POLÍTICA DE PRIVACIDADE, SEGURANÇA E USO DO SISTEMA — GEFLUX
Esta Política de Privacidade, Segurança e Uso do Sistema descreve como o GEFLUX
realiza o tratamento de dados pessoais e dados técnicos de acesso, bem como as medidas de segurança aplicadas ao ambiente.
O GEFLUX é um sistema corporativo utilizado para gestão operacional, rastreabilidade, controle de processos, auditoria e governança,
podendo envolver informações de colaboradores, prestadores e usuários autorizados.
Ao acessar e utilizar o GEFLUX, o usuário declara que leu e compreendeu esta Política e assume ciência de que o
ambiente poderá ser monitorado para fins de segurança da informação, prevenção a fraudes, auditoria e conformidade, nos termos da
legislação aplicável, incluindo a Lei nº 13.709/2018, LGPD (Lei Geral de Proteção de Dados Pessoais).
1) DEFINIÇÕES IMPORTANTES
- Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável.
- Dados técnicos: informações geradas automaticamente pelo acesso ao sistema, como IP (Internet Protocol), navegador, data e hora.
- Controlador: organização responsável pelas decisões sobre o tratamento de dados no contexto do GEFLUX.
- Operador: provedor contratado que trate dados sob orientação do controlador, como e-mail, infraestrutura e segurança.
- Incidente de segurança: evento que possa comprometer confidencialidade, integridade ou disponibilidade do ambiente.
- Conta comprometida: suspeita de acesso indevido, credencial exposta, fraude ou login fora do padrão.
- Logs: registros técnicos e operacionais gerados pelo sistema para auditoria e investigação.
2) FINALIDADES DO TRATAMENTO
O GEFLUX realiza tratamento de dados estritamente necessário para:
- Controle de acesso e autenticação: permitir acesso apenas a usuários autorizados, com rastreabilidade de sessões.
- Prevenção e detecção de fraudes: identificar acessos fora do padrão e tentativas suspeitas de autenticação.
- Segurança da informação: proteger contas, dados, operações e infraestrutura do GEFLUX contra acessos não autorizados.
- Auditoria e rastreabilidade: manter histórico verificável de ações, alterações e eventos relevantes para governança.
- Conformidade legal e contratual: atender requisitos internos, normativos e obrigações aplicáveis ao contexto operacional.
- Melhoria contínua: monitorar estabilidade, performance e confiabilidade do serviço.
3) QUAIS DADOS PODEM SER TRATADOS
3.1. Dados de Identificação e Acesso
- Matrícula, usuário e identificadores internos associados.
- Perfil, permissões e hierarquia, como tipo de acesso e restrições aplicáveis.
- Data e hora de login, logout e eventos de segurança, como expiração de senha e troca obrigatória.
3.2. Dados Técnicos Gerados Automaticamente
- Endereço IP (Internet Protocol) local e/ou público, quando disponível.
- Informações de navegador e dispositivo, como User-Agent, plataforma, idioma, timezone e resolução de tela.
- Fingerprint do dispositivo, identificador técnico gerado a partir de informações do ambiente de navegação, com finalidade de segurança e detecção de anomalias.
- Registros de autenticação, como sucesso, falha, bloqueios temporários por tentativas inválidas e revogação de sessão.
3.3. Localidade Aproximada por IP
- Localização aproximada por IP, como país, UF, cidade e, quando disponível, latitude e longitude aproximadas.
- Dados de rede, como ASN (Autonomous System Number), ISP (Internet Service Provider) ou organização responsável pela rede.
- Observação: a localização por IP é estimada e pode variar por provedores, redes móveis e VPNs (Virtual Private Networks). Não corresponde necessariamente à localização exata do usuário.
3.4. Registros de Segurança e Auditoria
- Eventos de segurança, como redefinição de senha, alteração de permissões, revogação de sessões e alertas por login fora do padrão.
- Trilhas de auditoria de ações relevantes, com data, hora, usuário e contexto técnico aplicável.
- Dados mínimos para investigação e resposta a incidentes.
4) COMO UTILIZAMOS OS DADOS PARA SEGURANÇA
Para proteger o usuário, a organização e a operação, o GEFLUX poderá:
- Detectar acesso fora do padrão: quando houver comportamento diferente do padrão habitual do usuário.
- Detectar dispositivo novo: quando houver acesso por navegador ou dispositivo não reconhecido.
- Mitigar risco: em caso de suspeita, o sistema pode revogar sessões ativas e forçar atualização de senha.
- Auditar ações: registrar eventos relevantes para investigação, auditoria interna e melhoria contínua.
5) BASES LEGAIS — LGPD (Lei Geral de Proteção de Dados)
O tratamento de dados no GEFLUX pode estar fundamentado, conforme o caso, em:
- Legítimo interesse do controlador para garantir segurança, prevenção a fraudes e governança.
- Execução de contrato ou de procedimentos preliminares relacionados a relações de trabalho e prestação de serviço.
- Cumprimento de obrigação legal ou regulatória, quando aplicável.
- Prevenção de fraudes, quando aplicável ao contexto operacional.
- Proteção da vida e incolumidade em situações específicas relacionadas à segurança operacional.
6) COMPARTILHAMENTO E OPERADORES
Os dados podem ser acessados internamente por áreas autorizadas, como TI (Tecnologia da Informação), Segurança da Informação,
gestores responsáveis e auditoria interna, sempre com controle de acesso e trilha de auditoria. Quando necessário, o controlador
poderá utilizar provedores técnicos, como serviços de e-mail e serviços de inteligência de IP.
7) RETENÇÃO, MINIMIZAÇÃO E GOVERNANÇA
- Retenção limitada: registros de login e segurança são mantidos por período adequado à investigação e compliance.
- Minimização: dados são coletados e mantidos apenas no nível necessário para segurança.
- Acesso restrito: apenas perfis autorizados podem visualizar logs detalhados e eventos de segurança.
- Auditoria de acesso: acessos a informações sensíveis podem ser logados, quando aplicável.
8) SEGURANÇA DA INFORMAÇÃO
O GEFLUX utiliza medidas como:
- Autenticação, controle de sessão e política de senha.
- Monitoramento e alertas de segurança para acessos fora do padrão.
- Logs e trilhas de auditoria para investigação e conformidade.
- Controle de acesso por perfil, hierarquia e regras de permissão.
- Boas práticas de segurança no tráfego e armazenamento, como HTTPS (HyperText Transfer Protocol Secure) e cookies com flags de segurança.
9) RESPONSABILIDADES DO USUÁRIO
- Manter confidencialidade de suas credenciais e não compartilhar acesso.
- Não reutilizar senhas de outros serviços e utilizar senha forte conforme política.
- Encerrar sessão ao finalizar o uso, especialmente em computadores compartilhados.
- Reportar imediatamente qualquer suspeita de acesso indevido.
10) DIREITOS DO TITULAR
O titular poderá solicitar informações, correções e esclarecimentos conforme a LGPD (Lei Geral de Proteção de Dados),
respeitadas as obrigações legais, as necessidades de segurança da informação e os limites aplicáveis ao contexto corporativo e operacional.
11) ATUALIZAÇÕES DESTA POLÍTICA
Esta Política poderá ser atualizada periodicamente para refletir melhorias de segurança, mudanças operacionais e adequações de conformidade.