Políticas de segurança

1 - INTRODUÇÃO

A Epimed Solutions é especializada em soluções para gestão de informações clínicas e epidemiológicas, que melhoram a eficiência do atendimento hospitalar e a segurança do paciente. A Epimed Solutions recebe dos hospitais, clínicas, organizações sociais de saúde e outras instituições de saúde (“Instituição de Saúde”), Dados Pessoais e/ou Dados Sensíveis (“Dados”) dos pacientes das Instituições de Saúde (“Pacientes”).

A Epimed Solutions, baseada na norma NBR ISO/IEC 27.002 e  na lei nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), definiu sua Política de Segurança da Informação (“Política”), estabelecendo as normas e procedimentos necessários para a continuidade dos seus negócios e proteção da confidencialidade das informações, em especial dos Dados Pessoais dos Pacientes. 

São ratificadas, por esta Política, todas as determinações da Política de Privacidade e Proteção de Dados Pessoais que não colidirem com o que aqui se estabelece, não importando a presente Política em novação. Todas as determinações contidas nesta Política deverão ser interpretadas de acordo com as determinações da Política de Privacidade e Proteção de Dados Pessoais, que sempre prevalecerão quando em eventual conflito com as diretrizes desta Política. 

2 - DEFINIÇÃO

Termos iniciados em letras maiúsculas utilizados, mas não definidos nesta Política de outra forma, terão os significados a eles atribuídos na Política de Privacidade e Proteção de Dados Pessoais.

3 - OBJETIVO

O objetivo da Política consiste em estabelecer regras de boas práticas de Tratamento de Dados, determinar as medidas de segurança, técnicas e administrativas para proteger os Dados Pessoais dos Pacientes, e, ainda, garantir a confidencialidade, integridade e proteção das informações da Epimed Solutions. Outrossim, visa proteger os Dados e informações da Epimed Solutions contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

4 - APLICAÇÃO

Esta Política aplica-se a todas as pessoas, física ou jurídica, funcionário, prestador de serviços, estagiário ou pessoas autorizadas a ter acesso às informações, Dados Dessoais e/ou recursos de tecnologia da Epimed Solutions, de seus clientes e/ou dos Pacientes das Instituições de Saúde, de acordo com as permissões a ele atribuídas.

5 - USUÁRIOS DE INFORMÁTICA

São reconhecidos como usuários da infraestrutura de TI todos as pessoas, físicas ou jurídicas, colaboradores, funcionários, prestadores de serviços, profissionais autônomos, temporários, estagiários, ou pessoas autorizadas a ter acesso às informações, Dados Pessoais e/ou recursos de tecnologia da Epimed Solutions, de acordo com as permissões a ele atribuídas.

6 - RESPONSABILIDADES

A Epimed Solutions entende que o sistema de segurança da informação somente será eficaz com o comprometimento de TODOS!

6.1 Dos Usuários:

  • Respeitar esta Política de Segurança da Informação;
  • Respeitar a Política de Privacidade e Proteção de Dados Pessoais da Epimed, de forma a garantir a segurança e inviolabilidade dos Dados dos Pacientes;
  • Respeitar todas as normas da LGPD;
  • Responder pelo descumprimento dos procedimentos de tratamento de Dados dos Pacientes previsto na Política de Proteção de Dados Pessoais;
  • Responder pela guarda e proteção dos recursos computacionais colocados a sua disposição para o trabalho;
  • Responder pelo uso exclusivo e intransferível de suas senhas de acesso;
  • Ativar suas senhas de proteção para Correio Eletrônico e Sistema Operacional, sob a orientação da Gerência de Infraestrutura;
  • Buscar conhecimento necessário para a correta utilização dos recursos de hardware e software;
  • Relatar prontamente à área de TI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc;
  • Assegurar que as informações e dados de propriedade da Epimed Solutions, inclusive, os Dados dos Pacientes não sejam disponibilizados a terceiros, a não ser com autorização por escrito do responsável hierárquico;
  • Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados, conforme artigo 154-A do Código Penal Brasileiro;
  • Relatar para o seu responsável hierárquico e à Gerência de Infraestrutura o surgimento da necessidade de um novo software para suas atividades;
  • Responder pelo prejuízo ou dano que vier a provocar a Epimed Solutions ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.

