LGPD Clause
Clause X: Protection of Personal Data
Item 1.
The parties declare to be aware of and in compliance with Law No. 13,709/2018 (General Personal Data Protection Law - LGPD) and other applicable rules on the matter, committing to treat personal data that may eventually be accessed due to the execution of this contract, in a lawful, safe, transparent and ethical manner, respecting the rights of data subjects and the specific purposes of the processing.
Item 2.
The CONTRACTOR, as operator of personal data provided by the CONTRACTOR or its clients, undertakes to:
• Follow the CONTRACTING PARTY's instructions regarding the processing of personal data, not being able to use them for purposes other than those provided for in this contract or authorized by the data subject;
• Implement appropriate technical and administrative measures to ensure the protection of personal data against unauthorized access, loss, damage, alteration or undue disclosure;
• Inform the CONTRACTING PARTY about any security incident involving personal data processed within the scope of this contract, as well as adopt the necessary measures to mitigate risks and prevent damage to data subjects;
• Maintain the secrecy and confidentiality of personal data processed within the scope of this contract, not sharing them with third parties without the express consent of the CONTRACTING PARTY or the data subject, unless required by law or court order;
• Delete personal data processed within the scope of this contract after the end of the provision of services or when requested by the CONTRACTING PARTY or the data subject, except in the legal hypotheses of data conservation.
Item 3.
The CONTRACTOR, as controller of personal data provided to the CONTRACTED PARTY or by its clients, undertakes to:
• Obtain the free, informed and unequivocal consent of data subjects for their processing by the CONTRACTED PARTY, under the terms and for the purposes set out in this contract;
• Provide the CONTRACTOR with only the personal data strictly necessary to perform the contracted services, avoiding excessive or unnecessary processing of data;
• Inform data subjects about their rights of access, rectification, cancellation, opposition, portability and deletion of their personal data, as well as the means to exercise them;
• Communicate to the CONTRACTOR about any request, complaint or legal demand involving personal data processed within the scope of this contract, as well as cooperate with the CONTRACTOR in adopting the appropriate measures to meet the demands of data holders or competent authorities;
• Indemnify the CONTRACTOR for any damages arising from failure to comply with its obligations relating to the protection of personal data provided for in this contract or in applicable legislation.
Item 4.
The parties are jointly and severally liable for damages caused to data subjects due to the illicit or irregular processing of their personal data within the scope of this contract, without prejudice to the right of recourse against the party that caused the damage.
Item 5.
The parties undertake to periodically review and update this agreement to reflect any changes in personal data protection laws and regulations.
Nossas Políticas de Governança para Confidencialidade e Segurança
Segurança
Política de Segurança no Desenvolvimento e Uso de Software
1. Introdução
Este documento lista os principais controles utilizados pela Leads para atender às necessidades da segurança da informação e cibernética, mitigando as vulnerabilidades a incidentes. O foco desta política é garantir a proteção dos dados, a integridade dos sistemas e a conformidade com regulamentações e boas práticas de segurança cibernética.
2. Objetivo
Estabelecer diretrizes e procedimentos que orientem o desenvolvimento seguro de software, abrangendo desde a concepção até a implementação, testes, deploy e manutenção, além de assegurar o uso seguro dos sistemas pela equipe interna e por nossos clientes.
3. Escopo
Esta política se aplica a todos os colaboradores, prestadores de serviço e parceiros que participam direta ou indiretamente do desenvolvimento de software na Leads Tecnologia. Inclui ainda o uso interno de sistemas, serviços e aplicações desenvolvidos ou contratados pela empresa.
4. Princípios de Segurança
A política de segurança no desenvolvimento de software da Leads Tecnologia se baseia em princípios fundamentais, como:
-
Confidencialidade: Garantir que as informações sensíveis sejam acessadas apenas por quem possui autorização.
-
Integridade: Assegurar que os dados e sistemas não sejam alterados de forma indevida.
-
Disponibilidade: Garantir que os sistemas estejam disponíveis para uso conforme o previsto.
-
Autenticidade: Verificar a identidade dos usuários e sistemas para prevenir acessos não autorizados.
-
Responsabilidade e Transparência: Adotar medidas claras e documentadas que orientem os processos de segurança.
5. Ciclo de Vida Seguro de Desenvolvimento (SDLC)
O ciclo de vida do desenvolvimento de software na Leads Tecnologia segue práticas de segurança integradas em cada fase do processo:
5.1. Planejamento
Identificação e análise de requisitos de segurança. Durante essa fase, são realizados levantamentos de riscos, análise de ameaças e definição de controles necessários.
