Código de Conduta e Ética

A Mentto está comprometida com os mais elevados padrões de conduta ética e profissional. O Código de Conduta (“Código de Conduta” ou “Código”) oferece diretrizes básicas de práticas de negócios e de conduta profissional que devemos adotar e defender. Para promover a confiança e a crença do público, este Código mostra como vivenciamos nossos valores como pessoas e como uma equipe. 

Na Mentto, vivemos nossos valores, atendemos ao nosso objetivo e impulsionamos o crescimento responsável por meio de nossas linhas de negócios.

Somos guiados pelo objetivo comum de ajudar a melhorar a experiência diante da jornada global de digitalização, por meio do poder de cada conexão.

Objetivos e Valores

  1. Nosso objetivo e valores formam a base da nossa cultura; uma cultura enraizada na integridade, na gestão disciplinada de risco e no trabalho em equipe para servir melhor nossos consumidores e clientes, fortalecer nossas comunidades e acrescentar valor aos nossos acionistas. 

Trabalhar juntos: Acreditamos na importância de tratar cada consumidor, cliente e colega como um indivíduo e considerar cada momento como um momento importante. Nós nos empenhamos para vencer obstáculos e apresentar resultados, com disciplina e paixão. Acreditamos no vínculo com as pessoas, individualmente, com empatia e compreensão. Acreditamos que tudo o que fazemos para os consumidores, clientes, colegas de equipe e comunidades que atendemos é edificado em uma base de negócios sólida que presta serviços para os acionistas. 

  1. Agir com responsabilidade: Acreditamos que a integridade e a gestão disciplinada dos riscos compõem a base do nosso negócio. Temos consciência de que nossas decisões e ações afetam as vidas das pessoas diariamente. Acreditamos na tomada de decisões que sejam claras, justas e baseadas nos princípios de sucesso compartilhado, cidadania responsável e criação de comunidades. Valorizar nosso pessoal Nós nos empenhamos para ajudar todos os funcionários a atingir seu potencial máximo. Acreditamos que históricos e experiências diversificadas nos tornam mais fortes. Respeitamos todos os indivíduos e valorizamos nossas diferenças em relação ao pensamento, estilo, cultura, etnia e experiência. 

Confiar na equipe: Acreditamos que os melhores resultados são atingidos quando as pessoas trabalham juntas em toda a empresa. Acreditamos que ótimas equipes são formadas a partir da confiança mútua, propriedade compartilhada e responsabilidade. Agimos como uma só empresa e acreditamos que quando trabalhamos juntos, atendemos melhor todas as necessidades dos nossos consumidores e clientes.

Cultura 

3. Nossa cultura vem de como administramos a empresa todos os dias, agindo com responsabilidade e gerenciando bem os riscos, o que inclui nossos compromissos com um comportamento honesto e ético, agindo com integridade e cumprindo as leis, regras, regulamentações e políticas aplicáveis. A administração dos riscos é essencial em tudo o que fazemos. O nosso sucesso depende da curiosidade intelectual e do bom senso de todos os funcionários da empresa. É por isso que, independentemente de onde trabalhamos na empresa, administrar bem os riscos é fundamental para atender aos nossos objetivos e valores e para proporcionar um crescimento responsável.

Compromisso

Decisões virtuosas e responsáveis 

Inúmeras decisões são tomadas diariamente na Mentto à medida que alcançamos o nosso objetivo para melhorar a vida das pessoas, conectando aqueles que atendemos à tecnologia e inovação de que necessitam para ter sucesso. Cada decisão que tomamos como instituição e como funcionários afeta não apenas a empresa e nossos colegas de equipe, mas também nossos consumidores, clientes, acionistas e comunidades. Todos nos esforçamos para tomar decisões boas e responsáveis e para fazer a coisa certa. Contudo, tomar decisões nem sempre é fácil. 

  1. Embora em algumas situações o resultado correto seja óbvio e a decisão possa ser tomada facilmente, em muitas situações o resultado correto não é tão claro ou você pode estar sob pressão de tempo ou outras pressões relacionadas aos negócios. 

Independentemente da natureza de uma decisão específica, tenha em mente o seguinte para tomar decisões bem informadas e sensatas: 

  • Certifique-se de conhecer os fatos relevantes. 

  • Leve em conta as leis, regras, regulamentações e políticas aplicáveis. 

  • Considere os interesses conflitantes. 

  • Identifique todas as possíveis opções e suas consequências.

  • Defenda os valores da Mentto.

 

Tratamento Justo e Responsabilidades

5. Na Mentto, espera-se que façamos negociações justas com nossos funcionários, consumidores, fornecedores, concorrentes e outros terceiros:

• Ninguém deve tirar vantagem de nenhum funcionário, consumidor, fornecedor, concorrente ou outro terceiro por meio de manipulação, dissimulação, uso inadequado de informações proprietárias e confidenciais, deturpação consciente de fatos ou qualquer outra prática de negociação desleal.

• Ninguém deve oferecer nem aceitar subornos, comissões, promessas ou ofertas especiais de crédito.

• Todos devem aprovar ou aceitar pedidos, contratos e compromissos com base em padrões objetivos de negócios para evitar favoritismo ou impressão de favoritismo.

• Ninguém deve conspirar nem colaborar com concorrentes sob nenhuma circunstância.

• Ninguém deve acessar uma conta de um cliente sem permissão ou necessidade comercial legítima e autorizada

Exceções ao Código

6. A diretoria é responsável por aprovar qualquer exceção ao Código para o diretor executivo, diretor financeiro, diretor de contabilidade ou qualquer diretor ou funcionário executivo. A empresa prontamente divulgará qualquer exceção em seu site, ou por meio de um comunicado à imprensa ou outro registro público, conforme exigido pela lei, norma ou regra aplicável.

Obrigações Específicas Dos Gestores

Todos são responsáveis por cumprir com o Código; relatar violação ou suspeitas de violações do Código, das leis, regras, regulamentações, políticas ou procedimentos; práticas de negócios questionáveis que possam contradizer ou violar nosso Código; e cooperar em investigações de possíveis violações.

7. Os gestores possuem obrigações adicionais descritas a seguir:

•Praticar ativamente o comportamento ético, administrar riscos de acordo com a Estrutura de risco da empresa e vivenciar os padrões do nosso Código e dos nossos valores.

• Garantir que as pessoas estão agindo de acordo com nossos valores, nosso Código e nossa Estrutura de riscos.

• Assegurar-se de que os indivíduos sob sua supervisão estejam cientes do nosso Código, das políticas e dos procedimentos correlatos.

• Conservar um ambiente no local de trabalho que estimule discussões francas sobre questões éticas sem medo de represálias.

• Evitar condutas que possam ser consideradas abuso de sua posição ou influência (por exemplo, pressionar inadequadamente os colegas de equipe para obter benefício pessoal ou atividades).

