Política de privacidade

Última atualização: 21.11.2024

Yupee Tecnologia e Serviços LTDA

Última atualização: 21.11.2024

Política de Privacidade YUPEE
VERSÃO 1.0
22.04.2026

  1. SUMÁRIO
    1. Introdução 4
    1.1. Objetivo 4
    1.2. Abrangência 4
    1.3. Escopo 4
    1.4. Gerenciamento da Mudança 4
    1.5. Vigência 5
    2. Deffinições 5
    3. Classifficação da Informação 6
    4. Coleta de Dados 6
    4.1. Tipos de Dados Coletados 6
    4.1.1. Base Legal para Coleta 6
    5. Acesso a Dados 7
    5.1. Segregação de Ambientes 7
    5.2. Acesso Remoto 8
    6. Compartilhamento de Dados 8
    7. Segurança da Informação 8
    7.1. Controles de Acesso 8
    7.2. Proteção de Dados 9
    7.3. Segurança Física 9
    7.4. Segurança de Rede 9
    7.5. Gestão de Vulnerabilidades 10
    7.6. Gestão de Incidentes de Segurança 10
    8. Retenção e Descarte de Dados 10
    9. Treinamento e Conscientização 11
    10. Direitos dos Titulares dos Dados 11
    11. Responsabilidades 12
    12. Incidentes de Segurança 12
    13. Revisões da Política 13
    14. Monitoramento e Auditoria 13
    15. Sanções 13
    16. Casos Omissos 13
    17. Dúvidas e Suporte 14

1. Introdução

1.1. Objetivo

Esta política define as diretrizes e procedimentos para o tratamento adequado e seguro dos dados pessoais pelo YUPEE, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e demais legislações aplicáveis. O objetivo é garantir a privacidade, confidencialidade, integridade e disponibilidade dos dados pessoais processados pela organização.
1.2. Abrangência

Esta política se aplica a todos os colaboradores do YUPEE e usuários da ferramenta.

1.3. Escopo

Este documento define as diretrizes para a proteção da privacidade dos dados internos e de clientes do YUPEE, em conformidade com a legislação vigente, incluindo a Lei Geral de Proteção de Dados (LGPD).
O descumprimento destas normas poderá resultar em sanções administrativas ou disciplinares, conforme previsto na CLT, com base na avaliação específica de cada ocorrência de não conformidade.
1.4. Gerenciamento da Mudança

As alterações neste documento são de responsabilidade do time de Segurança da Informação YUPEE e estarão contempladas no controle de versionamento.
Mudanças no regramento além de registradas no controle de versionamento também serão disponibilizadas em site interno.

Este documento é aprovado pela Diretoria do YUPEE.

As regras estabelecidas passam a ser adotadas e incorporadas no período de revisão de cada um dos documentos, conforme vigência estabelecida e data de publicação da última versão.
1.5. Vigência

Este documento é válido por até 12 meses a partir da data de sua publicação, constante no controle de versões, podendo ser alterado em período anterior caso necessário.


2. Definições

● Dados Pessoais: Quaisquer informações relacionadas a uma pessoa natural
identificada ou identificável.
● Dados Sensíveis: Dados pessoais que revelam origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes m saúde ou m vida sexual, dados genéticos ou biométricos. O YUPEE não trata dados sensíveis.
● Titular dos Dados: A pessoa natural a quem os dados pessoais se referem.
● Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
● Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
● Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,

armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

3. Classificação da Informação

As informações são classificadas em três níveis, de acordo com seu grau de sigilo e criticidade para o negócio:
● Pública: Informações de conhecimento público, sem restrições de divulgação, a não ser que indicado na capa e rodapé do documento (ex: comunicados de imprensa, relatórios anuais).
● Interna: Informações acessíveis a todos os colaboradores, mas não destinadas m divulgação externa (ex: políticas internas, comunicados internos).
● Conffidencial: Informações restritas a grupos específicos, cuja divulgação não autorizada pode causar danos ao negócio (ex: relatórios gerenciais).
Todos os dados pessoais, por padrão, são classificados como Conffidenciais,

4. Coleta de Dados

4.1. Tipos de Dados Coletados

Os dados pessoais coletados pelo YUPEE incluem, mas não se limitam a: CPF, nome completo, dados bancários, endereço, telefone e e-mail. A coleta é realizada para fins de execução de contrato e cumprimento de obrigações legais.
4.1.1. Base Legal para Coleta

A coleta de dados pessoais será realizada com base na execução de contrato, consentimento do titular ou cumprimento de obrigações legais. O

YUPEE se compromete a coletar apenas os dados estritamente necessários para as finalidades especificadas e a informar o titular sobre a finalidade da coleta.

