POLÍTICA DE PRIVACIDADE

A KFF Serviços Técnicos de Seguros, consolida-se como uma empresa especializada na regulação de sinistros, atuando com excelência na análise, processamento e gestão de demandas relacionadas a eventos cobertos por seguros. Reconhecendo a relevância estratégica da proteção de dados pessoais e sensíveis no ambiente corporativo, esta Política de Privacidade reflete nosso compromisso inegociável com a privacidade, segurança e transparência no tratamento de informações de segurados, terceiros, corretores e demais partes envolvidas em nossas operações.

Nosso compromisso está fundamentado na conformidade rigorosa com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e outras legislações correlatas e nacionais, aplicáveis à proteção de dados. Esta política visa não apenas garantir o cumprimento normativo, mas também fomentar práticas robustas de governança de dados, assegurando que as informações sejam tratadas de forma ética, lícita e alinhada às melhores práticas do mercado.

Neste documento, detalhamos os princípios que norteiam nossas operações no que diz respeito à coleta, processamento, armazenamento, compartilhamento e descarte de dados, enfatizando o compromisso da Keffe em mitigar riscos associados a acessos não autorizados, vazamentos e usos indevidos. Adotamos tecnologias avançadas, políticas internas rigorosas e treinamentos contínuos para proteger os dados sob nossa custódia, garantindo que sejam utilizados exclusivamente para os fins específicos e legítimos que embasam nosso trabalho.

OBJETIVO

Este termo regula a forma como a Keffe trata dados pessoais no contexto da regulação de sinistros, assegurando a confidencialidade, integridade e acessibilidade das informações. Visa informar os titulares sobre seus direitos e como exercê-los, reforçando nosso compromisso com a privacidade e a confiança depositada em nossos serviços.

DEFINIÇÕES

  • Dados Pessoais: Informações sobre pessoas físicas identificadas ou identificáveis, incluindo segurados, terceiros e corretores.
  • Dados Sensíveis: Informações relativas à saúde, condições médicas, histórico de sinistros, entre outros dados necessários à regulação.
  • Titular dos Dados: Pessoa física cujos dados pessoais são tratados no contexto da regulação de sinistros.
  • Tratamento: Operações realizadas com dados pessoais, como coleta, análise, armazenamento e descarte.
  • Controlador: Companhias seguradoras contratantes que decidem sobre o tratamento dos dados.
  • Operador: A KFF, que realiza o tratamento em nome das seguradoras.
  • Encarregado (DPO): Profissional responsável por garantir a conformidade e atender os titulares e a ANPD.

PRINCÍPIOS DO TRATAMENTO DE DADOS

  • Finalidade: Os dados são usados exclusivamente para fins relacionados à regulação de sinistros.
  • Adequação: O uso está alinhado aos objetivos informados aos titulares.
  • Necessidade: Apenas dados estritamente necessários ao processo de regulação são coletados.
  • Segurança: Implementação de medidas técnicas e organizacionais para prevenir acessos não autorizados e vazamentos.
  • Transparência: Garantia de comunicação clara sobre o tratamento dos dados.
  • Livre Acesso: Disponibilidade das informações aos titulares mediante solicitação.
  • Prevenção: Adoção de práticas para minimizar riscos de danos aos titulares.

COLETA DE DADOS

Dados pessoais podem ser coletados de:

  • Segurados: Durante o cadastro e envio de documentação necessária à regulação.
  • Corretores: Para validação de apólices e informações adicionais.
  • Terceiros: Envolvidos em acidentes ou eventos relacionados ao sinistro.
  • Fontes Públicas: Dados disponíveis publicamente ou obtidos por meio legítimo.
  • Outras Partes: Profissionais ou empresas que auxiliam no processo de regulação.

FINALIDADES DO TRATAMENTO

Os dados são tratados para:

  • Avaliação e regulação de sinistros;
  • Validação de informações com companhias seguradoras e corretores;
  • Atendimento às solicitações de segurados e terceiros;
  • Cumprimento de requisitos legais e contratuais;
  • Prevenção e detecção de fraudes;
  • Análises estatísticas para melhoria de processos e serviços.

COMPARTILHAMENTO DE DADOS

Os dados podem ser compartilhados com:

  • Companhias Seguradoras: Para análise e decisão sobre sinistros;
  • Corretores de Seguros: Para esclarecimento de informações relacionadas às apólices;
  • Terceirizados: Empresas que auxiliam na inspeção, avaliação ou reparo de bens sinistrados;
  • Autoridades Competentes: Em cumprimento de determinações legais;
  • Auditorias: Para verificar a conformidade com normas e boas práticas;
  • Consultorias: Contratadas para aprimorar nossos processos de regulação.

