A presente Política de Segurança da Informação da EthQuo – Ethical Quotient Serviços de Compliance e Tecnologia Ltda. (“EthQuo”) dispõe sobre:
As diretrizes e práticas que nortearão o uso de ativos de informação da empresa, relativamente à sua confidencialidade, integridade, confidencialidade e privacidade, abrangendo:
As obrigações que recaem sobre os sócios, prepostos, empregados e terceiros que atuem na EthQuo, relativamente à segurança da informação.
Não abrimos mão de um comportamento empresarial ético em todos os aspectos da nossa atuação profissional. Para maiores informações sobre nossos compromissos, políticas e diretrizes, consulte o nosso Código de Conduta em www.ethquo.com.
A EthQuo é uma empresa de tecnologia do segmento de serviços regulatórios (Reg Tech). Apoiamos as organizações no cumprimento de normas legais, regulamentos e políticas internas relativas à pesquisa e avaliação de informações sobre contrapartes de negócios (fornecedores, clientes, parceiros etc.), que possam representar riscos de ordem patrimonial, reputacional, criminal ou regulatória para a empresa e seus administradores. A conformidade (ou compliance) com essas normas legais, regulamentos e políticas internas é um dos elementos mais importantes das práticas de governança corporativa orientadas para a diligência prévia na contratação de contrapartes, usualmente designadas como background check, Know Your Client (KYC), Know Your Employee (KYE) e outras denominações.
Os investimentos que fazemos em soluções para suportar os processos internos de diligência prévia de compliance de nossos clientes primam pelo uso de tecnologia de ponta e técnicas robustas de segurança da informação, com vistas a sustentar nossos clientes com boas práticas de governança e em seu compromisso com a conformidade.
Como empresa de tecnologia do segmento de Compliance, temos orgulho da contribuição que damos para as práticas que promovem a ética nos negócios, em busca de um mundo cada vez melhor. Se você, leitor, quiser saber um pouco mais sobre nossas práticas de compliance, por favor nos procure através do e-mail contato@ethquo.com.
Fazemos referência à EthQuo através do uso de termos tais como “site”, “nós”, “nosso”, “conosco”, palavras tais como “você”, “seu” e expressões similares referem-se a nossos clientes, a usuários de nossa tecnologia atuando em nome de nossos clientes ou a visitantes em nosso site.
Definição de informação
A informação gerada originariamente pelas atividades operacionais da EthQuo, ou derivada de clientes ou terceiros, é protegida contra acesso e compartilhamento não autorizados de qualquer espécie e não é utilizada para nenhuma finalidade de marketing ou de qualquer forma comercializada. Tal informação é empregada no estrito atendimento aos nossos clientes, nos termos dos serviços acordados nos respectivos contratos. Para mais informações sobre nossas diretrizes e práticas de proteção de dados, consulte a nossa Política de Privacidade de Dados, em www.ethquo.com.
As atividades que envolvam geração, utilização, armazenamento, manutenção, distribuição e deleção de informação em quaisquer ambientes operacionais da EthQuo, físicos ou digitais, devem manter coerência com nosso propósito empresarial, nossos valores e práticas descritas em nosso Código de Conduta, devendo ser sempre adequadamente documentadas.
A Administração da EthQuo se reserva no direito de inspecionar e analisar informações mantidas ou armazenadas em quaisquer de seus ambientes físicos, digitais e em equipamentos de uso operacional. O compartilhamento de informações físicas ou digitais em âmbito interno na EthQuo ou com interlocutores externos de quaisquer espécie deve ser feito com o uso de recursos seguros.
A informação interna da EthQuo (de natureza comercial, de cadastro ou administrativa) será armazenada digitalmente pelo tempo requerido pela legislação em vigor. A informação técnica, resultante da prestação dos nossos serviços a clientes, será armazenada pelo prazo de duração dos respectivos contratos, sendo excluída em curto período de tempo após o término da contratação, para minimizar eventuais riscos de violação de privacidade de nossos clientes, ou de terceiros que tenham sido objeto de pesquisas de diligência prévia ou outros processamentos com o uso de soluções EthQuo. O armazenamento das informações – interna e técnica – observará recursos e técnicas apropriadas e terá proteção contra sinistros, acessos não autorizados e perda definitiva de dados causada por incidentes, incluindo back-ups de ambientes, aplicações e bases de dados, infraestuturas redundantes, dentre outras.
