Canal do Corretor

← Voltar à página inicial

Política de Segurança da Informação e LGPD

ATENAS SEGURADORA DE DANOS E PESSOAS S.A.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E LGPD

Sumário

1. OBJETIVO

2. APLICAÇÃO

3. REFERÊNCIAS

4. RESPONSABILIDADE

5. PRINCÍPIOS

6. DESCRIÇÃO GERAL DA NORMA

7. HISTÓRICO DAS REVISÕES

1. OBJETIVO

A presente Política estabelece as diretrizes para a proteção das informações corporativas e dos dados pessoais tratados pela Atenas Seguradora de Danos e Pessoas S.A. ("Companhia"), assegurando confidencialidade, integridade, disponibilidade, autenticidade, rastreabilidade e uso adequado das informações, em conformidade com a Lei Geral de Proteção de Dados (LGPD), normas da SUSEP, regulamentações da ANPD e demais disposições aplicáveis.

Esta Política tem como objetivo orientar a governança da informação, o tratamento de dados pessoais, a definição de papéis e responsabilidades, a prevenção de acessos indevidos, o registro de evidências, a resposta a incidentes envolvendo dados e informações e a integração entre Segurança da Informação, Privacidade, Compliance, Gestão de Riscos, Controles Internos, Continuidade de Negócios e Segurança Cibernética.

A Política de Segurança da Informação e LGPD deve ser interpretada em conjunto com a Política de Segurança Cibernética, a Política de Privacidade, a Política de Continuidade de Negócios, a Política de Terceirização e Funções-Chave, a Política de Conformidade, Governança e Gestão de Riscos e demais normas internas da Companhia, evitando sobreposição indevida de controles e assegurando uma atuação integrada.

2. APLICAÇÃO

Esta Política aplica-se a todos os acionistas, administradores, diretores, colaboradores, estagiários, prestadores de serviços, fornecedores, parceiros, operadores de dados pessoais, terceiros, representantes e demais partes que tenham acesso, direto ou indireto, a informações, dados pessoais, sistemas, ambientes físicos ou tecnológicos da Companhia.

Aplica-se a todas as informações mantidas, processadas, transmitidas ou armazenadas pela Companhia, independentemente do meio utilizado, incluindo documentos físicos, arquivos digitais, sistemas corporativos, e-mails, bases de dados, aplicações em nuvem, relatórios, comunicações internas e externas, registros regulatórios e informações de segurados, beneficiários, estipulantes, corretores, colaboradores, prestadores e parceiros.

3. REFERÊNCIAS

  • (i) Lei n. 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) e suas alterações;
  • (ii) Circular SUSEP n. 638, de 27 de julho de 2021 - requisitos de segurança cibernética aplicáveis às supervisionadas;
  • (iii) Resolução CNSP n. 416, de 20 de julho de 2021 - sistema de controles internos, estrutura de gestão de riscos e auditoria interna;
  • (iv) Resolução CD/ANPD n. 15, de 24 de abril de 2024 - Regulamento de Comunicação de Incidente de Segurança;
  • (v) Resolução CD/ANPD n. 18, de 16 de julho de 2024 - Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais;
  • (vi) ISO/IEC 27001 e ISO/IEC 27002 - boas práticas de gestão e controles de segurança da informação;
  • (vii) Políticas internas da Companhia, incluindo Segurança Cibernética, Privacidade, Continuidade de Negócios, Terceirização, PLD/FT, Controles Internos, Gestão de Riscos e Auditoria Interna.

4. RESPONSABILIDADE

  • (i) Diretoria Executiva: aprovar e supervisionar a implementação desta Política, assegurar recursos adequados, avaliar reportes relevantes e deliberar sobre riscos materiais, incidentes críticos e planos de ação estruturantes;
  • (ii) Área de Segurança da Informação / Tecnologia: implementar controles técnicos e operacionais de segurança, administrar acessos, logs, backups, infraestrutura, ferramentas de proteção, monitoramento e resposta inicial a eventos de segurança;
  • (iii) Encarregado pelo Tratamento de Dados Pessoais (DPO): orientar a Companhia quanto às obrigações da LGPD, atuar como canal de comunicação com titulares e ANPD, acompanhar incidentes envolvendo dados pessoais e apoiar a avaliação de riscos de privacidade;
  • (iv) Compliance e Controles Internos: monitorar a aderência desta Política, apoiar a formalização de controles, registrar desvios, acompanhar planos de ação e reportar deficiências relevantes às instâncias competentes;
  • (v) Gestão de Riscos: avaliar riscos relacionados à informação, privacidade, terceiros, continuidade, segurança tecnológica e exposição regulatória, recomendando medidas de mitigação proporcionais ao impacto identificado;
  • (vi) Jurídico: apoiar a avaliação de obrigações legais, cláusulas contratuais, comunicação a autoridades, resposta a titulares e instrumentos que envolvam compartilhamento ou tratamento de dados pessoais;
  • (vii) Gestores das Áreas: aprovar acessos sob sua responsabilidade, zelar pela correta classificação e uso das informações, comunicar desvios e assegurar que suas equipes cumpram esta Política;
  • (viii) Colaboradores, prestadores e terceiros: cumprir as diretrizes desta Política, proteger credenciais, utilizar informações apenas para finalidades autorizadas, comunicar incidentes ou suspeitas e preservar o sigilo das informações acessadas.

