Política de Segurança da Informação

1. OBJETIVO 

A presente Política de Segurança da Informação e Proteção de Dados Pessoais tem por finalidade estabelecer diretrizes claras e eficazes para o tratamento seguro das informações, com ênfase na proteção dos dados pessoais, garantindo sua confidencialidade, integridade, disponibilidade e conformidade com as exigências legais, notadamente a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD), bem como com os requisitos da norma ABNT NBR ISO/IEC 27001:2022. 

2. ABRANGÊNCIA 

Esta política é aplicável a todos os colaboradores, parceiros, fornecedores, prestadores de serviços e terceiros que, de forma direta ou indireta, tenham acesso a informações ou dados pessoais tratados no âmbito das atividades da Totalpower. Os principais usuários deste documento são a Direção e os responsáveis pelo gerenciamento de fornecedores e parceiros na Totalpower. Este documento também se aplica a todos os colaboradores que utilizam serviços e recursos tecnológicos fornecidos pela Totalpower, incluindo terceiros, parceiros de negócios e prestadores de serviço 

3. TERMOS E DEFINIÇÕES 

1. Usuários: 

Este grupo abrange todas as pessoas que utilizam os sistemas de informação da empresa, incluindo empregados, prestadores de serviços e estagiários.

• Informação relacionada a pessoa natural identificada ou identificável. 

• Dado sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, dados genéticos ou biométricos, entre outros. 

• Titular dos dados: pessoa natural a quem se referem os dados pessoais. 

• Tratamento: toda operação realizada com dados pessoais. 

• DPO (Data Protection Officer): Dado pessoal, Encarregado pelo Tratamento de Dados Pessoais. 

• SGSI: Sistema de Gestão da Segurança da Informação. 

4. PRINCÍPIOS GERAIS 

A Totalpower adota como fundamento para a condução de suas atividades de segurança da informação e proteção de dados pessoais os seguintes princípios estruturantes, que regem toda e qualquer ação envolvendo o tratamento de informações: 

4.1 Confidencialidade: 

Assegurar que as informações estejam acessíveis apenas às pessoas autorizadas, protegendo-as contra acessos indevidos, vazamentos ou divulgação não autorizada. 

4.2 Integridade: 

Garantir que os dados e informações mantêm sua exatidão, completude e confiabilidade ao longo de todo o ciclo de vida, evitando alterações acidentais ou maliciosas que comprometam sua consistência. 

4.3 Disponibilidade: 

Assegurar que as informações e os sistemas estejam acessíveis e utilizáveis por usuários autorizados sempre que necessário, mediante políticas de continuidade de negócios e contingência. 

4.4 Transparência: 

Fornecer aos titulares informações claras, precisas e acessíveis sobre o tratamento de seus dados, suas finalidades e os direitos assegurados pela legislação. 

4.5 Legalidade e Conformidade: 

Observar rigorosamente as normas legais, regulatórias e contratuais aplicáveis à segurança da informação e à privacidade, especialmente a LGPD e a ISO/IEC 27001. 

4.6 Minimização de Dados: 

Garantir que o tratamento de dados pessoais seja limitado ao mínimo necessário para o cumprimento de suas finalidades legítimas, observando critérios de pertinência e proporcionalidade. 

4.7 Responsabilização e Prestação de Contas (Accountability): 

Demonstrar de forma documentada a adoção de medidas eficazes de governança, controle e mitigação de riscos relacionados à segurança da informação e ao tratamento de dados pessoais. 

4.8 Prevenção: 

Adotar medidas preventivas de natureza técnica e organizacional, com o objetivo de evitar a ocorrência de incidentes de segurança, vazamentos e falhas operacionais. 

4.9 Segurança por Design e por Padrão: 

Incorporar requisitos de segurança e privacidade desde a concepção de produtos, serviços e sistemas, promovendo o uso de tecnologias adequadas, padrões de codificação segura e controles de acesso baseados em perfil. 

4.10 Educação e Conscientização: 

Promover a cultura organizacional de segurança e privacidade por meio de treinamentos, campanhas de conscientização e comunicação constante sobre boas práticas de proteção de dados. 

4.11 Controle de Terceiros:

 Exigir, por meio de cláusulas contratuais e processos de due diligence, que fornecedores, parceiros e operadores adotem padrões equivalentes aos exigidos por esta política, garantindo que a segurança da informação seja mantida em toda a cadeia de fornecimento. 