• Tratar confidencialmente todos os relatórios e reclamações sobre questões éticas e seguir de modo consistente as políticas e procedimentos da empresa para resolvê-los.

Postura Ética 

Sustentar nossa cultura de gerenciar riscos bem em toda a empresa é fundamental para o nosso sucesso e nossos esforços para impulsionar o crescimento responsável. Crescer com responsabilidade é apoiado por nosso compromisso de agir com responsabilidade, o que significa que, à medida que ajudamos a melhorar a vida da Comunidade Global, precisamos sempre nos comportar com justiça, honestidade e integridade. 

Conflitos de interesses 

  1. O Código de conduta oferece diretrizes básicas de ética na prática de negócios, gestão de conflitos de interesses e conduta aparentes ou reais que devemos adotar e defender como funcionários ou como pessoas que exercem funções e tarefas em nome da empresa através de relacionamentos com terceiros.

Conflitos de interesses podem ocorrer quando: 

  • Negócios pessoais, interesses financeiros ou atividades concorrem ou interferem em suas obrigações para com a empresa, seus acionistas ou seus clientes. Um conflito pode surgir quando um funcionário toma medidas ou tem interesses que podem dificultar a realização do trabalho de sua empresa de maneira objetiva e eficaz. 

  • Os interesses de dois ou mais clientes da empresa estão em conflito, gerando um possível risco de prejuízo substancial aos interesses de um ou ambos os clientes. 

  • Os interesses da empresa entram em conflito com os interesses dos seus clientes. 

  • As atividades de um funcionário fora do trabalho entram em conflito com os valores principais da empresa ou com este Código de Conduta. 

Conflitos de interesses também podem surgir quando você ou membros da sua família recebem benefícios pessoais, produtos ou serviços impróprios ou tratamento preferencial em decorrência do cargo que você ou seu familiar ocupa na empresa. Para as finalidades deste Código, o termo “membros da família” inclui um cônjuge ou parceiro, filho (incluindo adotivo), pai, avô(ó), neto(a), primo(a), tio(a), irmão(ã), sogro(a) ou cunhado(a) do funcionário ou cônjuge ou parceiro do funcionário, relações de padrasto/madrasta e enteado/enteada do acima mencionado ou indivíduos que residem na casa do funcionário. 

  1. Tais situações podem interferir em seu julgamento ou capacidade de cumprir de modo apropriado suas responsabilidades em nome da Mentto, seus clientes ou seus acionistas.

 Todos são responsáveis por identificar, gerenciar e comunicar (ao seu gerente ou ao diretor de conformidade e risco operacional) conflitos de interesse reais ou aparentes de acordo com requisitos regulatórios aplicáveis e as políticas da Mentto, incluindo este Código.

Presentes e Entretenimento

Um conflito de interesse pode surgir ao dar ou receber presentes ou convites de entretenimento de clientes, clientes potenciais ou terceiros. Essas atividades devem ser legítimas e não devem ser frequentes nem exageradas. Ninguém deve dar ou aceitar entretenimento de clientes ou de terceiros atuais ou potenciais; a menos que seja para um fim de negócios válido, proporcione uma oportunidade para uma conversa de negócios significativa e esteja, de outra forma, em conformidade com as políticas de nossa empresa e políticas locais, incluindo a Política Antissuborno/Anticorrupção. 

  1. Antes de entreter ou dar qualquer item de valor para um funcionário público, é preciso confirmar os requerimentos aplicáveis ao caso de acordo com as políticas e procedimentos relacionados, que podem incluir a obtenção de aprovação prévia de seu gestor e de seu diretor de conformidade e risco operacional. 

Ninguém deve oferecer ou receber presentes em dinheiro ou equivalente a dinheiro em espécie de/para clientes ou fornecedores atuais ou potenciais ou terceiros. 

Essas restrições não se destinam a controlar presentes ou entretenimento com base em relações familiares, quando as situações deixem claro que o fator motivador é o relacionamento e não os negócios da Mentto. Com base na legislação e regulamentos do setor e, particularmente, para o caso dos funcionários em determinadas áreas de negócios, seus atos em relação a presentes e entretenimento podem ser restritos a limites específicos de valor em dólar (ou equivalentes na moeda local) e/ou estar sujeitos a certos limiares de pré-aprovação. Requisitos de rastreamento e reporte específicos também podem se aplicar. Em qualquer caso, é preciso confirmar a compatibilidade das obrigações funcionais com o superior hierárquico direto.

Atividades Comerciais Externas 

  1. Um conflito de interesses ou outros riscos podem surgir por meio de atividades, emprego ou outros relacionamentos conduzidos fora da função desempanhada no relacionamento com a Mentto. Ninguém deve agir em nome da empresa ou parecer representá-la em nenhuma transação de negócios fora de suas funções e responsabilidades. 

Todos devem informar  seu superior hierárquico direto e obter todas as aprovações necessárias antes de: 

  • Procurar um emprego adicional fora da Mentto; 

  • Envolver-se em um empreendimento comercial independente;

  • Juntar-se ao conselho de uma entidade com ou sem fins lucrativos; 

  • Executar serviços para outra organização comercial; 

  • Concorrer ou aceitar indicação para qualquer cargo político; 

  • Procurar obter ou utilizar ativamente licenças profissionais da Mentto.

  1. Ninguém deve buscar tais atividades e relacionamentos externos utilizando os recursos da Mentto (incluindo, entre outros, espaço físico, materiais, meios de comunicação ou tempo) ou permitir que alguma atividade comercial, civil ou beneficente externa interfira no seu desempenho profissional. 

Atividades Fora do Ambiente de Trabalho 

Espera-se que os funcionários ajam de maneira consistente com altos padrões de conduta profissional que mereçam confiança e segurança do público. Todos devem estar cientes de que suas ações fora do trabalho têm potencial para afetar a marca/reputação, as relações com o cliente, relações com colegas de trabalho ou sua função na Mentto.

  1. Se as ações fora do trabalho estiverem associadas a Mentto, mesmo se a associação não for intencional, um conflito de interesses ou violação de conduta real ou potencial pode surgir, principalmente se as ações forem conflitantes com os nossos valores principais ou com este Código de Conduta. Algumas situações durante as quais isso pode ocorrer são, entre outras: 

  • Comunicações públicas (incluindo mídias sociais como Snapchat, Facebook, WhatsApp etc.); 

  • Participação em funções patrocinadas pelo banco ou externas, por exemplo, eventos comunitários de voluntariado, conferências e atividades de formação de equipes; 

  • Comunicação entre funcionários em dispositivos móveis pessoais, incluindo mensagens de texto.

 Ações fora do trabalho que criam um conflito de interesses real ou potencial, excluindo discursos protegidos envolvendo termos e condições de emprego, podem levar a sanção disciplinar e inclusive rescisão contratual.