5. PRINCÍPIOS

  • (i) Confidencialidade: as informações devem ser acessadas apenas por pessoas autorizadas e para finalidades legítimas;
  • (ii) Integridade: as informações devem ser mantidas completas, corretas, consistentes e protegidas contra alteração indevida;
  • (iii) Disponibilidade: informações e sistemas críticos devem estar acessíveis aos usuários autorizados quando necessários à operação;
  • (iv) Autenticidade e Rastreabilidade: acessos, alterações e operações relevantes devem ser atribuíveis a usuários identificáveis e passíveis de auditoria;
  • (v) Menor Privilégio e Necessidade: cada usuário deverá possuir apenas os acessos indispensáveis ao exercício de suas atividades;
  • (vi) Privacidade desde a Concepção e por Padrão: os processos devem incorporar proteção de dados desde o desenho inicial e limitar o tratamento ao necessário;
  • (vii) Finalidade, Adequação e Transparência: o tratamento de dados pessoais deverá observar finalidade legítima, compatibilidade com a atividade realizada e informação adequada aos titulares;
  • (viii) Segurança, Prevenção e Prestação de Contas: a Companhia deverá adotar controles proporcionais ao risco e manter evidências de conformidade.

6. DESCRIÇÃO GERAL DA NORMA

6.1 Governança da Segurança da Informação e Proteção de Dados

A Companhia deverá manter governança compatível com seu porte, complexidade, natureza das operações, dados tratados e riscos assumidos. A governança deverá abranger políticas, procedimentos, inventários, matriz de responsabilidades, indicadores, registros de tratamento, controles de acesso, gestão de terceiros, planos de ação, treinamentos e evidências auditáveis.

A Segurança da Informação e a Proteção de Dados deverão atuar de forma integrada à Gestão de Riscos, Controles Internos, Segurança Cibernética, Continuidade de Negócios, Terceirização, Compliance, Jurídico e demais áreas envolvidas, garantindo que riscos tecnológicos, regulatórios, operacionais e reputacionais sejam avaliados de forma coordenada.

6.2 Classificação das Informações

As informações deverão ser classificadas de acordo com sua sensibilidade, impacto operacional, criticidade regulatória e risco decorrente de divulgação, alteração, perda ou indisponibilidade. A classificação deverá orientar os controles de acesso, armazenamento, compartilhamento, retenção e descarte.

ClassificaçãoCritérioExemplosControles mínimos
PúblicaInformação aprovada para divulgação externa.Comunicados públicos, informações institucionais divulgadas.Validação prévia da área responsável.
InternaInformação de uso corporativo, sem caráter público.Procedimentos, relatórios administrativos, comunicados internos.Acesso restrito aos colaboradores e terceiros autorizados.
ConfidencialInformação sensível ao negócio, clientes, parceiros ou colaboradores.Contratos, dados cadastrais, relatórios financeiros, informações de segurados.Controle de acesso, sigilo, compartilhamento limitado e registro de evidências.
Restrita / CríticaInformação cujo vazamento, perda ou indisponibilidade possa gerar impacto regulatório, financeiro, operacional ou reputacional relevante.Dados pessoais sensíveis, bases críticas, credenciais, informações regulatórias, chaves, logs e dados estratégicos.Acesso por necessidade, aprovação formal, monitoramento, logs, criptografia quando aplicável e revisão periódica.

Dados pessoais deverão receber marcação adicional de proteção, considerando sua natureza, volume, finalidade, sensibilidade, titulares envolvidos, base legal, necessidade de compartilhamento, prazo de retenção e impacto potencial aos direitos dos titulares.

6.3 Tratamento de Dados Pessoais e Registros de Operações

O tratamento de dados pessoais deverá observar os princípios da LGPD, incluindo finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

As áreas responsáveis deverão manter registros mínimos das operações de tratamento, contemplando finalidade, categoria de dados, titulares envolvidos, bases legais, sistemas utilizados, compartilhamentos, operadores, prazos de retenção, medidas de segurança aplicáveis e responsável interno pelo processo.