4.12 Melhoria Contínua: 

Reavaliar periodicamente os processos, controles, tecnologias e políticas relacionados à segurança da informação e à proteção de dados, promovendo sua constante evolução e adequação ao contexto organizacional e à legislação vigente. 

5. GOVERNANÇA E ESTRUTURA ORGANIZACIONAL 

5.1 Nomeação do DPO 

Nos termos do artigo 41 da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD), a Totalpower nomeia formalmente seu Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), que atuará como canal de comunicação entre a organização, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

As atribuições do DPO incluem, mas não se limitam a: 

• Aceitar reclamações e comunicações dos titulares; 

• Prestar esclarecimentos e adotar providências; 

• Receber comunicações da ANPD e adotar medidas necessárias; 

• Orientar os colaboradores e os contratados da entidade sobre as práticas a serem tomadas em relação à proteção de dados pessoais;

• Executar as atividades de conformidade com a legislação de proteção de dados e promover a melhoria contínua da governança. 

Dados do DPO: 

     • Nome: Rodrigo Azevedo 

     • E-mail para contato: privacidade@totalpower.com.br 

     • Canal de atendimento ao titular: (11)9 7826 2859 / 11 99777-3647 

A identidade e as informações de contato do DPO serão mantidas sempre atualizadas e disponíveis no portal institucional da Totalpower, conforme exigência legal. 

5.2 Políticas Internas 

A presente política integra o conjunto de documentos normativos que compõem o Sistema de Gestão da Segurança da Informação (SGSI) da Totalpower, estabelecido com base na ISO/IEC 27001. As políticas, procedimentos e controles internos relacionados à segurança e privacidade são periodicamente revisados, monitorados e atualizados conforme as mudanças legais, tecnológicas e operacionais. 

6. PROCESSO DE TRATAMENTO DE DADOS PESSOAIS 

6.1 Consentimento e Bases Legais 

A Totalpower utiliza as hipóteses legais previstas na LGPD, entre elas: 

• Consentimento do titular (livre, informado e inequívoco); 

• Cumprimento de obrigação legal ou regulatória; 

• Execução de contrato ou de procedimentos preliminares; 

• Exercício regular de direitos em processos; 

• Interesses legítimos da empresa, desde que respeitados os direitos do titular. O consentimento é solicitado quando necessário e pode ser revogado a qualquer tempo. As finalidades são informadas de forma clara e objetiva. 

6.2 Registro das Atividades de Tratamento (ROPA) 

A Totalpower mantém inventário atualizado contendo: 

• Finalidade do tratamento; 

• Tipo de dado tratado; 

• Base legal utilizada; 

• Categorias de titulares; 

• Destinatários (inclusive transferências internacionais); 

• Medidas de segurança; 

• Prazos de retenção; 

• Encarregado e operadores envolvidos. 

6.3 Direitos dos Titulares 

A Totalpower assegura os seguintes direitos ao titular: 

• Confirmação e acesso aos dados tratados; 

• Correção de dados inexatos; 

• Anonimização, bloqueio ou eliminação; 

• Portabilidade dos dados; 

• Eliminação dos dados tratados com consentimento; 

• Informações sobre compartilhamentos; 

• Oposição ao tratamento em caso de legítimo interesse; 

• Revisão de decisões automatizadas. 

As solicitações são analisadas por equipe capacitada e respondidas no prazo legal, com autenticação do solicitante e registro do atendimento. 

6.4 Segurança e Privacidade no Ciclo de Vida dos Dados 

Do momento da coleta até a eliminação, os dados pessoais são tratados com medidas técnicas e administrativas como: 

• Criptografia; 

• Controle de acesso baseado em função; 

• Segmentação de rede; 

• Registro de logs; 

• Políticas de descarte seguro. 

6.5 Treinamento, Auditoria e Melhoria Contínua 

A Totalpower promove treinamentos obrigatórios e periódicos, bem como realiza auditorias internas, revisões de impacto e testes de segurança, buscando garantir a conformidade e a melhoria contínua. 

7. MEDIDAS DE SEGURANÇA DA INFORMAÇÃO 

7.1 Diretrizes Gerais 

A Totalpower adota um conjunto robusto de medidas técnicas e administrativas, alinhadas às melhores práticas internacionais em segurança da informação e aos requisitos da norma ISO/IEC 27001:2022. Tais medidas são implementadas com o objetivo de proteger os ativos informacionais contra ameaças internas e externas, falhas operacionais, violações de confidencialidade, indisponibilidade e destruição acidental ou ilícita de dados. As diretrizes adotadas abrangem: 

• Classificação da informação com base em critérios de confidencialidade, integridade e disponibilidade. 