5.2. Design Seguro
A arquitetura de software é planejada para incorporar segurança desde a concepção, com foco em padrões como OWASP, separação de funções e princípios de design seguro.
5.3. Implementação
Código seguro é uma prioridade. São adotadas práticas de codificação defensiva, revisões de código e uso de ferramentas para análise estática e dinâmica, além de orientações para evitar vulnerabilidades comuns.
5.4. Testes de Segurança
Testes automatizados e manuais são realizados, incluindo testes de penetração (pentests), análise de vulnerabilidades e revisões de segurança, buscando identificar e mitigar riscos.
5.5. Deploy e Monitoramento
O deploy de software ocorre em ambientes controlados e com mecanismos de controle de acesso e rastreabilidade. Monitoramento contínuo é implementado para detectar atividades suspeitas e responder a incidentes rapidamente.
5.6. Manutenção e Atualização
Atualizações de segurança são tratadas com prioridade. A política de correção de vulnerabilidades segue prazos rígidos para aplicação de patches e mitigação de riscos.
6. Governança de Segurança
O comitê de segurança da Leads Tecnologia é responsável por revisar e atualizar a política periodicamente, garantindo que as práticas adotadas estejam alinhadas às melhores práticas de mercado e às regulamentações vigentes.
7. Gestão de Acessos e Identidades
Os controles de acesso são baseados no princípio do menor privilégio, garantindo que os usuários possuam somente as permissões necessárias para realizar suas funções. A autenticação multifatorial (MFA) é aplicada em sistemas críticos.
8. Treinamento e Conscientização
Todos os colaboradores e parceiros envolvidos no desenvolvimento de software são periodicamente treinados sobre segurança cibernética e as melhores práticas de proteção de informações.
9. Conformidade e Auditoria
Os processos de desenvolvimento e uso de software são auditados regularmente para assegurar a conformidade com LGPD.
10. Resposta a Incidentes
A Leads Tecnologia adota um plano de resposta a incidentes que cobre desde a detecção até a contenção, mitigação e análise pós-incidente. O objetivo é minimizar impactos e aprender continuamente com os eventos de segurança.
11. Uso Seguro de Software
Orientações para o uso de sistemas e softwares desenvolvidos ou adquiridos pela empresa são distribuídas a todos os colaboradores, assegurando práticas seguras no dia a dia.
12. Conclusão
A segurança é uma responsabilidade compartilhada e, na Leads Tecnologia, trabalhamos continuamente para criar um ambiente digital seguro e resiliente, promovendo inovação com confiança e integridade.
Canal de Comunicação de Segurança da Informação
Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br
Privacidade
Política de Privacidade no Desenvolvimento e Uso de Software
1. Introdução
A política de privacidade da Leads Tecnologia visa proteger os dados pessoais coletados, armazenados e processados no desenvolvimento e uso dos nossos softwares. Como parte do compromisso com a segurança e a conformidade, esta política define as diretrizes para garantir a privacidade e a proteção das informações pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD) e outras regulamentações aplicáveis.
2. Objetivo
Estabelecer regras e procedimentos para a coleta, tratamento, armazenamento e descarte de dados pessoais no desenvolvimento e uso dos softwares produzidos pela Leads, assegurando o respeito aos direitos dos titulares dos dados.
3. Escopo
Esta política se aplica a todos os colaboradores, parceiros, prestadores de serviço e qualquer parte envolvida no desenvolvimento, uso e operação dos softwares da Leads, abrangendo todas as etapas do ciclo de vida do software.
4. Princípios de Privacidade
A Leads adota os seguintes princípios no tratamento de dados pessoais:
-
Finalidade: Os dados pessoais são coletados e utilizados com finalidades específicas, legítimas e informadas ao titular.
-
Adequação: O tratamento de dados está alinhado com as finalidades previamente comunicadas.
-
Necessidade: Apenas os dados estritamente necessários para o desenvolvimento ou uso do software são coletados e tratados.
-
Segurança: Medidas técnicas e administrativas são implementadas para proteger os dados pessoais contra acessos não autorizados e vazamentos.
-
Transparência: Os titulares de dados têm o direito de saber como seus dados são coletados, utilizados e protegidos.
5. Coleta e Tratamento de Dados Pessoais
5.1. Tipos de Dados Coletados
Os tipos de dados pessoais que podem ser coletados e tratados no desenvolvimento e uso dos softwares incluem:
-
Dados Pessoais Comuns: Nome, e-mail, telefone, endereço, CPF, etc.