Terceiros 

  1. Um conflito de interesses pode surgir através de relacionamentos com terceiros ou outros prestadores de serviços. Aquele que estiver autorizado a aprovar ou assinar pedidos, contratos, compromissos ou contratações de terceiros de bens ou serviços, deverá fazê-lo com base em padrões comerciais objetivos para evitar qualquer favoritismo real ou aparente. As interações entre funcionários e terceiros, que também podem ser clientes da Mentto, devem ser conduzidas de acordo com todas as políticas e princípios aplicáveis.

Antissuborno e anticorrupção 

Todos devem cumprir a Lei de Práticas de Corrupção Estrangeiras (Foreign Corrupt Practices Act) dos Estados Unidos, a Lei antissuborno do Reino Unido (U.K. Bribery Act), assim como todas as outras leis antissuborno e anticorrupção aplicáveis onde forem realizados negócios em nome da Mentto. 

  1. Ninguém pode dar, prometer ou oferecer dinheiro ou qualquer coisa de valor, ou autorizar terceiros que estejam trabalhando em nome da Mentto a dar, prometer ou oferecer qualquer coisa de valor, incluindo, entre outros, moeda, ofertas de emprego, presentes e entretenimento extravagantes para qualquer cliente, funcionário público ou qualquer outra pessoa com o propósito de influenciar indevidamente uma decisão, garantir uma vantagem, evitar uma desvantagem ou obter ou manter negócios. Se você se envolver em tal conduta, estará expondo a si próprio como também a empresa a responsabilidade regulatória, civil e/ou criminal e danos significativos à reputação, prejudicando a confiança de nossos clientes, acionistas e comunidades.

Caso persista qualquer dúvida ou preocupação em relação ao Código de Conduta, consulte seu superior hierárquico direto.

Cumprimento das Leis e Regulamentos 

  1. O crescimento responsável e sustentável é apoiado por nossos compromissos com o comportamento ético, agindo com integridade e cumprindo as leis, regras, regulamentos e políticas que reforçam esse comportamento. 

Ninguém deve tomar qualquer medida, seja pessoal ou em nome da Mentto, que possa violar qualquer lei, regra, regulamento ou política ou procedimento interno da empresa.

Embora seja impossível listar todas as leis, regras, regulamentos, políticas e procedimentos aplicáveis, esta seção apresenta tópicos adicionais relacionados às leis, regras e regulamentos dos quais todos devem estar cientes. 

Combate à lavagem de dinheiro e sanções econômicas 

  1. Lavagem de dinheiro significa pegar dinheiro “sujo” derivado de atividades ilegais e fazer com que pareça “limpo”, como se fosse provindo de recursos legítimos. Sanções econômicas são ferramentas de política externa que impõem rígidos limites para uma gama de atividades, incluindo o fornecimento de serviços financeiros ou condução de transações.

Estas são impostas por governos ou órgãos internacionais para tentar isolar ou impedir uma pessoa, entidade ou jurisdição de participar de uma atividade ou finalidade específica.

Todos nós temos um papel a desempenhar ao ajudar a impedir que criminosos e alvos de sanções usem produtos e serviços da Mentto. 

Isso inclui a obrigação de conhecer nossos clientes, encaminhar atividades suspeitas e transações com países, pessoas ou negócios sancionados. 

Livros e Registros 

  1. Registros e livros contábeis precisos refletem a nossa reputação, nossa integridade e nossa credibilidade, e cada um deles defende os interesses de nossos acionistas. 

A contabilidade da Mentto deve manter livros e registros precisos, incluindo, entre outros, qualquer sistema de registro de transações de clientes, de acordo com as necessidades do negócio e os requisitos legais. 

Para assegurar a integridade de suas demonstrações financeiras consolidadas, a Mentto conta com controles e procedimentos contábeis e operacionais internos. 

Funcionários e fornecedores responsáveis pela preparação das demonstrações financeiras da empresa, ou que fornecem informações como parte desse processo devem manter e seguir esses controles para que todas as transações subjacentes, tanto dentro da Mentto quanto com terceiros, sejam documentadas, registradas e relatadas apropriadamente. 

Além disso, todos temos a responsabilidade de promover a divulgação total, justa, precisa, oportuna e compreensível de informações em relatórios e documentos registrados ou entregues pela Mentto a órgãos reguladores ou outras comunicações públicas. 

Transparência nas Comunicações 

Comunicações eletrônicas e mídia social 

  1. A Mentto reconhece que, quando usadas adequadamente, as comunicações eletrônicas e mídia social podem causar um impacto positivo na experiência de nossos clientes. Melhoras nas comunicações eletrônicas ajudam os funcionários a economizarem o tempo e a melhorarem a eficiência geral dos negócios. As comunicações eletrônicas são uma parte importante de como a faz negócios. Aderir a esta seção do Código desenvolve e preserva a confiança dos clientes parceiros e fornecedores, protege nossa marca, minimiza os riscos (por exemplo, de reputação, regulatórios e jurídicos) e maximiza o uso apropriado de comunicações eletrônicas e de mídia social dos funcionários para ajudar a conduzir os negócios de maneira adequada. 

As tecnologias de comunicação eletrônica (incluindo e-mail, texto, mensagens instantâneas, voz, vídeo, ferramentas de colaboração e web conferência) garantem um foco contínuo na proteção de conteúdo e informações. 

  1. Todos que defendem a marca da Mentto portanto são responsáveis por saber como e onde as informações são compartilhadas e utilizar dispositivos e aplicativos de comunicação seguros, gerenciados e aprovados pela empresa para compartilhar informações da empresa, incluindo informações que podem ser materiais, não públicas, confidenciais, privadas etc. Todas as comunicações eletrônicas enviadas por meio dos sistemas da empresa e/ou para ou de dispositivos concedidos pela empresa ou dispositivos permitidos pela empresa quando tais dispositivos estiverem conectados à rede, ferramentas e aplicativos da empresa, incluindo comunicações por meio de mídia social, são, na medida máxima permitida pela lei, sujeitos ao monitoramento e retenção pelo ou em nome da Mentto.

Para questões sobre leis e restrições locais, será preciso entrar em contato com o departamento jurídico. 

Aqueles que diretamente representam a Mentto, têm permissão para uso pessoal limitado de dispositivos emitidos pela empresa, dispositivos gerenciados pela empresa, aplicativos gerenciados da empresa, intranet, internet e e-mail para comunicações pessoais. 

A Mentto pode monitorar e inspecionar todo o uso que os colaboradores fazem desses recursos, incluindo assegurar que a produtividade não seja afetada negativamente, manter a integridade dos sistemas (como o monitoramento da introdução de malware ou transmissões de dados inadequadas) e evitar atividades que podem dar origem a responsabilidade da empresa ou riscos (como reclamações de assédio ou conduta ilegal). 