Novos processos, produtos, sistemas, integrações, campanhas, contratações ou projetos que envolvam dados pessoais deverão ser avaliados previamente pelo DPO, Compliance, Jurídico, Segurança da Informação e Gestão de Riscos, conforme criticidade, podendo ser exigido relatório de impacto ou avaliação específica de privacidade.

6.4 Direitos dos Titulares

A Companhia deverá manter canal adequado para recepção, registro, análise e resposta às solicitações de titulares de dados pessoais, incluindo confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento e revogação de consentimento, quando aplicável.

As solicitações deverão ser analisadas pelo DPO com apoio das áreas responsáveis, preservando a rastreabilidade da demanda, a validação da identidade do solicitante, a avaliação de impedimentos legais ou regulatórios e a evidência da resposta fornecida.

6.5 Controle de Acessos e Gestão de Identidades

Os acessos a sistemas, ambientes físicos, bases de dados, pastas, e-mails, aplicações em nuvem e informações corporativas deverão ser controlados e registrados, observando, no mínimo:

  • (i) criação de acesso somente mediante solicitação formal e aprovação do gestor responsável;
  • (ii) concessão de perfil compatível com a função exercida e com o princípio do menor privilégio;
  • (iii) utilização de credenciais individuais, vedado o compartilhamento de senhas ou contas genéricas, salvo exceção formalmente justificada e controlada;
  • (iv) revisão periódica de acessos, no mínimo mensal ou trimestral, conforme criticidade do sistema ou da informação;
  • (v) revogação ou alteração imediata de acessos em caso de desligamento, mudança de função, afastamento, encerramento de contrato ou perda de necessidade de uso;
  • (vi) manutenção de inventário de usuários, perfis, sistemas, data de concessão, responsável aprovador e data da última revisão;
  • (vii) adoção de autenticação reforçada em sistemas críticos, sempre que tecnicamente aplicável.

6.6 Uso Aceitável dos Recursos e Informações

Os recursos tecnológicos, informações e sistemas da Companhia deverão ser utilizados exclusivamente para fins profissionais, observadas as regras internas de confidencialidade, segurança, privacidade, ética e conformidade. É vedado armazenar informações corporativas ou dados pessoais em ambientes pessoais, dispositivos não autorizados ou ferramentas não homologadas pela Companhia.

O envio de informações confidenciais ou restritas por e-mail, aplicativos, links, arquivos compartilhados ou mídias removíveis deverá observar critérios de necessidade, autorização, proteção adequada e rastreabilidade. O uso de dispositivos próprios, quando autorizado, deverá observar controles mínimos definidos pela área responsável.

6.7 Segurança Física, Lógica e Proteção de Ambientes

A Companhia deverá adotar controles físicos, lógicos e administrativos para proteger informações e sistemas contra acesso indevido, perda, alteração, indisponibilidade, destruição, vazamento ou uso não autorizado. Os controles poderão incluir segregação de ambientes, proteção de endpoints, gestão de senhas, logs, criptografia, cópias de segurança, bloqueios de tela, controle de entrada física, descarte seguro e monitoramento proporcional ao risco.

Informações restritas ou críticas deverão ser protegidas por controles reforçados, especialmente quando envolverem dados pessoais sensíveis, grandes volumes de dados, credenciais, relatórios regulatórios, informações financeiras, dados de sinistros, subscrição, reservas, investimentos ou comunicações com reguladores.

6.8 Compartilhamento, Terceiros, Operadores e Nuvem

O compartilhamento de informações com terceiros, operadores, empresas do grupo, fornecedores, parceiros, consultores ou prestadores deverá estar vinculado a finalidade legítima, necessidade operacional ou obrigação legal/regulatória, devendo ser formalizado por contrato, instrumento equivalente ou registro que estabeleça responsabilidades, confidencialidade, proteção de dados, segurança, subcontratação, auditoria, incidentes, retenção, devolução e descarte.

Contratações que envolvam armazenamento, processamento ou acesso a dados pessoais, sistemas críticos ou informações restritas deverão observar a Política de Terceirização e Funções-Chave, a Política de Segurança Cibernética e os procedimentos de due diligence, incluindo avaliação de segurança, reputação, integridade, localização, suboperadores e capacidade de resposta a incidentes.

O uso de serviços em nuvem deverá considerar criticidade da informação, localização dos dados, requisitos contratuais, reversibilidade, continuidade, logs, segregação de ambientes, gestão de acessos e compatibilidade com as exigências regulatórias aplicáveis.

6.9 Retenção, Guarda, Descarte e Evidências

As informações e dados pessoais deverão ser retidos pelo prazo necessário ao cumprimento da finalidade, obrigações legais, regulatórias, contratuais, exercício regular de direitos ou preservação de evidências. Encerrada a finalidade e inexistindo obrigação de retenção, deverá ser realizado descarte seguro, anonimização ou eliminação, conforme aplicável.

