top of page

Políticas

Abaixo apresentamos nossas politicas de Governança em relação a : LGPD, Segurança, Privacidade, Gestão de Mudanças, e de Controle de Acesso, 

Cláusula LGPD

Cláusula X: Da Proteção de Dados Pessoais

Item 1.

As partes declaram estar cientes e em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e demais normas aplicáveis à matéria, comprometendo-se a tratar os dados pessoais que eventualmente venham a ter acesso em razão da execução do presente contrato, de forma lícita, segura, transparente e ética, respeitando os direitos dos titulares dos dados e as finalidades específicas do tratamento.

Item 2.

A CONTRATADA, na qualidade de operadora dos dados pessoais fornecidos pela CONTRATANTE ou por seus clientes, obriga-se a:

•  Seguir as instruções da CONTRATANTE quanto ao tratamento dos dados pessoais, não podendo utilizá-los para fins diversos dos previstos neste contrato ou autorizados pelo titular dos dados;

•  Implementar medidas técnicas e administrativas adequadas para garantir a proteção dos dados pessoais contra acessos não autorizados, perdas, danos, alterações ou divulgações indevidas;

•  Informar à CONTRATANTE sobre qualquer incidente de segurança envolvendo os dados pessoais tratados no âmbito deste contrato, bem como adotar as providências necessárias para mitigar os riscos e prevenir danos aos titulares dos dados;

•  Manter o sigilo e a confidencialidade dos dados pessoais tratados no âmbito deste contrato, não podendo compartilhá-los com terceiros sem o consentimento expresso da CONTRATANTE ou do titular dos dados, salvo se exigido por lei ou ordem judicial;

•  Eliminar os dados pessoais tratados no âmbito deste contrato após o término da prestação dos serviços ou quando solicitado pela CONTRATANTE ou pelo titular dos dados, ressalvadas as hipóteses legais de conservação dos dados.

Item 3.

A CONTRATANTE, na qualidade de controladora dos dados pessoais fornecidos à CONTRATADA ou por seus clientes, obriga-se a:

•  Obter o consentimento livre, informado e inequívoco dos titulares dos dados para o tratamento dos mesmos pela CONTRATADA, nos termos e para as finalidades previstos neste contrato;

•  Fornecer à CONTRATADA apenas os dados pessoais estritamente necessários para a execução dos serviços contratados, evitando o tratamento excessivo ou desnecessário de dados;

•  Informar aos titulares dos dados sobre os seus direitos de acesso, retificação, cancelamento, oposição, portabilidade e eliminação dos seus dados pessoais, bem como sobre os meios para exercê-los;

•  Comunicar à CONTRATADA sobre qualquer solicitação, reclamação ou demanda judicial envolvendo os dados pessoais tratados no âmbito deste contrato, bem como cooperar com a CONTRATADA na adoção das medidas cabíveis para atender às demandas dos titulares dos dados ou das autoridades competentes;

•  Indenizar a CONTRATADA por quaisquer danos decorrentes do descumprimento das suas obrigações relativas à proteção de dados pessoais previstas neste contrato ou na legislação aplicável.

Item 4.

As partes se responsabilizam solidariamente pelos danos causados aos titulares dos dados em virtude do tratamento ilícito ou irregular dos seus dados pessoais no âmbito deste contrato, sem prejuízo do direito de regresso contra a parte que der causa ao dano.

Item 5.

As partes se comprometem a revisar e atualizar periodicamente este contrato para refletir quaisquer mudanças nas leis e regulamentações de proteção de dados pessoais.

Nossas Políticas de Governança  para Confidencialidade e Segurança

Segurança

Política de Segurança no Desenvolvimento e Uso de Software

1. Introdução

Este documento lista os principais controles utilizados pela Leads para atender às necessidades da segurança da informação e cibernética, mitigando as vulnerabilidades a incidentes. O foco desta política é garantir a proteção dos dados, a integridade dos sistemas e a conformidade com regulamentações e boas práticas de segurança cibernética.