  1. No entanto, os funcionários não estão autorizados a utilizar dispositivos pessoais para atividades comerciais da empresa, pois a Mentto não pode monitorar, proteger ou reter dados de comunicações comerciais ou informações provenientes de dispositivos pessoais, incluindo, entre outros, aplicativos, produtos, serviços, sites externos e recursos de mensagens, e-mail, números de telefone, chat, mensagens instantâneas, mensagens de texto SMS, iMessage, câmera, vídeo, voz e voz para texto. 

As comunicações de voz em um dispositivo pessoal são permitidas desde que o funcionário não esteja sujeito a nenhum requisito ou obrigação de registro de voz, conforme aplicável. Os funcionários sujeitos a qualquer requisito de registro de voz devem estar em um dispositivo gerenciado da empresa e devem consultar seus requisitos específicos de linha de negócios. O comportamento do funcionário e/ou usuário autorizado em todas as comunicações eletrônicas e mídia social (uso interno e externo) deve aderir aos padrões deste Código. 

Proteção de Informações 

Informações de supervisão recebidas de autoridades regulatórias 

  1. Informações de supervisão recebidas de autoridades regulatórias devem ser tratadas como confidenciais. Informações recebidas de autoridades reguladoras devem ser mantidas em segurança e não disseminadas fora da Mentto sem a devida autorização. Essas informações só devem ser compartilhadas dentro da empresa com outros funcionários que tenham “necessidade de saber” sobre a informação. O departamento jurídico deverá ser consultado se persistirem duvidas sobre essas restrições.  

Informações sobre funcionários 

O acesso de informações sobre outros funcionários ou o uso de tais informações, devem ser regidos pela confidencialidade e a segurança de tais informações. Como parte do compromisso da empresa em proteger as informações de internos, a Mentto tem processos e controles em vigor para regulamentar o uso, transmissão, compartilhamento, armazenamento, divulgação, transferência, segurança, precisão e acesso às informações dos funcionários. 

Informações de Terceiros 

  1. Todos devem  manter confidencial e segura qualquer informação sobre a compra de produtos ou serviços da empresa ou outras informações recebidas pela Mentto. Compartilhar essas informações pode resultar em danos de concorrência a terceiros, fornecer uma vantagem indevida ao concorrente do terceiro e violar acordos que a Mentto tenha com terceiros. 

Propriedade Intelectual De Terceiros 

Respeitamos os direitos de propriedade intelectual de terceiros. Os funcionários não devem obter ou usar a propriedade intelectual de terceiros em violação das obrigações de confidencialidade ou lei. O uso, a venda ou outra distribuição de propriedade intelectual em violação dos acordos de licença ou leis de propriedade intelectual é proibido e acarretará sanções civis e penais aos responsáveis. 

Da Dignidade da Pessoa Humana

Diversidade e inclusão 

  1. Na Mentto, nossa diversidade nos fortalece mais e é essencial para a nossa capacidade de relacionamento, atingir nosso objetivo e impulsionar o crescimento de forma responsável. Reconhecemos o potencial de cada um incentivando ativamente um ambiente de trabalho diversificado e inclusivo em termos de pensamento, estilo, orientação sexual, gênero, identidade de gênero, raça, etnia, cultura, religião e experiência. 

Nossa diversidade oferece também novas ideias e perspectivas e, quando reunidos com inclusão, somados em um ambiente inovador onde todos podem ser eles mesmos no trabalho, construir carreiras e contribuir para a nossa empresa. 

Discriminação e assédio 

Na Mentto, estamos empenhados em manter um local de trabalho livre de discriminação e assédio com base em raça, cor, religião, crença, sexo (incluindo gravidez, parto e condição médica correlata), informação genética, gênero, identidade de gênero, expressão de gênero, orientação sexual, nacionalidade, cidadania, idade, ascendência, estado civil, condição médica, deficiência física ou mental, status de militar ou veterano de guerra e qualquer outro fator proibido pelas leis aplicáveis (“Comportamento proibido”). 

  1. A Mentto considera a discriminação e o assédio inaceitáveis e contrários aos valores essenciais da empresa, pois abala a meta de proporcionar um ambiente inclusivo. 

A Mentto não tolera discriminação ou assédio ilegal de qualquer tipo. O assédio ou discriminação pode assumir muitas formas, incluindo, entre outros, conduta verbal, física, visual, sexual e abusiva (intimidação). A intimidação é definida como um comportamento ofensivo, intimidador, malicioso ou insultuoso, um abuso ou desvio de poder por meios destinados a minar, humilhar, denegrir ou ferir o destinatário. Incidentes relatados de comportamento proibido e/ou retaliação serão investigados. As investigações são conduzidas de maneira discreta, conforme for compatível com uma investigação completa da reclamação. Se a empresa descobrir violações desta Política ou de outra conduta imprópria de natureza sexual, discriminatória ou de retaliação ocorreram, que pode ser aplicada sanção disciplinar, que pode incluir a rescisão imediata do contrato de trabalho. A política da Mentto proíbe especificamente o assédio sexual e todos os outros comportamentos inapropriados sexualmente, conforme definido pela Política e várias outras leis e regulamentos aplicáveis.

O assédio sexual acontece quando qualquer uma das seguintes situações relacionadas ao comportamento inapropriado sexualmente ocorre: 

  • A submissão à conduta inadequada listada acima, seja explicitamente ou implicitamente, é feita como um termo ou condição de um emprego de um indivíduo. 

  • A submissão ou rejeição à conduta inadequada listada acima por um indivíduo é usada como base para decisões de trabalho que afetam tal indivíduo. 

  • Tal conduta tem o objetivo ou efeito de interferir de forma não razoável no desempenho do trabalho de uma pessoa ou criar um ambiente de trabalho intimidador e hostil. 

  1. Os mesmos padrões de comportamentos aceitáveis no ambiente de trabalho também se aplicam a todas as atividades de negócios patrocinadas pela empresa, que acontecem fora do ambiente de trabalho. Atividades de negócios fora do ambiente de trabalho, incluindo entretenimento, não devem ser conduzidas em estabelecimentos onde entretenimentos com sexo explícito ou outros inadequados são oferecidos. Os funcionários devem ser cautelosos para não se envolverem em qualquer atividade relacionada ao trabalho (dentro ou fora do ambiente de trabalho) que viole esta Política de Prevenção contra Assédio e Discriminação.

Os exemplos de assédio sexual e comportamento proibido acima listados, não visam ser uma lista compreensiva de comportamentos proibidos e nem sempre constituem assédio ou discriminação ilegal. No entanto, a empresa proíbe condutas que violem a lei, assim como condutas que, apesar de não serem ilegais, continuam sendo determinadas pela empresa como inapropriadas no ambiente de trabalho. Isso inclui eventos patrocinados pela empresa ou quando os funcionários estão envolvidos em negócios em nome da empresa ou em outras atividades externas relacionadas ao emprego ou ao trabalho (por exemplo, atividades sociais de equipe), seja durante ou após o horário comercial normal. 