A EthQuo utilizará servidores de firewalls, servidores de acesso à internet, serviços anti-spam, ferramentas anti vírus ou malwares para proteção e controle da informação e de sua rede de comunicação interna e externa.
Caso terceiros externos à EthQuo (por exemplo, prestadores de serviços, auditores e outros) venham a ter acesso aos nossos sistemas e/ou à informação nele armazenada, sua atuação deverá ser na menor extensão e prazo possíveis, observando apenas o necessário para atendimento a demandas operacionais da EthQuo, a alguma solicitação específica previamente acordada com nossos clientes ou à determinação formal de alguma autoridade, sempre com registro da trilha de utilização, com documentação adequada e com estrita observância das diretrizes previstas nesta Política de Segurança da Informação.
As aplicações proprietárias EthQuo compõem o acervo de propriedades intelectuais da empresa e, quando aplicável, deverão ser registradas no INPI. Reservamo-nos todos os direitos a respeito de qualquer tecnologia associada a nossos serviços e plataformas digitais de navegação.
Todos os ativos de informação originários da EthQuo constantes em nosso site ou distribuídos por quaisquer mídias (físicas ou digitais), incluindo demonstrações de funcionamento (“demos”) da nossa tecnologia, conteúdos, opiniões, compilações de dados para apresentações, documentos sobre aspectos funcionais ou de design de nosso software, informações institucionais sobre nós e nossa forma de atuação profissional, dentre outros, são de propriedade da EthQuo, e são protegidos pela lei de direitos autorais e, quando aplicável, pelas normas de registro de propriedade intelectual. Quando fizermos menção a algum material ou conteúdo não originado na EthQuo, sempre indicaremos a respectiva fonte e buscaremos, quando necessário, autorização prévia do respectivo titular.
As atividades de desenvolvimento das aplicações da EthQuo deverão ser realizadas em ambientes específicos e separados dos ambientes de produção, seguindo boas práticas de documentação, sustentadas em artefatos e registros de códigos fonte e objetos em geral em repositório seguro, e que permitam que nossos sistemas sejam recuperados, se necessário.
As aplicações não proprietárias somente serão instaladas em equipamentos da EthQuo e utilizadas por nossos sócios, prepostos, empregados ou terceiros contratados pela empresa mediante licença de uso firmada em nome da nossa empresa e com observância dos procedimentos de cópia (download) e das regras de utilização acordadas com a entidade proprietária do software.
A Diretoria de Tecnologia da EthQuo, na pessoa de seu Chief Technology Officer (CTO), é responsável por estabelecer perfis de acesso e uso dos sistemas proprietários da nossa empresa e de terceiros, compatíveis com os atributos funcionais e responsabilidades dos respectivos usuários. Os acessos e atividades realizados pelos usuários dos sistemas proprietários EthQuo e de terceiros serão monitorados e testados, para detecção e prevenção de fraudes ou danos acidentais aos sistemas e bases de dados.
É também responsabilidade da Diretoria de Tecnologia estabelecer um plano e executar atividades que garantam que o uso projetado dos sistemas e das infraestruturas digitais que os suportam é compatível com as demandas e outros requisitos de usuários internos, externos e clientes, considerando aspectos de disponibilidade, tráfego, performance, condições de acesso e usabilidade.
Regras gerais
“Esta mensagem e seus anexos podem conter informações confidenciais, privilegiadas, de divulgação restrita ou com dados pessoais sensíveis, cujo sigilo é protegido por lei. Caso a mensagem tenha chegado ao seu conhecimento por engano ou erro do remetente, não utilize o conteúdo, anexos, informação ou contexto da mensagem recebida para nenhum fim; em o fazendo, você poderá estar incorrendo em uso indevido de informações privadas. Solicitamos, gentilmente, que apague a mensagem e avise imediatamente ao remetente. O conteúdo desta mensagem e seus anexos não representam necessariamente a opinião e a intenção da EthQuo, não implicando em qualquer obrigação ou responsabilidade imediata da nossa parte.
A EthQuo desenvolverá um plano de continuidade do negócio (Business Continuity Plan – BCP), contemplando a recuperação e restauração de processos críticos, com foco nos níveis de serviços a clientes, relacionamentos com autoridades e fluxo financeiro de pagamentos e recebimentos.
O BCP deverá ser acionado em situações de indisponibilidade do ambiente sistêmico e outros recursos chave que suportem a informação e as aplicações operacionais, proprietárias ou de terceiros, que dão sustentação ao negócio.