2. Objetivo

Estabelecer diretrizes e procedimentos que orientem o desenvolvimento seguro de software, abrangendo desde a concepção até a implementação, testes, deploy e manutenção, além de assegurar o uso seguro dos sistemas pela equipe interna e por nossos clientes.

3. Escopo

Esta política se aplica a todos os colaboradores, prestadores de serviço e parceiros que participam direta ou indiretamente do desenvolvimento de software na Leads Tecnologia. Inclui ainda o uso interno de sistemas, serviços e aplicações desenvolvidos ou contratados pela empresa.

4. Princípios de Segurança

A política de segurança no desenvolvimento de software da Leads Tecnologia se baseia em princípios fundamentais, como:

  • Confidencialidade: Garantir que as informações sensíveis sejam acessadas apenas por quem possui autorização.

  • Integridade: Assegurar que os dados e sistemas não sejam alterados de forma indevida.

  • Disponibilidade: Garantir que os sistemas estejam disponíveis para uso conforme o previsto.

  • Autenticidade: Verificar a identidade dos usuários e sistemas para prevenir acessos não autorizados.

  • Responsabilidade e Transparência: Adotar medidas claras e documentadas que orientem os processos de segurança.

 

 

5. Ciclo de Vida Seguro de Desenvolvimento (SDLC)

O ciclo de vida do desenvolvimento de software na Leads Tecnologia segue práticas de segurança integradas em cada fase do processo:

5.1. Planejamento

Identificação e análise de requisitos de segurança. Durante essa fase, são realizados levantamentos de riscos, análise de ameaças e definição de controles necessários.

5.2. Design Seguro

A arquitetura de software é planejada para incorporar segurança desde a concepção, com foco em padrões como OWASP, separação de funções e princípios de design seguro.

5.3. Implementação

Código seguro é uma prioridade. São adotadas práticas de codificação defensiva, revisões de código e uso de ferramentas para análise estática e dinâmica, além de orientações para evitar vulnerabilidades comuns.

5.4. Testes de Segurança

Testes automatizados e manuais são realizados, incluindo testes de penetração (pentests), análise de vulnerabilidades e revisões de segurança, buscando identificar e mitigar riscos.

5.5. Deploy e Monitoramento

O deploy de software ocorre em ambientes controlados e com mecanismos de controle de acesso e rastreabilidade. Monitoramento contínuo é implementado para detectar atividades suspeitas e responder a incidentes rapidamente.

5.6. Manutenção e Atualização

Atualizações de segurança são tratadas com prioridade. A política de correção de vulnerabilidades segue prazos rígidos para aplicação de patches e mitigação de riscos.

6. Governança de Segurança

O comitê de segurança da Leads Tecnologia é responsável por revisar e atualizar a política periodicamente, garantindo que as práticas adotadas estejam alinhadas às melhores práticas de mercado e às regulamentações vigentes.

 

7. Gestão de Acessos e Identidades

Os controles de acesso são baseados no princípio do menor privilégio, garantindo que os usuários possuam somente as permissões necessárias para realizar suas funções. A autenticação multifatorial (MFA) é aplicada em sistemas críticos.

8. Treinamento e Conscientização

Todos os colaboradores e parceiros envolvidos no desenvolvimento de software são periodicamente treinados sobre segurança cibernética e as melhores práticas de proteção de informações.

9. Conformidade e Auditoria

Os processos de desenvolvimento e uso de software são auditados regularmente para assegurar a conformidade com LGPD.

10. Resposta a Incidentes

A Leads Tecnologia adota um plano de resposta a incidentes que cobre desde a detecção até a contenção, mitigação e análise pós-incidente. O objetivo é minimizar impactos e aprender continuamente com os eventos de segurança.

11. Uso Seguro de Software

Orientações para o uso de sistemas e softwares desenvolvidos ou adquiridos pela empresa são distribuídas a todos os colaboradores, assegurando práticas seguras no dia a dia.

