposições estabelecidas na presente Política, devidamente apuradas, poderão implicar:

1. Na aplicação das sanções previstas na legislação trabalhista;
2. Na aplicação das sanções previstas na LGPD;
3. Na aplicação das sanções previstas em contrato aos prestadores de serviço e estagiários; e
4. Na aplicação dos procedimentos legais cabíveis.

Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Epimed Solutions.

Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado a Epimed Solutions, entre outros.

Em caso de dúvida sobre essa Política, seus direitos ou como exercê-los, você pode entrar em contato com a Encarregada de Dados através do e-mail protecaodedados@epimedosolutions.com ou através do Canal Confidencial da Epimed Solutions, disponível no site. A Epimed empreenderá todos os esforços para atender às solicitações no menor espaço de tempo possível, observando a LGPD e as legislações aplicáveis.

Este documento deve ser revisado a cada 1 (um) ano ou quando se fizer necessário para que seja adequado à legislação vigente e à LGPD.