• Controle de acesso físico e lógico, por meio de autenticação multifator, segregação de funções e gerenciamento de privilégios. 

• Inventário de ativos com identificação de proprietários, classificação e registro de movimentações. 

• Gerenciamento de vulnerabilidades, com varreduras periódicas e atualizações de segurança. 

• Segmentação de redes e firewalls para isolar ambientes críticos e controlar tráfego indevido. 

• Criptografia de dados sensíveis em repouso e em trânsito, com uso de algoritmos robustos (ex: AES-256). 

• Backup periódico, com políticas definidas de retenção, testes de restauração e armazenamento seguro. 

• Gestão de dispositivos móveis, com políticas de BYOD (Bring Your Own Device). 

• Proteção contra malware e ameaças avançadas persistentes, com soluções antivírus, antispam e de detecção comportamental. 

• Segurança de endpoints e estações de trabalho, com políticas de atualização automática, bloqueio de periféricos e controle de mídia removível. 

• Gerenciamento de patches e correções, com análise de impacto e cronograma de aplicação. 

7.2 Monitoramento, Auditoria e Log de Atividades 

A Totalpower realiza o monitoramento contínuo de seus ambientes tecnológicos com o objetivo de detectar comportamentos anômalos, acessos indevidos, tentativas de intrusão e atividades suspeitas. 

Todos os sistemas críticos geram logs de auditoria que são: 

• Centralizados em repositórios seguros; 

• Retidos por período definido em política interna; 

• Monitorados pela ferramenta Bitdefender; 

• Analisados periodicamente por equipe especializada. 

Auditorias internas e externas são realizadas com periodicidade definida, a fim de assegurar a conformidade dos controles implementados com os requisitos da ISO 27001 e demais políticas internas. 

7.3 Gestão de Incidentes de Segurança da Informação 

A Totalpower adota um processo formal de Gestão de Incidentes de Segurança da Informação, que compreende: 

Identificação e Registro: Qualquer colaborador ou terceiro que identificar comportamento suspeito ou anomalia deve reportar imediatamente ao canal de incidentes ou ao DPO. 

Análise e Classificação: Os incidentes são avaliados quanto à criticidade, impacto e escopo. Utiliza-se metodologia baseada em matrizes de risco e categorização de eventos. 

Resposta e Contenção: São aplicadas medidas imediatas para evitar a propagação do incidente, preservar evidências e mitigar impactos. 

Notificação: Quando aplicável, os titulares afetados e a ANPD serão notificados no prazo legal (até 48h após a ciência do incidente), com a devida descrição técnica e medidas adotadas. 

Recuperação e Restauração: As operações impactadas são restabelecidas com base em planos de continuidade e recuperação previamente testados. 

Aprendizado e Melhoria Contínua: Cada incidente é documentado e analisado após encerramento, com a elaboração de planos de ação corretivos e preventivos. A política de resposta a incidentes é complementada por procedimentos específicos para vazamento de dados pessoais, ataques de ransomware, engenharia social, indisponibilidade de serviços críticos, entre outros. 

7.4 Segurança em Contratos com Terceiros

Todos os contratos com fornecedores e prestadores de serviços que tratam dados pessoais ou acessam ativos de informação devem conter cláusulas específicas sobre: 

• Obrigação de confidencialidade; 

• Adoção de controles mínimos de segurança (equivalentes à ISO 27001); 

• Responsabilidade por incidentes e vazamentos; 

• Subordinação ao DPO e aos canais de reporte; 

• Dever de notificação imediata em caso de incidente; 

• Auditoria e compliance sob demanda. 

7.5 Planos de Continuidade e Recuperação de Desastres (PCN e PRD) 

A Totalpower mantém planos formalizados para garantir a continuidade das operações e a recuperação rápida em caso de interrupções significativas causadas por falhas técnicas, catástrofes naturais, ataques cibernéticos ou qualquer evento adverso. Os planos são: 

• Testados periodicamente; 

• Revisados após cada incidente; 

• Mantidos por equipe responsável com contatos de escalonamento; 

• Documentados com métricas de RTO (Recovery Time Objective) e RPO (Recovery Point Objective). 