5.2. Finalidades do Tratamento
Os dados pessoais coletados nos softwares da Leads são tratados para as seguintes finalidades:
-
Melhorar a experiência do usuário.
-
Personalizar serviços e funcionalidades.
-
Realizar análises estatísticas e estudos.
-
Cumprir obrigações legais e regulatórias.
6. Consentimento e Direitos dos Titulares
A Leads adota processos claros para obter o consentimento dos titulares de dados, quando necessário, e garante que todos os direitos previstos pela LGPD sejam respeitados:
-
Direito de acesso.
-
Direito à retificação.
-
Direito à eliminação.
-
Direito à portabilidade.
-
Direito à revogação do consentimento.
7. Proteção de Dados e Segurança da Informação
Medidas técnicas e organizacionais são implementadas para garantir a segurança e a integridade dos dados pessoais:
-
Criptografia: Uso de criptografia para proteger dados em repouso e em trânsito.
-
Controle de Acesso: Acesso aos dados é restrito a colaboradores autorizados com base no princípio do menor privilégio.
-
Auditoria e Monitoramento: Sistemas de monitoramento e auditoria são utilizados para detectar e responder a incidentes de segurança.
8. Retenção e Descarte de Dados
Os dados pessoais são armazenados pelo tempo necessário para cumprir com as finalidades para as quais foram coletados ou conforme exigido por lei. Após esse período, os dados são excluídos ou anonimizados de forma segura.
9. Compartilhamento de Dados com Terceiros
Os dados pessoais podem ser compartilhados com parceiros e prestadores de serviços da Leads, desde que:
-
Haja uma justificativa legítima e informada para o compartilhamento.
-
Os terceiros cumpram com as mesmas práticas de privacidade e segurança adotadas pela Leads.
10. Transferência Internacional de Dados
Caso os dados pessoais precisem ser transferidos para fora do país, a Leads adota medidas para garantir que os dados recebam o mesmo nível de proteção exigido pela LGPD e outras legislações aplicáveis.
11. Resposta a Incidentes de Privacidade
A Leads possui um plano de resposta a incidentes para lidar com violações de dados pessoais, incluindo procedimentos para comunicação imediata aos titulares e às autoridades competentes, conforme exigido pela legislação.
12. Treinamento e Conscientização
Todos os colaboradores recebem treinamento periódico sobre práticas de privacidade e proteção de dados para garantir a conformidade com esta política e com as leis aplicáveis.
13. Conformidade e Revisão da Política
Esta política é revisada regularmente para garantir que esteja em conformidade com a legislação vigente e para incorporar melhorias baseadas em novas práticas e tecnologias.
Canal de Comunicação de Segurança da Informação
Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br
Gestão de Mudanças
Política de Gestão de Mudanças
1. Introdução
A gestão de mudanças é um processo essencial para garantir que as alterações em sistemas e softwares sejam realizadas de maneira controlada, minimizando riscos, impactos negativos e garantindo a continuidade dos serviços. Este documento estabelece a política de gestão de mudanças adotada pela Leads assegurando a integridade, segurança e conformidade dos sistemas.
2. Objetivo
Definir diretrizes e procedimentos para o gerenciamento de mudanças em software, desde a solicitação até a implementação e validação, garantindo que todas as mudanças sejam planejadas, documentadas, testadas e aprovadas adequadamente antes da execução.
3. Escopo
Esta política se aplica a todas as mudanças em sistemas, aplicativos, infraestrutura e processos relacionados ao desenvolvimento e uso de software na Leads abrange desenvolvedores, engenheiros de software, analistas, gerentes de projeto e qualquer pessoa envolvida no ciclo de vida de desenvolvimento e operações (DevOps).
4. Princípios de Gestão de Mudanças
A política de gestão de mudanças da Leads se baseia nos seguintes princípios:
-
Planejamento e Avaliação de Riscos: Toda mudança deve ser precedida de uma análise de impacto e avaliação de riscos.
-
Documentação Completa: As mudanças devem ser completamente documentadas, incluindo a descrição, motivo, riscos, plano de implementação e plano de rollback.
-
Testes e Validação: Nenhuma mudança deve ser implementada em produção sem testes adequados em ambientes controlados.
-
Aprovação Formal: As mudanças devem ser aprovadas por um comitê de mudanças ou por responsáveis designados antes da execução.
-
Comunicação e Notificação: As partes interessadas devem ser notificadas sobre as mudanças, incluindo cronograma e possíveis impactos.