12. Conclusão

A segurança é uma responsabilidade compartilhada e, na Leads Tecnologia, trabalhamos continuamente para criar um ambiente digital seguro e resiliente, promovendo inovação com confiança e integridade.

 

Canal de Comunicação de Segurança da Informação

 Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br

Privacidade

Política de Privacidade no Desenvolvimento e Uso de Software

1. Introdução

A política de privacidade da Leads Tecnologia visa proteger os dados pessoais coletados, armazenados e processados no desenvolvimento e uso dos nossos softwares. Como parte do compromisso com a segurança e a conformidade, esta política define as diretrizes para garantir a privacidade e a proteção das informações pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD) e outras regulamentações aplicáveis.

2. Objetivo

Estabelecer regras e procedimentos para a coleta, tratamento, armazenamento e descarte de dados pessoais no desenvolvimento e uso dos softwares produzidos pela Leads, assegurando o respeito aos direitos dos titulares dos dados.

3. Escopo

Esta política se aplica a todos os colaboradores, parceiros, prestadores de serviço e qualquer parte envolvida no desenvolvimento, uso e operação dos softwares da Leads, abrangendo todas as etapas do ciclo de vida do software.

4. Princípios de Privacidade

A Leads adota os seguintes princípios no tratamento de dados pessoais:

  • Finalidade: Os dados pessoais são coletados e utilizados com finalidades específicas, legítimas e informadas ao titular.

  • Adequação: O tratamento de dados está alinhado com as finalidades previamente comunicadas.

  • Necessidade: Apenas os dados estritamente necessários para o desenvolvimento ou uso do software são coletados e tratados.

  • Segurança: Medidas técnicas e administrativas são implementadas para proteger os dados pessoais contra acessos não autorizados e vazamentos.

  • Transparência: Os titulares de dados têm o direito de saber como seus dados são coletados, utilizados e protegidos.

 

5. Coleta e Tratamento de Dados Pessoais

5.1. Tipos de Dados Coletados

Os tipos de dados pessoais que podem ser coletados e tratados no desenvolvimento e uso dos softwares incluem:

  • Dados Pessoais Comuns: Nome, e-mail, telefone, endereço, CPF, etc.

5.2. Finalidades do Tratamento

Os dados pessoais coletados nos softwares da Leads são tratados para as seguintes finalidades:

  • Melhorar a experiência do usuário.

  • Personalizar serviços e funcionalidades.

  • Realizar análises estatísticas e estudos.

  • Cumprir obrigações legais e regulatórias.

6. Consentimento e Direitos dos Titulares

A Leads adota processos claros para obter o consentimento dos titulares de dados, quando necessário, e garante que todos os direitos previstos pela LGPD sejam respeitados:

  • Direito de acesso.

  • Direito à retificação.

  • Direito à eliminação.

  • Direito à portabilidade.

  • Direito à revogação do consentimento.

7. Proteção de Dados e Segurança da Informação

Medidas técnicas e organizacionais são implementadas para garantir a segurança e a integridade dos dados pessoais:

  • Criptografia: Uso de criptografia para proteger dados em repouso e em trânsito.

  • Controle de Acesso: Acesso aos dados é restrito a colaboradores autorizados com base no princípio do menor privilégio.

  • Auditoria e Monitoramento: Sistemas de monitoramento e auditoria são utilizados para detectar e responder a incidentes de segurança.

8. Retenção e Descarte de Dados

Os dados pessoais são armazenados pelo tempo necessário para cumprir com as finalidades para as quais foram coletados ou conforme exigido por lei. Após esse período, os dados são excluídos ou anonimizados de forma segura.

9. Compartilhamento de Dados com Terceiros

Os dados pessoais podem ser compartilhados com parceiros e prestadores de serviços da Leads, desde que:

  • Haja uma justificativa legítima e informada para o compartilhamento.

  • Os terceiros cumpram com as mesmas práticas de privacidade e segurança adotadas pela Leads.

