POLÍTICA DE PRIVACIDADE, SEGURANÇA E USO DO SISTEMA — GEFLUX
Esta Política de Privacidade, Segurança e Uso do Sistema (“Política”) descreve como o GEFLUX
realiza o tratamento de dados pessoais e dados técnicos de acesso, bem como as medidas de segurança aplicadas ao ambiente.
O GEFLUX é um sistema corporativo utilizado para gestão operacional, rastreabilidade, controle de processos, auditoria e governança,
podendo envolver informações de colaboradores, prestadores e usuários autorizados (“Usuário”).
Ao acessar e utilizar o GEFLUX, o Usuário declara que leu e compreendeu esta Política e assume ciência de que o
ambiente poderá ser monitorado para fins de segurança da informação, prevenção a fraudes, auditoria e conformidade, nos termos da
legislação aplicável, incluindo a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
1) DEFINIÇÕES IMPORTANTES
- Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável.
- Dados técnicos: informações geradas automaticamente pelo acesso ao sistema (ex.: IP, navegador, data/hora).
- Controlador: organização responsável pelas decisões sobre o tratamento de dados no contexto do GEFLUX.
- Operador: provedor contratado que trate dados sob orientação do controlador (ex.: e-mail, infraestrutura, segurança).
- Incidente de segurança: evento que possa comprometer confidencialidade, integridade ou disponibilidade do ambiente.
- Conta comprometida: suspeita de acesso indevido (ex.: credencial exposta, fraude, login fora do padrão).
- Logs: registros técnicos e operacionais gerados pelo sistema para auditoria e investigação.
2) FINALIDADES DO TRATAMENTO (POR QUE COLETAMOS)
O GEFLUX realiza tratamento de dados estritamente necessário para:
- Controle de acesso e autenticação: permitir acesso apenas a usuários autorizados, com rastreabilidade de sessões.
- Prevenção e detecção de fraudes: identificar acessos fora do padrão e tentativas suspeitas de autenticação.
- Segurança da informação: proteger contas, dados, operações e infraestrutura do GEFLUX contra acessos não autorizados.
- Auditoria e rastreabilidade: manter histórico verificável de ações, alterações e eventos relevantes para governança.
- Conformidade legal/contratual: atender requisitos internos, normativos e obrigações aplicáveis ao contexto operacional.
- Melhoria contínua: monitorar estabilidade, performance e confiabilidade do serviço, com visão de qualidade e continuidade.
3) QUAIS DADOS PODEM SER TRATADOS
3.1. Dados de Identificação e Acesso
- Matrícula/Usuário e identificadores internos associados;
- Perfil, permissões e hierarquia (ex.: tipo de acesso e restrições aplicáveis);
- Data e hora de login/logout e eventos de segurança (ex.: expiração de senha, troca obrigatória).
3.2. Dados Técnicos (Gerados Automaticamente)
- Endereço IP local e/ou público (quando disponível);
- Informações de navegador/dispositivo (User-Agent, plataforma, idioma, timezone, resolução de tela);
- Fingerprint do dispositivo (identificador técnico gerado a partir de informações do ambiente de navegação, com finalidade de segurança e detecção de anomalias);
- Registros de autenticação (sucesso/falha, bloqueios temporários por tentativas inválidas, revogação de sessão).
3.3. Localidade e Geolocalização (Aproximada) por IP
- Localização aproximada por IP (país/UF/cidade) e, quando disponível, latitude/longitude aproximadas;
- Dados de rede (ex.: ASN, ISP/organização, tipo de rede) e sinalizadores de risco (ex.: proxy, VPN, Tor, datacenter/hosting), quando fornecidos por serviço de inteligência de IP;
- Observação: a localização por IP é estimada e pode variar por provedores, redes móveis e VPNs. Não corresponde necessariamente à localização exata do Usuário.
3.4. Registros de Segurança e Auditoria
- Eventos de segurança (ex.: redefinição de senha, alteração de permissões, revogação de sessões, alertas por login fora do padrão);
- Trilhas de auditoria (“logs”) de ações relevantes, com data/hora, usuário e contexto técnico aplicável;
- Dados mínimos para investigação e resposta a incidentes (ex.: tentativa de fraude, acesso indevido, comprometimento).