Data de Vigência: 14/09/2021.

 

TIAGO JOSÉ GOULART

 

Política de Compilance

Esta Política tem o objetivo de disseminar a prática de Compliance por todos os níveis de hierarquia da Companhia, demonstrando a importância de agir em conformidade com as regras do Código de Conduta e Integridade, Políticas Corporativas, normativos internos e legislação aplicável ao próprio negócio. 

A Política visa orientar a função de Compliance com a definição de diretrizes, papéis e responsabilidades, bem como abrange todas as Unidades da Mentto e seus colaboradores de todos os níveis hierárquicos. O cumprimento desta Política fortalece a ética, governança e eficiência na Companhia, além de preservar sua reputação e perenidade.

 

Definição

Compliance: a expressão Compliance deriva do verbo inglês “to comply”, que significa dever de cumprir, de estar em conformidade e fazer cumprir as regras internas e externas à Mentto. Na hipótese de não conformidade a empresa fica sujeita a sanções, perda financeira, danos à reputação e a imagem.

Programa de Integridade Mentto  

O Programa de Integridade tem o objetivo de garantir que a condução dos negócios da  Mentto ocorra conforme os mais elevados padrões de ética e transparência em todas suas atividades. Os pilares que sustentam o Programa de Integridade são:

  • Conhecimento e gerenciamento dos riscos de Compliance;

  • Comprometimento com a Cultura de Integridade

  • Gestão efetiva de Compliance;

  • Regras claras: Código de Conduta e Integridade e Políticas Corporativas;

  • Sugerir controles internos e monitoramentos;

  • Comunicação e Treinamento;

  • É responsabilidade de todos os empregados da Mentto a execução e cumprimento do

  • Programa de Integridade.

 

Estrutura da Área de Compliance

A estrutura da área de Compliance é ligada a Diretoria Executiva com acesso irrestrito à Alta Administração e independência na condução de ações com todas as áreas da Mentto, de modo a garantir a imparcialidade em todas as suas operações e controles. 

A área de Compliance tem sua principal função realizar a implementação e desenvolvimento do Programa de Integridade, além de exercer atuação em outras funções, a saber: preventiva, normativa, educativa, monitoramento e consultiva. 

A função preventiva tem o objetivo de identificar, avaliar e responder os riscos de integridade e combater situações de indícios de condutas irregulares e de corrupção que possam causar prejuízos materiais e reputacionais à Companhia. A avaliação de integridade a fornecedores, terceiros e parceiros também faz parte da função preventiva, sendo responsável por prevenir os riscos de corrupção e reputação no relacionamento com o público externo. 

A função normativa busca orientar na criação e revisão de Políticas Corporativas, assessorar na criação e/ou melhorias de processos e normativos que assegurem a observância das diretrizes de ética e integridade na atividade das áreas. 

A função educativa visa promover a comunicação e capacitar por meio de treinamentos periódicos sobre o Programa de Integridade, Políticas de Compliance e o Código de Conduta e Integridade da Mentto, todas as partes interessadas ao negócio. 

A função de monitoramento objetiva garantir e aprimorar a estrutura de controles internos dos principais riscos de integridade para assegurar sua gestão eficaz. 

A função consultiva é responsável por esclarecer dúvidas e auxílio em relação à aplicação Código de Conduta e Integridade, políticas, processos e demais normativos relativos à ética e Compliance, além de sinalizar as áreas a necessidade de desenvolvimento ou revisão de processos/procedimentos. 

Para o desempenho de suas funções a área de Compliance pode solicitar a diversas áreas o compartilhamento de relatórios, documentos, emails e demais informações necessárias ao exercício de sua atividade. 

A área de Compliance, na execução e efetividade do Programa de Integridade, por fim, poderá ainda, avaliar parecer sobre riscos de integridade, desvios de conduta e descumprimentos dos normativos internos que venham a ser identificados, esclarecer as eventuais dúvidas de interpretação dos documentos internos, resolver conflitos de interesses.


Interfaces Da Área De Compliance Com As Demais Áreas

A área de Compliance possui interfaces com diversas áreas para promover a efetividade do Programa de Integridade e demais funções de Compliance. Todas as Áreas são responsáveis pela efetividade do Programa de Integridade e deverão comunicar qualquer suspeita de irregularidade no cumprimento das normas internas e dispositivos legais aplicáveis aos negócios que gerem riscos ao Compliance, tais como, erros, indícios de fraudes, corrupção, desvios éticos e conflitos de interesses.

 

Canal de Comunicação

A empresa possui um canal de consulta ética, com o objetivo de facilitar e esclarecer o atendimento de dúvidas de todos os empregados da Mentto relacionadas à aplicação do Código de Conduta e Integridade, das Políticas de Compliance no dia a dia e sobre dilemas éticos. O Canal de Comunicação está disponibilizado na página da Intranet.

 

Comunicação Treinamento de Dúvidas

A Mentto manterá um plano de comunicação e treinamento periódico e constante para seus empregados, com intuito de divulgar e conscientizar da importância do cumprimento das regras do Código de Conduta e Integridade, das Políticas Corporativas e dos valores da Companhia.

TIAGO JOSÉ GOULART                   





Política de Privacidade

 A empresa Mentto, está comprometida com a proteção de dados e informações pessoais que são compartilhados pelos usuários conforme definido abaixo.  Essa política define como os dados são protegidos nos processos de coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação, para além da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados). 

Recomendamos a leitura cuidadosa deste documento.

Definições

DADOS PESSOAIS: A lei brasileira define “dado pessoal” como todo aquele que se refira a uma pessoa física identificada ou identificável. Na prática, a expressão compreende todo dado que permite identificar uma pessoa, como por exemplo: nome, CPF, n° de identidade, fotografia etc. Além disso, os dados pessoais podem ser sensíveis ou não.

DADOS PESSOAIS SENSIVÉIS: Um dado pessoal sensível é aquele que se refere à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

USUÁRIO: Pessoa física que interaja com a Mentto em situações onde tenha a possibilidade de disponibilizar seus dados pessoais. Exemplos: pessoas que naveguem em seu website, portais, redes sociais, funcionários, terceiros ou prestadores de serviços, dentre outros.

TERMO DE CONSENTIMENTO: Documento que coleta manifestação favorável ao tratamento dos dados pessoais para finalidades determinadas.

SUB-CONTRATADA: Empresas de planos de saúde e outros seguros; empresa de cartão corporativo; licença de softwares contratados para o gerenciamento da gestão de processos da empresa; servidores ‘cloud’ devidamente certificados em relação à Lei Geral de proteção de dados. 