A Diretoria de Tecnologia será responsável pela concepção, implementação e testes do BCP aprovado. O plano será periodicamente revisado, no mínimo em bases anuais, com vistas a assegurar sua atualidade e efetividade, dando especial atenção a novos processos, interdependência entre sistemas, contratos, nível de serviço acordado com clientes em geral e fornecedores críticos, capacitação das equipes de operação, histórico de eventos e boas práticas divulgadas.
A Diretoria de Tecnologia será responsável por elaborar, publicar e revisar o plano de resposta a incidentes de ciber segurança. O plano dever detalhar as etapas de investigação, entendimento e resposta a serem cumpridas imediatamente após identificado ou reportado um incidente.
O plano deve incluir a caracterização do incidente, seus potenciais impactos e medidas remediatórias em curso e outras a serem aplicadas, bem como um protocolo de comunicação com terceiros (clientes, pessoas, entidades, autoridades etc.) potencialmente afetados.
Os sócios, prepostos, empregados e terceiros contratados pela EthQuo são responsáveis por reportar prontamente à Diretoria de Tecnologia sobre qualquer evento, situação e fato ocorrido ou suspeito, que possa caracterizar incidente relacionado com segurança da informação ou violação das diretrizes e práticas previstas nesta Política.
Qualquer outra pessoa que tenha tome conhecimento de evento, situação, fato ocorrido ou suspeito, que possa caracterizar incidente relacionado com segurança da informação ou violação das diretrizes e práticas previstas nesta Política, poderão reportá-lo através do e-mail contato@ethquo.com.
A Diretoria de Tecnologia será responsável por desenvolver um material de treinamento sobre Segurança da Informação, incluindo o conteúdo desta Política, mantendo-o permanentemente atualizado. As sessões de capacitação deverão contemplar workshops para aferição de conhecimento, devendo ser ministradas a todos os sócios, prepostos, empregados e terceiros contratados pela EthQuo ao menos uma vez por ano.
O material de treinamento deverá ser mantido atualizado e disponível para consulta dos sócios, prepostos, empregados e terceiros contratados pela EthQuo, a qualquer momento. Novos sócios, prepostos, empregados ou terceiros, quando admitidos ou contratados pela empresa, deverão obrigatoriamente se dedicar a uma sessão de auto-instrução, tendo como base o material do treinamento.
Todas as diretrizes e práticas previstas nesta Política de Segurança da Informação são de observância obrigatória por parte dos sócios, prepostos, empregados e terceiros contratados pela EthQuo. As condutas previstas na presente Política ou esperadas em razão de suas diretrizes deverão prevalecer para além do término das relações contratuais entre a EthQuo e seus sócios, prepostos, empregados e terceiros contratados pela empresa, devendo os respectivos instrumentos contratuais dispor sobre tal condição, quando não decorra diretamente de texto de lei, bem como prever penalidades aplicáveis em caso de descumprimento.
Mudanças nesta Declaração
Em caso de modificação dos termos constantes na presente Política de Segurança da Informação, publicaremos as respectivas alterações em nosso site e manteremos as versões anteriores arquivadas, para você poder compará-las.
Disposições complementares
Ao manter uma relação profissional, comercial ou institucional com a EthQuo, você deverá atuar com observância das diretrizes contidas nesta Política de Segurança da Informação.
Na eventualidade de alguma diretriz contida nesta Política de Segurança da Informação se tornar inválida, em virtude de conflito com alguma lei que venha a ser instituída ou outras razões, as demais disposições continuarão em pleno vigor e efeito.
A interpretação, conformidade e aplicação desta Política de Segurança da Informação serão regidas pelas leis federais do Brasil e todos os nossos serviços devem ser considerados como prestados no território brasileiro. Em caso de discussão judicial, deverá ser utilizado o foro da justiça da Cidade de São Paulo, Estado de São Paulo, prevalecendo sobre qualquer outro, independentemente do motivo.
Os títulos que adotamos nas seções desta Política de Segurança da Informação têm a finalidade de oferecer uma indicação conveniente dos conteúdos nelas contidos, mas o significado ou a interpretação de quaisquer de suas disposições não depende do título que adotamos, e sim dos textos transcritos nas respectivas seções.
Para devida publicidade, esta Política de Segurança da informação estará disponível digitalmente no site da EthQuo (endereço eletrônico www.ethquo.com).