6.2 Dos Responsáveis Hierárquicos:

  • Apoiar e zelar pelo cumprimento desta Política, servindo como modelo de conduta para os colaboradores sob a sua gestão;
  • Atribuir, na fase de contratação e de formalização dos contratos individuais de trabalho CLT, prestação de serviços ou de parceria, a responsabilidade do cumprimento da Política;
  • Autorizar o acesso e definir o perfil do usuário junto à Gerência de Infraestrutura;
  • Autorizar as mudanças no perfil do usuário junto à Gerência de Infraestrutura;
  • Educar os usuários sobre os princípios e procedimentos de segurança da informação;
  • Notificar imediatamente à Gerência de Infraestrutura quaisquer vulnerabilidades e ameaças à quebra de segurança;
  • Assegurar treinamento para o uso correto dos recursos computacionais e sistemas de informação;
  • Advertir formalmente o usuário e aplicar sanções cabíveis quando este violar os princípios ou procedimentos de segurança, relatando imediatamente o fato à Gerência de Infraestrutura;
  • Obter aprovação técnica da Gerência de Infraestrutura antes de solicitar a compra de hardware, software ou serviços de informática;
  • Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta Política.
  • Respeitar a Política de Privacidade e Proteção de Dados Pessoais da Epimed;
  • Respeitar todas as normas da LGPD.

6.3 Da Área de TI:

  • Configurar os equipamentos e sistemas para cumprir os requerimentos desta Política;
  • Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais;
  • Restringir a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações;
  • Garantir segurança do acesso público e manter evidências que permitam a rastreabilidade para auditoria ou investigação;
  • Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes;
  • Administrar, proteger e testar as cópias de segurança dos programas e dados ao negócio da Epimed Solutions;
  • Gerenciar o descarte de informações a pedido dos custodiantes;
  • Garantir que as informações de um usuário sejam removidas antes do descarte ou mudança de usuário;
  • Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio;
  • Criar a identidade lógica dos colaboradores na empresa;
  • Atribuir contas e senhas identificáveis à pessoa física para uso de computadores, sistemas, bases de dados e qualquer outro ativo de informação;
  • Proteger todos os ativos de informação da empresa contra códigos maliciosos e ou vírus;
  • Garantir que processos de mudança não permitam vulnerabilidades ou fragilidades no ambiente de produção;
  • Definir as regras formais para instalação de software e hardware, exigindo o seu cumprimento dentro da empresa;
  • Realizar inspeções periódicas de configurações técnicas e análise de riscos;
  • Gerenciar o uso, manuseio e guarda de assinaturas e certificados digitais;
  • Garantir, assim que solicitado, o bloqueio de acesso de usuários por motivo de desligamento da empresa;
  • Propor as metodologias de desenvolvimento e processos específicos que visem aumentar a segurança da informação;
  • Pomover a conscientização dos colaboradores em relação à relevância da segurança da informação;
  • Apoiar a avaliação e a adequação de controles de segurança da informação para novos sistemas ou serviços;
  • Buscar alinhamento com as diretrizes corporativas da empresa;
  • Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;
  • Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas pode ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
  • Monitorar o ambiente de TI, a capacidade instalada da rede e dos equipamentos, tempo de resposta no acesso à internet e aos sistemas críticos da Epimed Solutions, indisponibilidade aos sistemas críticos, incidentes de segurança (vírus, trojans, furtos, acessos indevidos e assim por diante); atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);
  • Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior), conforme procedimento publicado na matriz de responsabilidade;
  • Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade.

7 - IDENTIFICAÇÃO - LOGIN E SENHA

  • Os sistemas de Login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro art. 307 – falsa identidade.
  • Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade será dos usuários que dele se utilizarem. Se for identificada solicitação do gestor para uso compartilhado ele deverá ser responsabilizado.
  • Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %).
  • É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
  • As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), não devem ser baseadas em informações pessoais, como o próprio nome, familiares, nascimento, endereço, placa de veículo, nome da empresa, e ou não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “123456”, entre outras.
  • Os usuários devem proceder a troca de senha, caso suspeitem de quebra por terceiros ou obrigatoriamente a cada 4 meses ou terão seus acessos bloqueados automaticamente.
  • O Login e Senha devem ser imediatamente bloqueados quando se tornarem desnecessários.
  • Tentativa de violação e burla de senhas de acesso, criptografia ou identificação biométrica, se identificada, será alvo de ação disciplinar.
  • Os acessos externos à rede de informações da Epimed Solutions fora do expediente de trabalho serão bloqueados atendendo a Lei 12.551, teletrabalho que altera o Art. 6° da CLT, exceto para cargos de confiança.