COLETA DE DADOS PESSOAIS: A coleta de dados pessoais é necessária para que a Mentto ofereça serviços e funcionalidades adequados às necessidades de seus colaboradores e usuários, fazendo com que a experiência pessoal seja sempre a mais cômoda e satisfatória possível além de atingirem os fins a que se propuserem.

Ao solicitar dados pessoais e dados pessoais sensíveis, a Mentto solicitará o consentimento do usuário por meio do Termo de Consentimento, seguindo e cumprindo as obrigações legais e regulatórias. 

A utilização de todo e qualquer website e/ou aplicativos desenvolvidos pela Mentto, não implica necessariamente a disponibilização de dados pessoais. No entanto, se o usuário pretender contactar a empresa para qualquer tipo de solicitação, seus dados serão solicitados, através de formulário eletrônico acompanhados dos consentimentos necessários à uma navegação segura. 

Quando o dado coletado for de menores de idade será requisitada a obtenção do consentimento inequívoco e informado de um dos pais e referidos dados serão protegidos e atendendo a necessidade de privacidade da criança.

Em atendimentos presenciais, tais como entrevistas, é necessário, igualmente, o fornecimento de dados pessoais, que serão coletados por um atendente responsável, que realizará o registro das informações igualmente solicitando o consentimento necessário.

Os dados pessoais solicitados devem ser informados pelo colaborador para que seja possível a formalização do vínculo e oferecimento de benefícios.

A coleta de dados pessoais em razão da prestação de serviços de tecnologia será autorizada e filtrada de acordo com a finalidade e adequação do contrato de prestação de serviços devendo ainda se orientar pelas limitações e diretrizes DO CONTRATANTE. 

Utilização de Dados Pessoais

A Mentto é responsável pelo tratamento dos dados pessoais dos seus COLABORADORES, USUÁRIOS e por seu encaminhamento às subcontratadas designadas e devidamente informadas aos titulares.

Os dados pessoais dos seus colaboradores, incluindo aqueles obtidos de maneira direta ou indireta, serão tratados para efeitos de manutenção do vínculo de trabalho, de modo compatível inclusive com os benefícios que forem oferecidos e aderidos.

Os dados pessoais dos usuários que acessarem o site da empresa para os fins ali designados terão a opção de envio de informações, orientada pelos consentimentos necessários informando o nível de compartilhamento, armazenamento e ainda sobre a exclusão dos dados enviados.

Os dados pessoais que porventura a empresa acessar em razão da sua prestação de serviços serão regidos pelas exigências do fornecedor amparados pela forma da Lei de Proteção de Dados Pessoais e as medidas técnicas de segurança implementadas em sua infraestrutura.

Todos os dados serão utilizados considerando:

  • Finalidade. presume que os propósitos devem ser específicos e legítimos. 

  • Adequação. exige que a coleta seja compatível com a atividade fim do CONTROLADOR.

  • Necessidade. pressupõe que a coleta deve ser mínima para atingir a finalidade. Qualquer excesso pode ser interpretado como abuso, assim como qualquer intenção de mascarar o manipular informações indiretamente pode comprometer a legalidade dos atos dos Agentes de Tratamento.

  • Transparência. exige que os agentes de tratamento de dados ofereçam aos titulares informações sobre como os dados serão armazenados, garantindo a oportunidade de revisão e revogação do consentimento). 

  • Métodos de Segurança e Prevenção (Anonimização e Criptografia) devem ser informados e comprovados;

  • Prestação de Contas implica na disponibilização de relatório para comprovar o cumprimento dos critérios de tratamento de dados.

Compartilhamento de Dados Pessoais

Poderá haver transmissão e comunicação de dados pessoais entre os departamentos financeiro e pessoal da Mentto, com acesso de colaboradores designados, sempre que necessário, para VIABILIZAR o melhor relacionamento junto ao colaborador, pagamentos de salários, e gestão de benefícios ou ainda para o cumprimento de obrigações fiscais e previdenciárias junto à Receita Federal do Brasil e demais órgão de regulamentação. 

O departamento comercial terá acesso restrito aos dados pessoais de qualquer colaborador devendo sempre recorrer à ciência do mesmo para utilização de seus dados em propostas e termos de responsabilidade técnica. 

A Mentto poderá, ainda, transmitir os seus dados a entidades contratadas que de alguma forma precisem atuar colaborando na entrega do serviço ou formalização dos vínculos.

A empresa poderá ainda, transmitir dados pessoais dos Usuários a terceiros quando tais comunicações de dados se tornem necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações legais/ordens judiciais, (iii) por determinação da Autoridade Nacional de Proteção de Dados ou de outra autoridade de controle competente, ou (iv) para responder a solicitações de autoridades públicas ou governamentais.

Transferência Internacional de Dados

A Mentto não aluga, vende e tampouco libera dados a terceiros com a finalidade de permitir qualquer comercialização de seus serviços, mas informa que seus dados poderão ser transferidos e mantidos em ambiente fora do seu município, estado ou país onde as leis de proteção de dados podem ser diferentes das vigentes no Brasil, mas asseguram grau de proteção de dados pessoais adequado ao previsto na Lei Geral de Proteção de Dados.

Conservação de Dados Pessoais 

Os dados são conservados pelo período estritamente necessário para cada uma das finalidades descritas acima e/ou de acordo com prazos legais vigentes. Em caso de litígio pendente, os dados podem ser conservados até trânsito em julgado da decisão.

Adicionalmente, a Mentto se compromete a manter em funcionamento todos os meios técnicos ao seu alcance para evitar a perda, má utilização, alteração, acesso não autorizado e apropriação indevida dos dados pessoais de seus colaboradores, usuários e clientes. Em qualquer caso, note-se que, circulando os dados em rede internet aberta, não é possível eliminar totalmente o risco de acesso e utilização não autorizados, pelo que o usuário deverá programar medidas de segurança adequadas para a navegação no website.

Direitos dos Titulares de Dados

Nos termos da legislação aplicável, o titular do dado poderá a qualquer tempo solicitar o acesso aos dados que lhe digam respeito, bem como a sua retificação, eliminação ou a limitação de uso do dado pessoal, a portabilidade dos seus dados, ou ainda opor-se ao seu tratamento, exceto nos casos previstos em lei. Poderá exercer estes direitos mediante pedido escrito.

Páginas de Terceiros

Através de seu website, a Mentto disponibiliza conexão para websites de terceiros, os quais estão sujeitos a Políticas de Privacidade independentes. Esta Política de Privacidade de dados não se aplica a tais websites e não nos responsabilizamos pela forma como os dados dos usuários são tratados por parte dos referidos terceiros.