5. Acesso a Dados

O acesso aos dados pessoais é restrito aos colaboradores que necessitam dessas informações para o desempenho de suas funções. Os níveis de acesso são definidos de acordo com a função e responsabilidade de cada colaborador, seguindo o princípio do privilégio mínimo. Todo acesso é monitorado e auditado para garantir a segurança e o uso adequado das informações.
Os dados pessoais dos clientes do YUPEE são estritamente limitados ao ambiente de produção. O acesso a este ambiente e as mídias físicas de armazenamento de backup é exclusivo aos colaboradores das equipes de operações, que assinam um termo de responsabilidade e confidencialidade sobre quaisquer dados aos quais possam ter acesso.
A prestação do serviço é realizada de forma totalmente automatizada, sem intervenção humana. Qualquer intervenção por parte da equipe de operações no ambiente de produção ocorre exclusivamente para manutenções ou resolução de incidentes.
5.1. Segregação de Ambientes

Para garantir a segurança dos dados, os ambientes de desenvolvimento, teste, homologação e produção são segregados, com diferentes níveis de acesso e controle.

5.2. Acesso Remoto

O acesso remoto ao ambiente de produção é permitido apenas para colaboradores autorizados da equipe de operações, via protocolo RDP (Remote Desktop) com autenticação de duplo fator (certificado digital e senha). O acesso é concedido somente ms estações de trabalho na Matriz, sem possibilidade de cópia de dados entre as estações. O servidor RDP centraliza todos os acessos ao ambiente e sistemas de produção.


6. Compartilhamento de Dados

Os dados pessoais são compartilhados com terceiros apenas quando necessário para a execução do contrato ou para o cumprimento de obrigações legais. O YUPEE garante que os terceiros que recebem dados pessoais mantenham os mesmos níveis de segurança e confidencialidade exigidos pela LGPD.


7. Segurança da Informação

O YUPEE implementa medidas robustas de segurança da informação para proteger os dados pessoais, alinhadas com as melhores práticas e com a Política de Segurança da Informação. As principais medidas incluem:
7.1. Controles de Acesso

● Princípio do Menor Privilégio: Acesso concedido somente aos dados necessários para a função.
● Autenticação Multi-Fator: Utilizada para acesso a sistemas críticos, combinando senha forte.

● Gestão de Identidades e Acessos: Sistema centralizado para gerenciar usuários, grupos e permissões, garantindo controle de acessos.
● Monitoramento de Acessos: Registros de acesso a sistemas e dados são monitorados e auditados regularmente para detectar atividades suspeitas.
7.2. Proteção de Dados

● Segurança de Aplicações: Desenvolvimento e manutenção de softwares seguros, com testes regulares de vulnerabilidade e práticas de codificação segura.
● Backup e Recuperação de Dados: Processos regulares de backup e recuperação garantem a disponibilidade e integridade dos dados em caso de incidentes.
7.3. Segurança Física

● Controle de Acesso Físico: Acesso restrito ms instalações e data centers, com medidas de segurança como controle de entrada, vigilância e monitoramento.

7.4. Segurança de Rede

● Firewall e Sistemas de Detecção/Prevenção de Intrusão (IDS/IPS): Protegem a rede contra acessos não autorizados e atividades maliciosas.

● Segmentação de Rede: Divisão da rede em segmentos para isolar sistemas críticos e limitar o impacto de incidentes de segurança.
● VPN (Virtual Private Network): Conexões seguras para acesso remoto m rede corporativa.
7.5. Gestão de Vulnerabilidades

● Scan de Vulnerabilidades: Realizados regularmente para identificar e
corrigir falhas de segurança em sistemas e aplicações.
● Gestão de Patches: Atualizações de segurança são aplicadas prontamente para mitigar vulnerabilidades conhecidas.
7.6. Gestão de Incidentes de Segurança

● Plano de Resposta a Incidentes: Procedimentos para detectar, analisar, conter e recuperar de incidentes de segurança.
● Comunicação e Notifficação: Canais de comunicação para reportar
incidentes e notificar as autoridades competentes, quando necessário.