8 - REVISÃO DE ACESSO

  • A cada 6 (seis) meses, a Gerência de Infraestrutura deve revisar os usuários cadastrados para deliberar sobre a manutenção, revisão ou revogação dos perfis de acesso existentes;
  • Na eventualidade de transferências ou alterações de cargo, função ou área, os perfis de acesso são revisados;
  • O acesso às informações e Dados será restrito a certos perfis de acesso definidos pela Gerência de Infraestrutura;
  • O acesso aos Dados Pessoais dos Pacientes será restrito e limitado ao estritamente necessário para o cumprimento da finalidade do Tratamento, de forma que somente os profissionais essenciais às funções poderão ter o acesso permitido pela Gerência de Infraestrutura.

9 - REVOGAÇÃO DE ACESSO

  • O acesso de usuários desligados da Epimed Solutions deve ser revogado imediatamente no momento da comunicação do desligamento relizado pelo Departamento de Recursos Humanos.
  • A revogação de acesso deve ser registrada de modo que seja possível determinar a data da ocorrência, os usuários afetados, assim como os privilégios revogados.
  • As credenciais de acesso dos usuários que encerraram suas atividades na Epimed Solutions não devem ser removidas das bases cadastrais, mas devem ser bloqueadas de forma que não seja possível utilizá-las.
  • Devem ser mantidos registros que permitam identificar os usuários responsáveis pelas ações realizadas por meio das credenciais de acesso, mesmo depois de bloqueadas.

10 - RECURSOS COMPUTACIONAIS

  • Os recursos de TI alocados pela Epimed Solutions aos seus usuários são destinados exclusivamente às atividades relacionadas ao trabalho, sendo proibido o uso dos mesmos para fins pessoais.
  • Aos colaboradores da Epimed Solutions fica proibido o uso de equipamentos de tecnologia, como computadores, tablets, notebooks, netbooks e similares de propriedade particular nas dependências da empresa.
  • É proibida a intervenção do usuário para manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, bem como a transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros (pirataria).
  • Todo computador em desuso, deverá ser encaminhado à área de TI para a remoção das informações, descarte ou reuso.

11 - TELA LIMPA E MESA LIMPA

  • O papel de parede e proteção de tela de todos os micros deverá seguir a padronização da Epimed Solutions.
  • O usuário deve cuidar para que papéis, mídias e imagens nos monitores não fiquem expostos ao acesso não autorizado.
  • Os computadores deverão ser bloqueados por senha quando não estiverem sendo utilizados.

12 - DESCARTE DE MÍDIAS E DADOS

  • Mídias contendo informações referentes à Epimed Solutions deverão ser destruídas antes de seu descarte.
  • CD’s, DVD’s, e documentos em papel deverão passar pelo triturador antes de serem encaminhadas ao lixo. HD’s deverão ser encaminhados a TI para a destruição da informação antes do descarte ou reutilização.
  • Os Dados armazenados na Base de Dados da Epimed Solutions serão descartados em caso de ordem específica das Instituições de Saúde, ou em caso de término da relação contratual da Epimed Solutions com a Instituição de Saúde, nos termos da Política de Privacidade e Proteção de Dados Pessoais.

13 - CONTROLE E RESTRIÇÃO DE USO DE MÍDIAS REMOVÍVEIS/PORTAS USB

  • A Epimed Solutions bloqueia por padrão em todas as estações de trabalho o uso de mídias removíveis.
  • Quando necessário a utilização de mídias removíeis, o usuário deve abrir uma solicitação para o departamento de infraestrutura via canal de chamados (ServiceDesk), que irá solicitar aprovações necessárias para liberação temporária do recurso para o usuário específico.