10. Transferência Internacional de Dados

Caso os dados pessoais precisem ser transferidos para fora do país, a Leads adota medidas para garantir que os dados recebam o mesmo nível de proteção exigido pela LGPD e outras legislações aplicáveis.

11. Resposta a Incidentes de Privacidade

A Leads possui um plano de resposta a incidentes para lidar com violações de dados pessoais, incluindo procedimentos para comunicação imediata aos titulares e às autoridades competentes, conforme exigido pela legislação.

12. Treinamento e Conscientização

Todos os colaboradores recebem treinamento periódico sobre práticas de privacidade e proteção de dados para garantir a conformidade com esta política e com as leis aplicáveis.

13. Conformidade e Revisão da Política

Esta política é revisada regularmente para garantir que esteja em conformidade com a legislação vigente e para incorporar melhorias baseadas em novas práticas e tecnologias.

 

Canal de Comunicação de Segurança da Informação

 Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br

Gestão de Mudanças

Política de Gestão de Mudanças

1. Introdução

A gestão de mudanças é um processo essencial para garantir que as alterações em sistemas e softwares sejam realizadas de maneira controlada, minimizando riscos, impactos negativos e garantindo a continuidade dos serviços. Este documento estabelece a política de gestão de mudanças adotada pela Leads assegurando a integridade, segurança e conformidade dos sistemas.

2. Objetivo

Definir diretrizes e procedimentos para o gerenciamento de mudanças em software, desde a solicitação até a implementação e validação, garantindo que todas as mudanças sejam planejadas, documentadas, testadas e aprovadas adequadamente antes da execução.

3. Escopo

Esta política se aplica a todas as mudanças em sistemas, aplicativos, infraestrutura e processos relacionados ao desenvolvimento e uso de software na Leads abrange desenvolvedores, engenheiros de software, analistas, gerentes de projeto e qualquer pessoa envolvida no ciclo de vida de desenvolvimento e operações (DevOps).

4. Princípios de Gestão de Mudanças

A política de gestão de mudanças da Leads se baseia nos seguintes princípios:

  • Planejamento e Avaliação de Riscos: Toda mudança deve ser precedida de uma análise de impacto e avaliação de riscos.

  • Documentação Completa: As mudanças devem ser completamente documentadas, incluindo a descrição, motivo, riscos, plano de implementação e plano de rollback.

  • Testes e Validação: Nenhuma mudança deve ser implementada em produção sem testes adequados em ambientes controlados.

  • Aprovação Formal: As mudanças devem ser aprovadas por um comitê de mudanças ou por responsáveis designados antes da execução.

  • Comunicação e Notificação: As partes interessadas devem ser notificadas sobre as mudanças, incluindo cronograma e possíveis impactos.

5. Ciclo de Vida da Gestão de Mudanças

O processo de gestão de mudanças na Leads segue um ciclo de vida estruturado:

5.1. Identificação e Solicitação de Mudança

  • Solicitação de Mudança (RFC - Request for Change): A mudança é formalmente registrada, contendo as seguintes informações:

    • Descrição da mudança.

    • Justificativa para a mudança.

    • Impacto esperado.

    • Riscos associados.

    • Requisitos de recursos.

5.2. Análise de Impacto e Avaliação de Risco

Uma análise detalhada de impacto é realizada para avaliar:

  • Impacto técnico e operacional.

  • Riscos para a segurança e conformidade.

  • Necessidade de comunicação e treinamento para usuários.

5.3. Planejamento da Implementação

  • Desenvolvimento do Plano de Implementação: Um plano claro e detalhado é criado, contendo etapas de execução, recursos necessários e cronograma.

  • Plano de Rollback: Um plano de contingência deve estar preparado para reverter a mudança em caso de falhas.

5.4. Aprovação da Mudança

A mudança é submetida à aprovação por um Comitê de Mudanças (Change Advisory Board - CAB) ou por gestores responsáveis, que avaliam a viabilidade e os riscos.