8. TREINAMENTO E CONSCIENTIZAÇÃO 

8.1 Objetivo do Programa de Conscientização 

A Totalpower reconhece que o fator humano é uma das principais variáveis de risco à segurança da informação. Por isso, investe continuamente em programas de treinamento e conscientização voltados à criação de uma cultura organizacional voltada à proteção de dados, cibersegurança e boas práticas de governança. O programa é estruturado para alcançar colaboradores, estagiários, prestadores de serviço, fornecedores e terceiros com acesso a dados ou sistemas corporativos. 

8.2 Conteúdo Programático 

Os treinamentos abrangem, no mínimo: 

• Fundamentos da LGPD e direitos dos titulares; 

• Princípios da ISO/IEC 27001 e responsabilidades individuais; 

• Boas práticas no uso de e-mails, senhas, dispositivos e redes; 

• Reconhecimento e resposta a ameaças digitais (phishing, ransomware, engenharia social); 

• Política de uso aceitável de ativos; 

• Regras de acesso e sigilo de informações corporativas; 

• Procedimentos de notificação de incidentes e vazamentos; 

• Atualizações periódicas de normativos internos e exigências legais. 

8.3 Modalidades e Frequência

Os treinamentos são realizados por meio de: 

• Cursos presenciais e online obrigatórios para novos colaboradores no onboarding; 

• Reciclagens anuais obrigatórias; 

• Workshops técnicos para áreas críticas (TI, jurídico, atendimento); 

• Boletins mensais, e-mails educativos e simulações práticas; 

• Campanhas internas com quizzes, palestras e materiais visuais. 

8.4 Avaliação e Indicadores 

Todos os treinamentos contam com avaliação de retenção do conteúdo e controle de participação. Os resultados são acompanhados por indicadores específicos (nível de adesão, taxa de acertos, reincidência em falhas etc.), permitindo a melhoria contínua dos conteúdos e estratégias. O não cumprimento das obrigações de treinamento poderá ensejar responsabilização funcional, conforme normativos internos. 

9. DISPOSIÇÕES FINAIS 

9.1 Revisão e Atualização 

A presente política será revisada anualmente ou sempre que houver: 

• Alterações legais relevantes, especialmente na LGPD ou ISO 27001; 

• Incidentes significativos de segurança da informação; 

• Mudanças no escopo de tratamento de dados ou nos sistemas críticos; 

• Recomendações da ANPD ou de órgãos reguladores setoriais. As versões revisadas serão aprovadas pela alta direção e divulgadas a todos os públicos internos e externos relevantes. 

9.2 Sanções pelo Descumprimento

O descumprimento desta política por parte de colaboradores, fornecedores ou terceiros poderá ensejar: 

• Advertência; 

• Suspensão de acessos; 

• Responsabilização contratual ou disciplinar; 

• Rescisão contratual ou demissão por justa causa; 

• Comunicação à ANPD e demais autoridades, quando aplicável. 

9.3 Comunicação com o Encarregado (DPO)

Dúvidas, solicitações, reclamações ou denúncias sobre esta política, tratamento de dados pessoais ou segurança da informação podem ser encaminhadas ao canal oficial: 

privacidade@totalpower.com.br 

www.totalpower.com.br 

A identidade dos solicitantes será protegida, e as manifestações analisadas com independência, confidencialidade e tempestividade, conforme procedimentos internos de resposta a titulares e partes interessadas.

Converse com um especialista

Nosso time está a um clique de distância,
fale conosco no WhatsApp.

Fale com um especialista hoje mesmo!
Fale com um especialista hoje mesmo!

Na TotaPower, desenvolvemos soluções tecnológicas para impulsionar a eficiência, segurança e conectividade em operações industriais de todos os segmentos. Descubra como podemos transformar sua indústria com inovação.

Institucional

Nosso contato

  • (11)91314-0486
  • comercial@totalpower.com.br
  • Segunda a sexta, das 9:00 às 18:00
  • Avenida Queiroz Filho, 1560 Torre, R. Beija Flor, Sala 002 – Vila Hamburguesa, São Paulo – SP, 05319-000

Nossas redes

Facebook Linkedin Instagram Youtube

Política de Privacidade

Código de Conduta e Ética

Políticas Totalpower

© 2025 - TOTAL POWER - Todos os direitos reservados

plugins premium WordPress

Institucional

Nossas redes

Facebook Linkedin Instagram Youtube