14 - CLASSIFICAÇÃO DA INFORMAÇÃO

  • O gestor de cada área deve estabelecer os critérios relativos ao nível de confidencialidade da informação gerada por sua área e classificá-las em Pública, Confidencial, Restrita ou Interna, Os Dados dos Pacientes, sempre serão classificados como confidenciais e restritos, recebendo tratamento especial de proteção à confidencialidade.
  • O processo de classificação da informação deve iniciar com a definição do grau de proteção necessário, com base nos quatro níveis de sigilo a seguir definidos:
    • CONFIDENCIAL: Informação sensível que deve ser mantida em confidencialidade e manuseada apenas por pessoas autorizadas. O vazamento de informações com essa classificação gera impacto para a empresa e o negócio como um todo.
    • RESTRITA: Informação cujo acesso e manuseio são apenas para pessoas autorizadas. Caso sejam divulgadas erroneamente, afetam a continuidade de um ou mais processos de negócio da empresa. O vazamento de informações com essa classificação gera impacto para uma ou mais áreas da empresa.
    • INTERNA: Informação com baixa sensibilidade, mas que só deve circular internamente, não sendo de acesso público.
    • PÚBLICA: Informação que pode ser de conhecimento público e não possui restrições de divulgação.

15 - ANTIVÍRUS

  • A Epimed Solutions, por intermédio da Gerência de Infraestrutura, disponibiliza software corporativo de antivírus instalado para todos os usuários.
  • O antivírus é atualizado automaticamente na estação de trabalho do usuário sempre que uma nova versão é disponibilizada pelo fabricante através do aplicativo servidor.
  • A área de TI da Epimed Solutions não recomenda que o usuário remova ou altere as configurações do antivírus a fim de não comprometer a segurança que o fabricante do software proporciona.
  • As checagens periódicas do disco rígido, do HD e da estação de trabalho estão programadas para execução periódica automática conforme definições da área de TI no aplicativo servidor.

16 - ARMAZENAMENTO DE ARQUIVOS

  • Todos os arquivos contidos nos servidores de rede ou nas estações de trabalho dos usuários devem ser exclusivamente de interesse da Epimed Solutions.
  • É proibida a criação de pastas pessoais nos servidores de rede.
  • A criação de pastas departamentais nos servidores de rede deverá refletir a estrutura organizacional da Epimed Solutions e ser solicitada pelo responsável hierárquico à Gerência de Infraestrutura.
  • O acesso às pastas departamentais nos servidores de rede exige autorização do responsável hierárquico e da Gerência de Infraestrutura para o controle do acesso de cada usuário.
  • Todos os arquivos que não sejam do interesse da Epimed Solutions deverão ser excluídos dos equipamentos para evitar problemas futuros com as auditorias.
  • Informações classificadas como CONFIDENCIAL devem ser armazenadas em ambiente criptografado.

O armazenamento de arquivos nos servidores de rede ou nas estações de trabalho dos usuários da Epimed Solutions deve observar as normas da LGPD e as orientações desta Política e da Política de Proteção de Dados Pessoais.

17 - POLÍTICA DE BACKUP

  • A política de Backup da Epimed contempla a realização de 1 (um) backup Full semanal e backups incrementais diários de todo ambiente com retenção de 30 dias. 
  • Todos os backups são realizados em storages de ambientes paralelos da Epimed, que nos proporcionam uma maior velocidade para validação dos backups, assim como para restauração de dados se assim for necessário.

Havendo qualquer solicitação dos Pacientes ou da Instituição de Saúde para a exclusão dos Dados do Banco de Dados da Epimed Solutions, todos os Dados Pessoais dos Pacientes armazenados serão apagados de qualquer backup, servidor de rede, storage de ambiente paralelo e/ou das estações de trabalho dos usuários da Epimed Solutions,  de acordo com as normas da LGPD e as orientações desta Política e da Política de Proteção de Dados Pessoais.

18 - SALVAGUARDA DE ARQUIVOS

  • Compete à Gerência de Infraestrutura criar e manter cópias de segurança (backups) apenas dos dados armazenados nos servidores de rede.
  • Os usuários devem manter obrigatoriamente os documentos, planilhas, e-mails, apresentações, desenhos e outros dados críticos da Epimed Solutions nas pastas departamentais dos servidores de rede.
  • São de responsabilidade exclusiva do usuário a cópia de segurança (backup) e a guarda dos dados gravados da sua estação local de trabalho.
  • Os Dados Pessoais dos Pacientes são, sob qualquer circunstância, restritos e confidenciais, sendo vedado o acesso por pessoas não autorizadas pela Gerência de Infraestrutura. Não é permitido o armazenamento de Dados Pessoais de Pacientes nas pastas departamentais dos servidores de rede ou nas estações locais de trabalho dos usuários, devendo ficar armazenados em locais dotados de proteção à confidencialidade, com acesso limitado ao estritamente necessário e às pessoas autorizadas, na forma do Item 8 da Política.