 

 

5.5. Testes em Ambiente Controlado

Antes da implementação em produção, a mudança é testada em ambientes de desenvolvimento e homologação para garantir que funcione conforme o esperado e não cause impactos negativos.

5.6. Implementação em Produção

Após aprovação e testes, a mudança é implementada seguindo o plano acordado. O processo inclui a monitorização de possíveis problemas e a execução do plano de rollback, se necessário.

5.7. Revisão Pós-Implementação

Uma revisão é conduzida após a implementação para avaliar o sucesso da mudança, documentar lições aprendidas e identificar oportunidades de melhoria.

Diagrama do Ciclo de Gestão de Mudanças:

  1. Solicitação de Mudança ➔ 2. Análise de Impacto ➔ 3. Planejamento ➔ 4. Aprovação ➔ 5. Testes ➔ 6. Implementação ➔ 7. Revisão Pós-Implementação

 

6. Tipos de Mudança

A Leads classifica as mudanças em categorias para facilitar o processo de gestão:

  • Mudanças Emergenciais: São mudanças críticas que precisam ser implementadas imediatamente devido a uma falha grave ou vulnerabilidade de segurança. Possuem um fluxo acelerado e requerem aprovação rápida.

  • Mudanças Normais: Mudanças planejadas que seguem o ciclo completo de gestão, incluindo aprovação formal e testes rigorosos.

  • Mudanças Padrão: Mudanças rotineiras e repetitivas com baixo risco, que podem ser pré-aprovadas e seguem um processo simplificado.

7. Gestão de Configuração e Controle de Versões

A gestão de mudanças está integrada ao controle de versões e à gestão de configuração, garantindo que qualquer alteração seja rastreável e revertida, se necessário. Ferramentas de versionamento (como Git) são utilizadas para gerenciar o código e documentar todas as alterações.

8. Comitê de Mudanças (CAB)

O Comitê de Mudanças (CAB) é responsável pela avaliação e aprovação das mudanças. Ele é composto por representantes das áreas de desenvolvimento, operações, segurança da informação e negócios. O CAB se reúne regularmente para revisar mudanças planejadas e emergenciais.

9. Monitoramento e Auditoria

O processo de mudanças é monitorado e auditado para garantir a conformidade com a política. Logs e registros são mantidos para rastrear cada etapa da mudança, desde a solicitação até a implementação final.

10. Comunicação e Notificação

Uma comunicação eficaz é essencial para a gestão de mudanças. Antes da implementação de mudanças significativas, as partes interessadas, incluindo usuários e clientes, devem ser notificadas sobre o cronograma e possíveis impactos.

11. Treinamento e Conscientização

A equipe envolvida no processo de mudanças recebe treinamento regular sobre os procedimentos e boas práticas para gestão de mudanças. Isso garante que todos compreendam a importância da política e saibam como seguir os processos corretamente.

12. Conformidade e Atualização da Política

Esta política é revisada periodicamente para garantir que esteja em conformidade com regulamentações aplicáveis, como a LGPD, e para incorporar melhorias baseadas em novas tecnologias ou práticas de mercado.

13. Conclusão

A gestão de mudanças eficaz é fundamental para a continuidade dos negócios e para a integridade dos sistemas da Leads. A implementação rigorosa desta política assegura que as mudanças sejam controladas, minimizando riscos e maximizando a eficiência operacional.

 

Canal de Comunicação de Segurança da Informação

 Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br

Controle de Acesso

Política de Controle de Acesso no Desenvolvimento e Uso de Software

1. Introdução

Este documento define a política de controle de acesso no desenvolvimento e uso de software produzido pela Leads. O objetivo é assegurar que os acessos a sistemas, dados e ambientes de desenvolvimento estejam protegidos contra uso indevido, preservando a confidencialidade, integridade e disponibilidade das informações.

2. Objetivo

Estabelecer diretrizes para a gestão de acessos a ambientes de desenvolvimento, produção e sistemas utilizados pela Leads, garantindo que os usuários tenham apenas as permissões necessárias para desempenhar suas funções.