4) COMO UTILIZAMOS OS DADOS PARA SEGURANÇA (EXEMPLOS PRÁTICOS)
Para proteger o Usuário, a organização e a operação, o GEFLUX poderá:
- Detectar acesso fora do padrão: quando um usuário que costuma acessar em uma localidade recorrente passa a acessar de outra localidade distante, o sistema pode gerar alerta de segurança.
- Detectar dispositivo novo: quando houver acesso por navegador/dispositivo não reconhecido para aquele usuário, o sistema registra e pode alertar o Usuário e o gestor.
- Mitigar risco: em caso de suspeita, o sistema pode revogar sessões ativas e forçar atualização de senha, reduzindo o risco de continuidade do acesso indevido.
- Auditar ações: registrar eventos relevantes para investigação, auditoria interna e melhoria contínua do ambiente.
5) BASES LEGAIS (LGPD)
O tratamento de dados no GEFLUX pode estar fundamentado, conforme o caso, em:
- Legítimo interesse do controlador para garantir segurança, prevenção a fraudes e governança, com medidas proporcionais e minimização de dados;
- Execução de contrato ou de procedimentos preliminares relacionados a relações de trabalho e prestação de serviço;
- Cumprimento de obrigação legal/regulatória, quando aplicável;
- Proteção do crédito e prevenção de fraudes, quando aplicável ao contexto operacional;
- Proteção da vida e incolumidade em situações específicas relacionadas à segurança operacional, quando aplicável.
6) COMPARTILHAMENTO E OPERADORES
Os dados podem ser acessados internamente por áreas autorizadas (ex.: TI/Security, gestores responsáveis, auditoria interna),
sempre com controle de acesso e trilha de auditoria. Quando necessário, o controlador poderá utilizar provedores técnicos (“operadores”),
como serviços de e-mail e serviços de inteligência de IP para segurança, respeitando a finalidade e com medidas contratuais e técnicas adequadas.
7) RETENÇÃO, MINIMIZAÇÃO E GOVERNANÇA (MUITO IMPORTANTE)
O GEFLUX adota medidas de minimização e governança para reduzir riscos e atender à finalidade de segurança. Assim:
- Retenção limitada: registros de login e segurança são mantidos por período adequado à investigação e compliance, podendo ser arquivados ou eliminados conforme política interna.
- Minimização: dados são coletados e mantidos apenas no nível necessário para segurança (ex.: localidade aproximada por IP), evitando excessos.
- Acesso restrito: apenas perfis autorizados podem visualizar logs detalhados e eventos de segurança.
- Auditoria de acesso: acessos a informações sensíveis podem ser logados (quando aplicável), reforçando rastreabilidade.
8) SEGURANÇA DA INFORMAÇÃO (MEDIDAS TÉCNICAS E ORGANIZACIONAIS)
O GEFLUX utiliza medidas como:
- Autenticação, controle de sessão e política de senha (expiração, troca obrigatória, bloqueio por tentativas inválidas);
- Monitoramento e alertas de segurança para acessos fora do padrão;
- Logs e trilhas de auditoria para investigação e conformidade;
- Controle de acesso por perfil/hierarquia e regras de permissão;
- Boas práticas de segurança no tráfego e no armazenamento, quando aplicável (ex.: HTTPS, cookies com flags de segurança).
9) RESPONSABILIDADES DO USUÁRIO
- Manter confidencialidade de suas credenciais (usuário/senha) e não compartilhar acesso.
- Não reutilizar senhas de outros serviços e utilizar senha forte conforme política.
- Encerrar sessão ao finalizar o uso, especialmente em computadores compartilhados.
- Reportar imediatamente ao gestor/TI/Security qualquer suspeita de acesso indevido.
10) DIREITOS DO TITULAR
O titular poderá solicitar informações, correções e esclarecimentos conforme a LGPD, respeitadas as obrigações legais,
as necessidades de segurança da informação e os limites aplicáveis ao contexto corporativo e operacional.
11) ATUALIZAÇÕES DESTA POLÍTICA
Esta Política poderá ser atualizada periodicamente para refletir melhorias de segurança, mudanças operacionais e adequações de conformidade.
Recomenda-se a leitura sempre que houver atualização.