DIREITOS DOS TITULARES

Os titulares têm direito de:

  • Confirmar a existência de tratamento de seus dados;
  • Solicitar acesso, correção ou atualização de informações;
  • Requerer a exclusão de dados desnecessários ou tratados de forma irregular;
  • Ser informados sobre compartilhamento de seus dados com terceiros;
  • Revogar o consentimento para tratamentos específicos;
  • Solicitar portabilidade de dados a outra entidade, conforme a lei permite.

ARMAZENAMENTO E SEGURANÇA

Os dados pessoais são mantidos por períodos compatíveis com as finalidades de tratamento ou conforme obrigações legais. Medidas de segurança incluem:

  • Criptografia em trânsito e repouso para dados sensíveis;
  • Controle de Acessos baseado em níveis de permissão;
  • Monitoramento Contínuo de sistemas e redes;
  • Backup Diário e testes regulares de recuperação;
  • Treinamento Periódico para colaboradores em boas práticas de segurança.

REVISÕES DESTA POLÍTICA

Este documento pode ser atualizado para refletir mudanças legais ou operacionais. Recomendamos a consulta periódica de sua versão mais recente, disponível nos canais oficiais da KFF.

CONTATO PARA DÚVIDAS

Dúvidas ou solicitações podem ser direcionadas ao Encarregado de Proteção de Dados:

Telefone: Consulte nosso site oficial para informações atualizadas.

Última Atualização: 01 de dezembro de 2024.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI), DE 01 DE DEZEMBRO DE 2024

A KFF Serviços Técnicos de Seguros estabelece esta Política de Segurança da Informação (“PSI”) com o propósito de implementar um conjunto abrangente de diretrizes, controles e práticas destinados a assegurar a proteção das informações corporativas, dados pessoais e demais ativos de informação sob sua custódia. Reconhecendo a importância estratégica da segurança da informação, esta política fundamenta-se em princípios de confidencialidade, integridade e disponibilidade, essenciais para garantir a continuidade dos negócios, mitigar riscos e prevenir incidentes de segurança.

Em conformidade com as exigências estabelecidas pela Lei Geral de Proteção de Dados (LGPD) e alinhada às melhores práticas internacionais, como as normas ISO/IEC 27001 e ISO/IEC 27002, a organização visa implementar um Sistema de Gestão de Segurança da Informação (SGSI) robusto e eficaz. Essa abordagem permite a identificação, avaliação e tratamento contínuo de riscos associados à proteção de dados sensíveis, tanto em operações internas quanto no relacionamento com clientes, parceiros e fornecedores.

A organização reafirma seu compromisso com a segurança da informação, reconhecendo-a como um pilar fundamental para a confiança de seus clientes, parceiros e demais stakeholders, bem como para a excelência na prestação de serviços de regulação de sinistros e gestão de dados sensíveis.

OBJETIVO

Esta política tem como finalidade primordial proteger as informações contra ameaças de qualquer natureza, sejam internas ou externas. Isso inclui prevenir acessos não autorizados, vazamentos de dados, modificações indevidas e interrupções nos serviços. Também visa assegurar a conformidade legal e regulatória, bem como a adoção de boas práticas que aumentem a resiliência organizacional frente a ameaças cibernéticas e riscos tecnológicos.

DOS PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

  • Confidencialidade: Proteção das informações contra acesso não autorizado, garantindo que apenas indivíduos ou sistemas devidamente autorizados tenham acesso.
  • Integridade: Salvaguarda da precisão e consistência das informações ao longo de seu ciclo de vida, prevenindo alterações indevidas.
  • Disponibilidade: Assegurar que as informações e sistemas estejam acessíveis sempre que necessários, promovendo continuidade operacional.
  • Transparência: Estabelecer comunicação clara com todas as partes interessadas sobre as práticas de segurança adotadas.

DIRETRIZES GERAIS

  • Controle de Acessos: Os sistemas serão protegidos por autenticação multifator, controle de permissões baseadas em funções e revisões regulares de acessos.
  • Gestão de Incidentes: Um plano de resposta a incidentes está implementado para lidar com violações de segurança, abrangendo detecção, contenção, análise e remediação.
  • Classificação da Informação: As informações serão classificadas como públicas, internas, restritas ou confidenciais, de acordo com sua criticidade.
  • Treinamento e Conscientização: Programas regulares de formação serão promovidos para todos os colaboradores, com foco em boas práticas de segurança e cumprimento da LGPD.
  • Proteção Física: As instalações serão equipadas com mecanismos de controle de acesso, vigilância por câmeras e medidas para prevenção de desastres.