19 - UTILIZAÇÃO DA INTERNET

  • A Internet foi instalada para viabilizar a busca de informações e agilizar determinados processos da Epimed Solutions, sendo proibido o uso pessoal da ferramenta.
  • O uso indevido do acesso à Internet é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado legalmente pelos danos causados.
  • A auditoria dos acessos à Internet leva ao conhecimento dos responsáveis hierárquicos relatórios com nomes dos usuários, páginas consultadas, tempo de consulta e o conteúdo navegado.

20 - JOGOS

Jogos estão terminantemente proibidos.

21 - SOFTWARES PIRATAS

  • Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva da Epimed Solutions, sendo proibidas as cópias integrais, ou mesmo as parciais, bem como a instalação de softwares piratas.
  • Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais além de denegrir a imagem da Instituição. Por esta razão, estão terminantemente proibidos.
  • A instalação de softwares não autorizados (“Pirataria”) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa.

22 - CONFIGURAÇÕES DOS SERVIDORES E EQUIPAMENTOS DOS USUÁRIOS

  • Todas as implantações de Servidores são baseadas em um template padrão para cada ambiente e distribuído através do sistema de Gerenciamento de Imagens do VMware.
  • Os Sistemas Operacionais das estações de trabalho são distribuidos através da ferramenta de distribuição e configuração da plataforma Kaspersky Security for Business – Advanced.

23 - EMAIL E MENSAGENS INSTANT NEAS

  • É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária à lei, à moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros.
  • O conteúdo e a utilização de e-mails, correios eletrônicos ou mensagens instantâneas devem ser de caráter exclusivamente profissional.
  • Os serviços de mensagens instantâneas são permitidos apenas para os usuários autorizados pela hierarquia da Epimed Solutions.
  • A salvaguarda do conteúdo anexo é de responsabilidade exclusiva do usuário, ficando a Epimed Solutions isenta de tal obrigação.
  • É proibido o uso de software de e-mail, mensagens instantâneas e correio interno não homologados pela Gerência de Infraestrutura. O uso dos mesmos é de responsabilidade do usuário e podem trazer riscos a segurança da informação além de dificultar o suporte técnico.
  • Quaisquer comunicados em massa, propagandas, informativos, imagens, etc. deverão ser previamente aprovados pela Gerência de Infraestrutura, a fim de não serem tratados como Spam ou comprometerem o funcionamento dos sistemas de e-mail.
  • Mensagens recebidas de origem desconhecida deverão ser previamente visualizadas e eliminadas imediatamente, sem leitura de seu conteúdo, para evitar contaminação por vírus e outros riscos.
  • O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados.
  • As mensagens trafegadas sob o domínio da Epimed Solutions poderão ser auditadas, mediante solicitação, conforme definição do Tribunal Superior do Trabalho (TST). Desta forma, é proibida a utilização particular.
  • Em nenhuma hipótese a Epimed Solutions será responsabilizada perante quaisquer usuários ou terceiros pela perda de mensagens e/ou respectivo conteúdo.
  • O fato de o colaborador responder a um e-mail fora do horário de expediente não configurará hora extra. Para que isto ocorra, é necessário que a Epimed Solutions tenha exigido, na solicitação formalmente enviada por e-mail, a realização de uma tarefa fora do horário de trabalho.

24 - AUDITORIAS

  • Auditorias serão realizadas e relatórios serão gerados periodicamente ou conforme solicitações de acordo com os procedimentos da área de TI.
  • O acesso remoto, ou auditoria de dados locais, mediante autorização da diretoria ou do gestor do colaborador, quando realizados no equipamento de uso do colaborador, não caracteriza invasão do mesmo, pois o equipamento é de propriedade da empresa e todas as informações contidas no mesmo são de propriedade da Epimed Solutions, uma vez que o usuário é proibido de salvar dados pessoais nos equipamentos de tecnologia da Epimed Solutions.
  • A Diretoria da Epimed Solutions poderá solicitar à Gerência de Infraestrutura relatórios de auditoria contendo o nome, mensagens trafegadas, acessos à Internet e demais informações do usuário conforme resolução do TST.