Conteúdo do Site e sua Atualização

Todo o conteúdo existente no site é de propriedade da empresa e sua reprodução – total ou parcial – para uso comercial ou editorial ou republicação na internet deve ser feita de forma autorizada e obrigatoriamente citando a fonte e incluindo o link do site para o conteúdo original (lei 9.610/98). Fica permitida a utilização do conteúdo para trabalhos escolares, desde que não sejam republicados em qualquer mídia. 

Reclamações e Dúvidas

Caso tenha qualquer dúvida relacionada com o tratamento dos seus dados pessoais e com os direitos que lhe são conferidos pela legislação aplicável e, em especial, referidos nessa Política, poderá acionar o contato desejado através do e-mail: lgpd@mentto.com.br .

O titular de dados tem ainda o direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados conforme previsto em lei.

Política de Cookies

Coletamos cookies do navegador – pequenos pedaços de dados que são enviados para o seu navegador de um servidor da Web e colocados no disco rígido do navegador para fins de manutenção de registros e, às vezes, para rastrear informações analíticas. Os usuários 

podem escolher configurar seu navegador para recusar cookies ou para alertá-lo quando os cookies estiverem sendo enviados. Se o fizerem, observe que algumas partes do Site podem não funcionar adequadamente e alguns recursos podem não funcionar conforme o esperado.

Uso das Informações Coletadas 

A Mentto pode coletar e usar informações pessoais dos usuários para os seguintes fins:

  • Para fornecer serviços: Quaisquer informações de identificação pessoal enviadas pelos usuários serão usadas para responder às suas perguntas e / ou outras solicitações ou perguntas. 

  • Para melhorar a experiência do usuário: Podemos usar as informações agregadas para entender como nossos Usuários, como grupo, usam os serviços e recursos fornecidos em nosso Site.

  • Para melhorar o atendimento ao cliente: Suas informações nos ajudam a responder com mais eficácia às suas solicitações de atendimento ao cliente e necessidades de suporte.

  • Para enviar e-mails periódicos: Em alguns casos, você pode receber e-mails de marketing que incluem atualizações da empresa, informações de produtos ou serviços relacionados, etc. Se a qualquer momento o usuário quiser cancelar o recebimento de e-mails futuros, incluímos uma opção de cancelamento na parte inferior de cada e-mail.

Caso o titular de dados deseje acessar, corrigir, excluir, migrar suas informações pessoais que armazenamos ou restringir o processamento de suas informações pessoais, envie sua solicitação para e-mail: lgpd@mentto.com.br .

Alterações a Política de Privacidade 

Poderemos alterar esta Política de Privacidade de dados a qualquer momento. Estas alterações serão devidamente disponibilizadas e, caso represente uma alteração substancial relativamente à forma como os seus dados serão tratados, A Mentto manterá contato conforme dados disponibilizados.

Data de Vigência: 14/09/2021.

TIAGO JOSÉ GOULART 

Política de Marketing

Sobre essa Política

O objetivo desta política é alinhar ações de marketing da Mentto conjuntamente de suas políticas e códigos. A nossas ações de marketing visam proporcionar uma relação transparente entre a nossa empresa e o titular de dados.

Definições Essenciais

  • Ações de marketing: Ações ou projetos para a venda e aceitação de produtos ou serviços da Mentto ou de seus parceiros comerciais.
  •  Partes interessadas: São eles os públicos interessados na empresa, ou aqueles que assumam algum risco, em face da mesma.
  • Merchandising: é um conjunto de atividades e técnicas mercadológicas que dizem respeito à colocação de um produto no mercado em condições
    competitivas, adequadas e atraentes para o consumidor.

Objetivo

Esta política visa estabelecer as formas e modelos de marketing que a Mentto utiliza. A presente política visa nortear as fases do processo de marketing.  A Mentto tem vinculado suas ações ao compromisso com a sociedade; sustentabilidade; diversidade; cultura e integridade.
A Mentto segue preceitos e valores que traçam todas as suas relações com as partes interessadas, não seria diferente em todas as ações de marketing.

Conteúdo das Propagandas

O conteúdo das propagandas comerciais da Mentto é sempre claro, para que o cliente possa entender tudo aquilo que está sendo proporcionado de forma
transparente, além de estar sempre de acordo com os compromissos éticos da empresa. Em nenhum momento trazemos propagandas falsas ou enganosas.

Conteúdo do merchandising

A Mentto disponibiliza informações sobre seus produtos e serviços de forma clara e o mais completa possível, independente do meio em que foi transmitido.

Conteúdo do marketing direto

Importante ponto a frisar é que a Mentto, em todo seu marketing direto, usa apenas a lista de dados de destinatários autorizados. Não enviamos e-mail marketing sem opção de opt-out para o cliente da listagem de marketing, ademais realizamos telefonemas apenas em horários permitidos por lei, respeitando assim, a privacidade do cliente.

Disposições gerais

A Mentto promove um ambiente de trabalho sadio, organizado e harmonioso, visando a valorização dos ser humano, a saúde e a segurança. A diversidade também é fonte da nossa cultura e, por isso, é inaceitável qualquer manifestação de discriminação e preconceito de qualquer natureza, tampouco atitudes que envolvam violência física ou verbal, e qualquer tipo de assédio. Todas as atitudes em prol dos direitos humanos, condições de trabalho, proteção ao meio ambiente e combate à corrupção, discriminação e assédio estão reforçados no Código de Ética.

Além disso, a Mentto, sempre segue as leis vigentes e respeita a livre concorrência. Repudia a exploração de mão de obra infantil, o trabalho escravo ou
degradante e a corrupção em todas as suas formas, inclusive na sua relação com fornecedores e parceiros.

Proteção de Dados

A Mentto possui uma Política de Privacidade para tratar especificamente sobre os dados coletados e tratados. Acesse a nossa Política de Privacidade em
https://mentto.com.br .

Data da última atualização desta Política: 14/10/2021.

Política de Resposta a Incidentes

INTRODUÇÃO

Esta Política tem como objetivo preparar a Mentto para lidar com a gestão de um incidente de segurança garantindo que responda de forma mais rápida, organizada e eficiente ao evento, minimizando suas consequências para todos os envolvidos.

O nível da resposta dependerá do tipo de dados e da complexidade do tratamento aplicado. Antes de mais nada, é necessário definir o que é um incidente. De maneira geral, um incidente é uma situação inesperada, capaz de alterar a ordem normal das coisas e, no caso da proteção de dados, colocar em risco dados pessoais dos indivíduos que se relacionam com a Mentto.
O National Institute of Standards and Technology (NIT), define um incidente de segurança como uma violação ou ameaça de violação da política de segurança computacional, política de uso aceitável ou padrões de prática de segurança. De acordo com o artigo 46 da Lei Geral de Proteção de Dados (LGPD), 

Os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer outra forma de
tratamento inadequado ou ilícito.