Esta seção resume as principais medidas de segurança da informação implementadas pelo YUPEE, detalhando os controles e processos para proteger os dados pessoais.

8. Retenção e Descarte de Dados

Os dados pessoais serão armazenados pelo período necessário para cumprir as finalidades para as quais foram coletados, conforme previsto na legislação aplicável, em 05 anos, período em que o YUPEE têm obrigações legais com seus clientes.

Após esse período, os dados serão descartados de forma segura,

garantindo a sua completa eliminação e impossibilitando a sua recuperação, seguindo o procedimento descrito na Política de Descarte Seguro.

9. Treinamento e Conscientização

Serão oferecidos treinamentos durante o onboarding de novos colaboradores sobre esta política de privacidade, a importância da proteção de dados pessoais e as melhores práticas de segurança da informação.


10. Direitos dos Titulares dos Dados

O YUPEE garante aos titulares dos dados o exercício dos seus direitos previstos na LGPD, incluindo:
● Acesso aos dados: Direito de confirmar a existência de tratamento e obter
acesso aos dados.
● Correção dos dados: Direito de solicitar a correção de dados incompletos, inexatos ou desatualizados.
● Bloqueio ou eliminação dos dados: Direito de solicitar bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
● Portabilidade dos dados: Direito de receber os dados pessoais em formato estruturado e interoperável.
● Informação sobre o compartilhamento de dados: Direito de obter informações sobre as entidades públicas e privadas com as quais os dados foram compartilhados.
● Revogação do consentimento: Direito de revogar o consentimento para o tratamento dos dados, quando este for a base legal para o tratamento.

Os titulares dos dados podem exercer os seus direitos entrando em contato com o YUPEE no email contato@yupee.com.br.

11. Responsabilidades

● Todos os colaboradores: Responsáveis por proteger os dados pessoais aos quais têm acesso, cumprir esta política e reportar qualquer incidente de segurança ou violação de dados.
● DPO (Encarregado de Proteção de Dados): Responsável por orientar os colaboradores sobre a LGPD, supervisionar a implementação desta política e atuar como canal de comunicação com a ANPD e os titulares dos dados.
● Equipe de Segurança da Informação: Responsável por implementar e manter as medidas de segurança da informação, monitorar os sistemas e responder a incidentes de segurança.
● Diretoria: Responsável por aprovar e revisar esta política, garantindo os recursos necessários para a sua implementação e assegurando a conformidade com a LGPD.

12. Incidentes de Segurança

Em caso de incidentes de segurança envolvendo dados pessoais, os colaboradores devem notificar imediatamente o DPO e a equipe de segurança da informação e posteriormente o controlador dos dados que foram afetados no incidente, assim como a ANPD.

13. Revisões da Política

Esta política será revisada e atualizada anualmente, ou sempre que necessário, para garantir sua conformidade com a legislação e as melhores práticas de privacidade e segurança da informação. Os colaboradores serão informados sobre quaisquer atualizações.

14. Monitoramento e Auditoria

A conformidade com esta política será monitorada por meio de auditorias periódicas, revisões de processos e controle de acessos.

15. Sanções

A identificação de não conformidade implicará, automaticamente, na necessidade de revisão e atualização do documento pela Diretoria específica ao qual está vinculado.
Ainda, a não atenção e cumprimento deste regulamento poderá implicar em diferentes sanções, conforme previsto na CLT, a critério de avaliação da ocorrência de não conformidade. São exemplos de sanções aplicáveis: treinamento adicional, advertência verbal, advertência escrita. Também podem ser aplicadas outras ações legais em casos de situações extremas que resultem em danos significativos m Companhia.

16. Casos Omissos

Qualquer situação relacionada ao escopo deste regulamento, que não tenha sido devidamente prevista, deve ser documentada e reportada para apreciação, análise e tomada de decisão em conjunto com a Diretoria do YUPEE.

17. Dúvidas e Suporte

Em caso de dúvidas sobre esta política, os colaboradores devem entrar em contato com o DPO ou com a equipe de segurança da informação.