25 - GERENCIAMENTO DE LOGS

A Epimed Solutions possui Ferramentas de Gerenciamento de Logs, desenvolvidadas internamente e soluções de terceiros como o ApexSQL Log que permitem identificar todas ações realizadas pelos usuários e colaboradores e em seus sistemas.

26 - ACESSO REMOTO AO ESCRITÓRIO

  • O acesso remoto aos  equipamentos, softwares, banco de dados, informações, dados, programas de informática, e-mails, canais/endereços eletrônicos, ou a qualquer tipo de arquivo ou informação existente nos estabelecimentos da Epimed Solutions (“Escritório”), ou auditoria de dados locais, mediante autorização da diretoria ou do gestor do colaborador, quando realizados no equipamento de uso do colaborador para o exercício de sua função na Epimed Solutions, não caracteriza invasão, pois o equipamento é de propriedade da empresa, e todas as informações contidas no mesmo são de propriedade da Epimed Solutions, uma vez que o usuário é proibido de salvar dados e arquivos pessoais nos equipamentos de tecnologia da Epimed Solutions.
  • O acesso remoto às informações e Dados existentes no Escritório da Epimed Solutions será restrito, sendo tratado como uma excepcionalidade e que somente será permitido mediante a prévia e expressa autorização da Diretoria da Epimed Solutions
  • A restrição ao acesso remoto ao Escritório está alinhada com as boas práticas de segurança da informação adotadas pela Epimed Solutions, sendo uma medida para a proteção da confidencialidade dos Dados aplicada em atenção à LGPD e a Política de Privacidade e Proteção de Dados Pessoais.

27 - ACESSO REMOTO AO DATA CENTER

  • O acesso remoto aos servidores alocados no data center (“Data Center”) da Epimed Solutions é realizado através de uma conexão VTN – Virtual Private Network (rede privada virtual), (originada dos estabelecimentos físicos da Epimed Solutions
  • Todos os acessos são realizados somente por colaboradores da Epimed Solutions. 
  • O controle de acesso é vinculado ao perfil de rede de cada colaborador autorizado previamente por cada área responsável.
  • O acesso remoto ao Data Center da Epimed Solutions será restrito, sendo tratado como uma excepcionalidade, e somente será permitido mediante a prévia e expressa autorização pela Diretoria da Epimed Solutions.
  • A restrição ao acesso remoto ao Data Center está alinhada com as boas práticas de segurança da informação adotadas pela Epimed Solutions, sendo uma medida para a proteção da confidencialidade dos Dados aplicada em atenção à LGPD e a Política de Privacidade e Proteção de Dados Pessoais.

28 - CASOS OMISSOS

  • Antes de efetuar ações que possam apresentar risco potencial para as informações e sistemas da Epimed Solutions, o usuário deve consultar a presente Política e a Política de Privacidade e Proteção de Dados Pessoais, a fim de certificar-se de que a atividade é lícita e segura. Os casos não previstos, dúvidas sobre segurança da informação ou quanto ao uso do software deverão ser encaminhados para a área de Gestão de Infraestrutura. 
  • As situações especiais e/ou pedidos de exceção a esta Política deverão ser avaliados pela Diretoria para deliberação, sob pena de infração das normas e aplicação das penalidades previstas no Item 29.

 

29 - CONFORMIDADE

  • O usuário deve estar ciente e seguir as recomendações desta Política, interpretando a classificação atribuída às informações e Dados, e assegurando que recebam tratamento adequado. 
  • O mau uso dos recursos de tecnologia caracteriza um incidente de segurança da informação e pode resultar na aplicação de sanções legais e/ou administrativas, conforme a gravidade e impacto do incidente para a Epimed Solutions.
  • As violações às disposições estabelecidas na presente Política, devidamente apuradas, poderão implicar:
    • Na aplicação das sanções previstas na legislação trabalhista;
    • Na aplicação das sanções previstas na LGPD;
    • Na aplicação das sanções previstas em contrato aos prestadores de serviço e estagiários;
    • Na aplicação dos procedimentos legais cabíveis.

30 - DISPOSIÇÕES FINAIS

  • Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da Epimed Solutions. Ou seja, qualquer incidente de segurança subentende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.
  • Todas as práticas que ameacem à segurança da informação serão tratadas com a aplicação de ações disciplinares, desde uma advertência verbal até rescisão contratual por justa causa, levando em consideração fatores como: função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado a Epimed Solutions, entre outros.