5. Ciclo de Vida da Gestão de Mudanças
O processo de gestão de mudanças na Leads segue um ciclo de vida estruturado:
5.1. Identificação e Solicitação de Mudança
-
Solicitação de Mudança (RFC - Request for Change): A mudança é formalmente registrada, contendo as seguintes informações:
-
Descrição da mudança.
-
Justificativa para a mudança.
-
Impacto esperado.
-
Riscos associados.
-
Requisitos de recursos.
-
5.2. Análise de Impacto e Avaliação de Risco
Uma análise detalhada de impacto é realizada para avaliar:
-
Impacto técnico e operacional.
-
Riscos para a segurança e conformidade.
-
Necessidade de comunicação e treinamento para usuários.
5.3. Planejamento da Implementação
-
Desenvolvimento do Plano de Implementação: Um plano claro e detalhado é criado, contendo etapas de execução, recursos necessários e cronograma.
-
Plano de Rollback: Um plano de contingência deve estar preparado para reverter a mudança em caso de falhas.
5.4. Aprovação da Mudança
A mudança é submetida à aprovação por um Comitê de Mudanças (Change Advisory Board - CAB) ou por gestores responsáveis, que avaliam a viabilidade e os riscos.
5.5. Testes em Ambiente Controlado
Antes da implementação em produção, a mudança é testada em ambientes de desenvolvimento e homologação para garantir que funcione conforme o esperado e não cause impactos negativos.
5.6. Implementação em Produção
Após aprovação e testes, a mudança é implementada seguindo o plano acordado. O processo inclui a monitorização de possíveis problemas e a execução do plano de rollback, se necessário.
5.7. Revisão Pós-Implementação
Uma revisão é conduzida após a implementação para avaliar o sucesso da mudança, documentar lições aprendidas e identificar oportunidades de melhoria.
Diagrama do Ciclo de Gestão de Mudanças:
-
Solicitação de Mudança ➔ 2. Análise de Impacto ➔ 3. Planejamento ➔ 4. Aprovação ➔ 5. Testes ➔ 6. Implementação ➔ 7. Revisão Pós-Implementação
6. Tipos de Mudança
A Leads classifica as mudanças em categorias para facilitar o processo de gestão:
-
Mudanças Emergenciais: São mudanças críticas que precisam ser implementadas imediatamente devido a uma falha grave ou vulnerabilidade de segurança. Possuem um fluxo acelerado e requerem aprovação rápida.
-
Mudanças Normais: Mudanças planejadas que seguem o ciclo completo de gestão, incluindo aprovação formal e testes rigorosos.
-
Mudanças Padrão: Mudanças rotineiras e repetitivas com baixo risco, que podem ser pré-aprovadas e seguem um processo simplificado.
7. Gestão de Configuração e Controle de Versões
A gestão de mudanças está integrada ao controle de versões e à gestão de configuração, garantindo que qualquer alteração seja rastreável e revertida, se necessário. Ferramentas de versionamento (como Git) são utilizadas para gerenciar o código e documentar todas as alterações.
8. Comitê de Mudanças (CAB)
O Comitê de Mudanças (CAB) é responsável pela avaliação e aprovação das mudanças. Ele é composto por representantes das áreas de desenvolvimento, operações, segurança da informação e negócios. O CAB se reúne regularmente para revisar mudanças planejadas e emergenciais.
9. Monitoramento e Auditoria
O processo de mudanças é monitorado e auditado para garantir a conformidade com a política. Logs e registros são mantidos para rastrear cada etapa da mudança, desde a solicitação até a implementação final.
10. Comunicação e Notificação
Uma comunicação eficaz é essencial para a gestão de mudanças. Antes da implementação de mudanças significativas, as partes interessadas, incluindo usuários e clientes, devem ser notificadas sobre o cronograma e possíveis impactos.
11. Treinamento e Conscientização
A equipe envolvida no processo de mudanças recebe treinamento regular sobre os procedimentos e boas práticas para gestão de mudanças. Isso garante que todos compreendam a importância da política e saibam como seguir os processos corretamente.
12. Conformidade e Atualização da Política
Esta política é revisada periodicamente para garantir que esteja em conformidade com regulamentações aplicáveis, como a LGPD, e para incorporar melhorias baseadas em novas tecnologias ou práticas de mercado.
13. Conclusão
A gestão de mudanças eficaz é fundamental para a continuidade dos negócios e para a integridade dos sistemas da Leads. A implementação rigorosa desta política assegura que as mudanças sejam controladas, minimizando riscos e maximizando a eficiência operacional.