A Companhia deverá manter evidências de controles relevantes, incluindo inventário de acessos, revisões periódicas, logs de atividades críticas, registros de tratamento, solicitações de titulares, incidentes, avaliações de terceiros, treinamentos, backups, testes de restauração e planos de ação.

6.10 Incidentes de Segurança da Informação e Privacidade

Todo evento suspeito ou incidente envolvendo informações corporativas, dados pessoais, sistemas, acessos, disponibilidade, integridade, confidencialidade ou autenticidade deverá ser comunicado imediatamente aos canais internos definidos pela Companhia.

O fluxo mínimo de tratamento de incidentes deverá contemplar: identificação, registro, classificação de criticidade, contenção, preservação de evidências, acionamento das áreas responsáveis, avaliação de impacto, definição de comunicação interna ou externa, correção, análise de causa raiz, plano de prevenção de recorrência e encerramento formal.

Quando houver incidente envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares, o DPO, com apoio do Jurídico, Compliance, Segurança da Informação e Diretoria, deverá avaliar a necessidade de comunicação à ANPD, aos titulares e, quando aplicável, à SUSEP ou demais autoridades competentes, observados os prazos e requisitos regulatórios vigentes.

6.11 Backups, Continuidade e Recuperação

A Companhia deverá identificar sistemas, bases e informações críticas, definir frequência de backup, responsáveis, locais de armazenamento, critérios de retenção, testes de restauração e metas de recuperação compatíveis com a criticidade dos processos. Backups e testes de restauração deverão ser documentados e ficar disponíveis para auditoria.

Falhas em backup, restauração, disponibilidade de sistemas ou continuidade tecnológica deverão gerar registro formal, avaliação de impacto, plano de ação, responsável e prazo de regularização, com reporte às áreas competentes quando houver risco operacional, regulatório ou de atendimento aos segurados e demais partes interessadas.

6.12 Treinamento e Conscientização

Colaboradores, gestores, prestadores e terceiros com acesso a informações ou dados pessoais deverão receber treinamento inicial e recorrente sobre segurança da informação, proteção de dados, uso aceitável, confidencialidade, prevenção a incidentes, tratamento de dados pessoais, phishing, engenharia social e reporte de eventos suspeitos.

A participação em treinamentos, campanhas ou comunicações deverá ser registrada, podendo ser utilizada como evidência de conformidade e cultura de controle.

6.13 Indicadores, Monitoramento e Reporte

A efetividade desta Política deverá ser acompanhada por indicadores operacionais, regulatórios e de controle, com reporte periódico à Diretoria ou instância competente, conforme criticidade dos temas monitorados.

Indicador / controleObjetivoPeriodicidade mínimaResponsável
Revisão de acessosVerificar aderência ao menor privilégio e necessidade de uso.Mensal ou trimestral, conforme criticidadeTI / Gestores
Incidentes e eventos suspeitosMonitorar volume, criticidade, causa raiz e tempo de resposta.Por evento e consolidado periódicoSegurança / DPO / Compliance
Solicitações de titularesAcompanhar prazo, volume, tipo de solicitação e resposta.Mensal ou conforme demandaDPO
Backups e testes de restauraçãoValidar capacidade de recuperação e continuidade.Semestral ou conforme criticidadeTI
Treinamentos de segurança e LGPDAcompanhar adesão e conscientização.Anual ou recorrenteRH / Compliance / Segurança
Avaliação de terceiros com dados ou sistemasMonitorar riscos e aderência contratual.Anual ou por evento relevanteDemandante / Riscos / Compliance

Ocorrências relevantes, descumprimentos materiais, atrasos recorrentes em planos de ação, incidentes críticos, risco de sanção regulatória ou fragilidades que afetem processos essenciais deverão ser reportados à Diretoria, com indicação de impacto, responsáveis e medidas de mitigação.

6.14 Tratamento de Desvios e Planos de Ação

Desvios, fragilidades, não conformidades, incidentes, acessos indevidos, falhas de controle, ausência de evidência, uso inadequado de dados ou descumprimento desta Política deverão ser registrados e tratados por meio de plano de ação formal.

O plano de ação deverá conter, no mínimo, descrição do desvio, causa provável, impacto, criticidade, responsável pela correção, prazo de conclusão, medida de mitigação, evidência esperada, status de acompanhamento e validação de encerramento. Atrasos ou reincidências deverão ser escalonados às instâncias competentes.

6.15 Revisão da Política

Esta Política deverá ser revisada, no mínimo, a cada 02 (dois) anos, ou antes disso em caso de alteração regulatória relevante, mudança de modelo operacional, incidente material, nova tecnologia crítica, alteração significativa no tratamento de dados pessoais, recomendação de auditoria, decisão da Diretoria ou necessidade identificada pelas áreas de controle.

Última atualização: 08 de junho de 2026.