3. Escopo

Esta política se aplica a todos os colaboradores, prestadores de serviço, parceiros e qualquer outra parte envolvida no desenvolvimento ou uso de software dentro da Leads.

4. Princípios do Controle de Acesso

A política de controle de acesso na Leads segue princípios fundamentais:

  • Princípio do Menor Privilégio: Conceder a cada usuário apenas os acessos estritamente necessários.

  • Segregação de Funções: Separação de responsabilidades para evitar conflitos de interesse e riscos de fraudes.

  • Autenticidade: Garantir que apenas usuários autorizados tenham acesso aos sistemas.

  • Rastreabilidade e Auditoria: Manter registros detalhados de acessos e atividades realizadas em ambientes críticos.

5. Gestão de Identidades e Acessos (IAM)

A gestão de identidades e acessos é central para garantir o controle seguro sobre quem pode acessar o quê dentro dos ambientes de desenvolvimento e produção.

5.1. Cadastro de Usuários

O cadastro de novos usuários segue um processo formal de autorização, onde os gestores responsáveis validam as necessidades de acesso.

5.2. Perfis de Acesso

Os perfis de acesso são definidos com base em funções (RBAC - Role-Based Access Control), limitando o que cada colaborador pode acessar conforme sua posição e responsabilidades.

5.3. Revisão de Acessos

A revisão periódica dos acessos é realizada para garantir que os usuários mantenham apenas os privilégios necessários e que acessos desnecessários sejam removidos.

6. Controle de Acessos em Ambientes de Desenvolvimento

A política aborda os controles específicos para cada estágio do desenvolvimento de software:

6.1. Ambiente de Desenvolvimento

Os acessos ao ambiente de desenvolvimento são restritos a desenvolvedores e engenheiros de software autorizados. Testes e integrações são realizados em ambientes isolados, protegidos por permissões segmentadas.

6.2. Ambientes de Teste e Homologação

Esses ambientes são controlados para garantir que dados sensíveis não sejam expostos. Testes de segurança e acesso são realizados para validar a conformidade dos sistemas antes do deploy para produção.

6.3. Ambiente de Produção

O acesso ao ambiente de produção é estritamente controlado, sendo permitido apenas a administradores de sistemas e engenheiros com permissões específicas. Toda ação realizada no ambiente de produção é monitorada e registrada para auditoria.

7. Gerenciamento de Acessos Privilegiados

O acesso privilegiado a sistemas críticos é tratado com critérios rígidos de segurança. Usuários com privilégios elevados são submetidos a controles adicionais, como monitoramento contínuo e revisões frequentes de atividades.

 

8. Auditoria e Monitoramento de Acessos

Todas as operações de acesso são registradas em logs que são auditados regularmente. Mecanismos de monitoramento são implementados para identificar e responder rapidamente a atividades suspeitas ou acessos não autorizados.

9. Resposta a Incidentes de Segurança

Caso um acesso não autorizado ou um incidente de segurança relacionado a controle de acesso seja identificado, a Leads possui um plano de resposta a incidentes que cobre desde a contenção até a análise pós-incidente para evitar recorrências.

10. Treinamento e Conscientização

Os colaboradores são periodicamente treinados sobre as melhores práticas de controle de acesso e segurança da informação. Campanhas de conscientização são realizadas para reforçar a importância da política de controle de acesso.

11. Conformidade e Atualização da Política

A política de controle de acesso é revisada regularmente pelo comitê de segurança da Leads para garantir conformidade com regulamentações (como LGPD) e alinhamento com as melhores práticas do mercado.

12. Conclusão

A gestão adequada de acessos é essencial para manter a segurança no desenvolvimento e uso de software na Leads. Com esta política, reforçamos nosso compromisso com a segurança, a conformidade e a integridade dos sistemas desenvolvidos e utilizados pela empresa.

 

Canal de Comunicação de Segurança da Informação

 Para comunicar algum incidente, envie um e-mail para: security@leadscrm.com.br

bottom of page