Canal de Comunicação de Segurança da Informação
Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br
Controle de Acesso
Política de Controle de Acesso no Desenvolvimento e Uso de Software
1. Introdução
Este documento define a política de controle de acesso no desenvolvimento e uso de software produzido pela Leads. O objetivo é assegurar que os acessos a sistemas, dados e ambientes de desenvolvimento estejam protegidos contra uso indevido, preservando a confidencialidade, integridade e disponibilidade das informações.
2. Objetivo
Estabelecer diretrizes para a gestão de acessos a ambientes de desenvolvimento, produção e sistemas utilizados pela Leads, garantindo que os usuários tenham apenas as permissões necessárias para desempenhar suas funções.
3. Escopo
Esta política se aplica a todos os colaboradores, prestadores de serviço, parceiros e qualquer outra parte envolvida no desenvolvimento ou uso de software dentro da Leads.
4. Princípios do Controle de Acesso
A política de controle de acesso na Leads segue princípios fundamentais:
-
Princípio do Menor Privilégio: Conceder a cada usuário apenas os acessos estritamente necessários.
-
Segregação de Funções: Separação de responsabilidades para evitar conflitos de interesse e riscos de fraudes.
-
Autenticidade: Garantir que apenas usuários autorizados tenham acesso aos sistemas.
-
Rastreabilidade e Auditoria: Manter registros detalhados de acessos e atividades realizadas em ambientes críticos.
5. Gestão de Identidades e Acessos (IAM)
A gestão de identidades e acessos é central para garantir o controle seguro sobre quem pode acessar o quê dentro dos ambientes de desenvolvimento e produção.
5.1. Cadastro de Usuários
O cadastro de novos usuários segue um processo formal de autorização, onde os gestores responsáveis validam as necessidades de acesso.
5.2. Perfis de Acesso
Os perfis de acesso são definidos com base em funções (RBAC - Role-Based Access Control), limitando o que cada colaborador pode acessar conforme sua posição e responsabilidades.
5.3. Revisão de Acessos
A revisão periódica dos acessos é realizada para garantir que os usuários mantenham apenas os privilégios necessários e que acessos desnecessários sejam removidos.
6. Controle de Acessos em Ambientes de Desenvolvimento
A política aborda os controles específicos para cada estágio do desenvolvimento de software:
6.1. Ambiente de Desenvolvimento
Os acessos ao ambiente de desenvolvimento são restritos a desenvolvedores e engenheiros de software autorizados. Testes e integrações são realizados em ambientes isolados, protegidos por permissões segmentadas.
6.2. Ambientes de Teste e Homologação
Esses ambientes são controlados para garantir que dados sensíveis não sejam expostos. Testes de segurança e acesso são realizados para validar a conformidade dos sistemas antes do deploy para produção.
6.3. Ambiente de Produção
O acesso ao ambiente de produção é estritamente controlado, sendo permitido apenas a administradores de sistemas e engenheiros com permissões específicas. Toda ação realizada no ambiente de produção é monitorada e registrada para auditoria.
7. Gerenciamento de Acessos Privilegiados
O acesso privilegiado a sistemas críticos é tratado com critérios rígidos de segurança. Usuários com privilégios elevados são submetidos a controles adicionais, como monitoramento contínuo e revisões frequentes de atividades.
8. Auditoria e Monitoramento de Acessos
Todas as operações de acesso são registradas em logs que são auditados regularmente. Mecanismos de monitoramento são implementados para identificar e responder rapidamente a atividades suspeitas ou acessos não autorizados.
9. Resposta a Incidentes de Segurança
Caso um acesso não autorizado ou um incidente de segurança relacionado a controle de acesso seja identificado, a Leads possui um plano de resposta a incidentes que cobre desde a contenção até a análise pós-incidente para evitar recorrências.
10. Treinamento e Conscientização
Os colaboradores são periodicamente treinados sobre as melhores práticas de controle de acesso e segurança da informação. Campanhas de conscientização são realizadas para reforçar a importância da política de controle de acesso.
11. Conformidade e Atualização da Política
A política de controle de acesso é revisada regularmente pelo comitê de segurança da Leads para garantir conformidade com regulamentações (como LGPD) e alinhamento com as melhores práticas do mercado.
12. Conclusão
A gestão adequada de acessos é essencial para manter a segurança no desenvolvimento e uso de software na Leads. Com esta política, reforçamos nosso compromisso com a segurança, a conformidade e a integridade dos sistemas desenvolvidos e utilizados pela empresa.
Canal de Comunicação de Segurança da Informação
Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br