Seguindo o disposto no artigo 48 da referida Lei, é obrigação do controlador comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Devendo esta comunicação ser feita em prazo razoável, conforme definição da autoridade nacional, tendo em seu conteúdo, no mínimo:

  •  A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos; A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
  • Os riscos relacionados ao incidente;
  •  Os motivos da demora, no caso de a comunicação não ter sido imediata;
  • As medidas que foram ou que estão sendo tomadas para reverter ou mitigar os efeitos do prejuízo.

Com base no exposto, a Política de Resposta a Incidentes da Mentto, seguirá as etapas ilustradas na figura abaixo e descritas na sequência:


Figura 1: Etapas da Resposta a Incidentes.

Figura 1_Etapas da Resposta a Incidentes

1. PLANEJAMENTO

Consiste em identificar, prever e descrever possíveis situações de violação de dados, bem como as respectivas ações que deverão ser tomadas, os prazos e as formas de registro, garantindo que em situações reais se tenha um plano de ação previamente traçado. O planejamento deverá conter, no mínimo:

          a. a previsão de possíveis situações de sinistros bem como as formas de monitoramento e a ação que deverá ser tomada em caso de sua ocorrência;

          b. a definição da área que deverá ser informada em situação de ocorrência do sinistro e como reportar;

          c. o detalhamento das ações necessárias deve levar em conta a criticidade do evento. 

Exemplo de detalhamento de incidente:

Detalhamento do incidente 2

2. IDENTIFICAÇÃO

Deve-se definir os critérios para detectar, identificar e registrar as situações de incidentes e descrever os recursos utilizados para a identificação de alertas de segurança e acionamento das equipes responsáveis para que sejam tomadas as devidas providências. Devem ser avaliadas todas as possíveis fontes capazes de representar uma ameaça à proteção de dados. Abaixo, algumas situações que devem ser consideradas suspeitas:

  • Recebimento de e-mails com caracteres e/ou arquivos anexos suspeitos;
  • Comportamento inadequado de dispositivos;
  • Problema no acesso a determinados arquivos ou serviços;
  • Roubo de dispositivos de armazenamento ou computadores com informações;
  • Alerta de software antivírus;
  • Consumo excessivo e repentino de memória em servidores ou computadores; 
  • Tráfego de rede incomum;
  • Conexões bloqueadas por firewall;

Análise dos logs de tentativas de acesso não autorizado aos servidores. Situações de não cumprimento dos procedimentos internos também podem oferecer riscos à segurança dos dados pessoais, deste modo, a observação da Cartilha de Boas Práticas é de extrema importância. Todos os colaboradores e parceiros da Instituição são responsáveis por reportar qualquer tipo de eventos e fragilidades, que possam causar danos à segurança da informação. A notificação deve ser registrada por e-mail ao Encarregado de Proteção de Dados.

2.1 CATEGORIAS DA VIOLAÇÃO DE SEGURANÇA

A violação de segurança será classificada dentre as categorias citadas a seguir:

      a. Material: quando o incidente envolve dados armazenados em dispositivos físicos. Exemplos: perda de portadores de dados, pastas de arquivos perdidas, smartphones perdidos, etc.

      b. Verbal: quando há vazamento de dados de forma verbal, seja por indiscrição (comentários acerca de dados pessoais que são percebidos por terceiros e utilizados em má-fé) ou de forma intencional, repassando indevidamente informações sigilosas.

      c. Ciberespaço: quando o incidente está relacionado à Tecnologia da Informação. Nessa categoria enquadram-se o hackeamento, mau gerenciamento de patches, codificação incorreta, medidas de segurança insuficientes, etc.

2.2 AVALIAÇÃO DA CRITICIDADE DE SEGURANÇA

Alguns fatores serão determinantes na definição da criticidade de um incidente:

       I. A categoria da criticidade: de maneira genérica, o incidente será classificado em uma das categorias abaixo:

       a. Risco Baixo: classificação utilizada quando o incidente de segurança de dados afetar apenas dados pessoais, não incluído o número do CPF;

       b. Risco Moderado: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF, e/ou pelo menos um dado sensível, não incluído raça, religião, nome social e dados de saúde;

       c. Risco Alto: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF e/ou mais que um dado sensível, incluindo raça, religião, nome social e dados de saúde.

       II. Dados legíveis/ilegíveis: dados protegidos por algum sistema de pseudonimização (criptografia, por exemplo).

       III. Volume de dados pessoais: expresso em quantidade de registros, arquivos, documentos e/ou em períodos de tempo (uma semana, um ano, etc.).

       IV. Facilidade de identificação de indivíduos: facilidade com que se pode deduzir a identidade das pessoas a partir dos dados envolvidos no incidente.

       V. Indivíduos com características especiais: se o incidente afeta pessoas com características ou necessidades especiais.

       VI. Número de indivíduos afetados: dentro de uma determinada escala, por exemplo, mais de 100 indivíduos.

3. CONTENÇÃO

Após um incidente ser identificado como uma violação de segurança, o mesmo deverá ser contido para evitar que outros sistemas sejam afetados ou que ocasionem danos maiores, deve ser previsto ações para a contenção de curto prazo, backup do sistema e contenção a longo prazo. Durante a contenção, deve haver o registro do incidente e das medidas de contenção que foram adotadas, evitando ao máximo a perda de evidências e as provas do ocorrido. É importante lembrar da necessidade de trabalho colaborativo de toda a Mentto.

  • Responsável pelo tratamento de dados da área afetada pelo incidente: a partir do momento que foi identificado um possível incidente de segurança de dados, a área responsável pela categoria de dados deve imediatamente informar o encarregado de dados para iniciar o processo de contenção.
  • Operador: os operadores de dados, assim como os colaboradores internos, têm a responsabilidade de informar a ocorrência de incidente de segurança ao encarregado de dados, imediatamente.
  • Encarregado da Proteção de Dados: após ser informado, o encarregado de proteção de dados deverá avaliar a existência do plano de ação para tal incidente e iniciá-lo, e caso identifique o fato concreto de vazamento de dados pessoais, preencher o documento de Comunicação de Incidente de Segurança, para notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.

 

4. ERRADICAÇÃO

Após a ameaça ter sido contida, é necessário proceder com a sua remoção e a restauração dos sistemas que foram afetados, de modo que voltem a operar em sua normalidade.

 

5. RECUPERAÇÃO

Os sistemas afetados são restabelecidos e voltam a operar em ambiente de produção. É necessário definir as ações que devem ser tomadas para que o sistema volte a sua normalidade. Deve ser realizada uma varredura para identificar as perdas ocorridas e como recuperar o que foi perdido.

 

6. LIÇÕES APRENDIDAS

É fundamental que os mesmos erros não voltem a acontecer. Assim, é necessário que os incidentes sejam documentados, especificando quais foram os procedimentos de respostas utilizadas para contorná-los, de forma a manter um histórico das ocorrências e das ações tomadas.

Powered by:

Group 3

contato@mentto.com.br