BACKUP E RECUPERAÇÃO DE DADOS

A organização utiliza um sistema de backup robusto e abrangente que suporta a continuidade dos negócios e a recuperação de dados em caso de emergências. As diretrizes incluem:

  • Periodicidade e Automatação: Backups serão realizados de forma automatizada em intervalos diários e semanais para garantir a proteção de dados críticos e estruturais.
  • Local de Armazenamento: Múltiplos locais serão utilizados para armazenar os backups, incluindo servidores externos com redundância geográfica e plataformas em nuvem.
  • Segurança dos Backups: Criptografia AES-256 e autenticação em múltiplos níveis serão aplicadas para proteger os dados armazenados.
  • Testes Regulares de Recuperação: Simulações serão conduzidas trimestralmente para validar a integridade e funcionalidade dos backups.
  • Retenção de Dados: Períodos de retenção serão definidos com base em requisitos legais e necessidades operacionais, garantindo conformidade com a LGPD.

MONITORAMENTO E AUDITORIA

Auditorias internas e externas serão realizadas periodicamente para garantir a adequação das medidas de segurança adotadas. Ferramentas de monitoramento em tempo real serão empregadas para identificar atividades anômalas e ameaças potenciais. Relatórios de auditoria serão apresentados à gerência com recomendações para melhorias.

DAS PENALIDADES E CONSEQUÊNCIAS

Qualquer violação desta política, por colaboradores, fornecedores ou terceiros, resultará em consequências que podem incluir:

  • Advertências e Treinamentos Corretivos: Para violações de menor impacto.
  • Desligamento ou Rescisão Contratual: Em casos graves ou reincidências.
  • Ações Legais: Quando aplicável, conforme o impacto causado.

DA REVISÃO DA POLÍTICA

Esta política será revisada anualmente e sempre que surgirem alterações relevantes em regulamentos, tecnologias ou no contexto de riscos organizacionais. A revisão será conduzida por um comitê especializado e aprovada pela alta direção.

Data de Publicação: 01 de dezembro de 2024.

POLÍTICA DE INCIDENTE DE SEGURANÇA DA INFORMAÇÃO

OBJETIVO

A KFF Serviços Técnicos de Seguros, ciente da crescente complexidade do ambiente digital e do avanço contínuo das ameaças cibernéticas, estabelece a presente Política de Incidente de Segurança da Informação como um instrumento normativo e operacional essencial. Essa política tem como objetivo principal definir diretrizes claras e abrangentes para a identificação, análise, notificação, tratamento e mitigação de incidentes de segurança da informação, garantindo uma resposta ágil, eficaz e alinhada às melhores práticas do mercado.

Além disso, busca fortalecer a resiliência organizacional, minimizando os impactos operacionais, financeiros, reputacionais e legais decorrentes de incidentes, bem como prevenindo a reincidência por meio da adoção de medidas corretivas e preventivas robustas. A política também estabelece os fundamentos para a implementação de mecanismos de monitoramento contínuo e avaliações periódicas, assegurando a adaptação da organização a novas ameaças e vulnerabilidades emergentes.

Essa estrutura visa capacitar a organização a lidar proativamente com riscos associados ao uso de tecnologias, protegendo seus ativos de informação, garantindo a confidencialidade, integridade, disponibilidade e autenticidade dos dados, e promovendo uma cultura organizacional de segurança e conformidade. Assim, enfatiza-se a conscientização de colaboradores, fornecedores e parceiros, reforçando o compromisso com os padrões regulatórios aplicáveis e com a construção de um ambiente digital seguro e resiliente.

DEFINIÇÕES

  • Incidente de Segurança: Evento ou cadeia de eventos inesperados que possam comprometer a confidencialidade, integridade ou disponibilidade de dados e sistemas. Isso inclui ataques cibernéticos, vazamentos de dados, violações de acesso não autorizado e falhas operacionais significativas.
  • Equipe de Resposta a Incidentes (ERI): Grupo especializado e multidisciplinar encarregado de gerir a resposta a incidentes de segurança, composto por profissionais de TI, compliance e comunicação.
  • Usuários: Indivíduos que interagem, sob qualquer forma de vínculo, com os sistemas de informação da organização, incluindo colaboradores internos, terceirizados e parceiros comerciais.

ALCANCE

Esta política abrange todos os recursos computacionais, fluxos de informação e dados sob a gestão da organização. Incluem-se equipamentos de hardware, redes internas e externas, aplicações de software, sistemas de armazenamento em nuvem e quaisquer outros ativos digitais. A KFF Serviços Técnicos de Seguros, localizada no bairro da Vila Prudente, zona leste de São Paulo, é responsável pela implementação e monitoramento deste documento. A empresa, especializada na regulação de sinistros, desempenha papel crucial na proteção dos dados de segurados vinculados a companhias seguradoras contratantes, garantindo a conformidade com legislações vigentes como a LGPD.

DIRETRIZES GERAIS

4.1. Prevenção de Incidentes

  • Implementar controles de segurança alinhados às melhores práticas do setor, como firewalls, sistemas de detecção de intrusão e autenticação multifatorial.
  • Realizar capacitação contínua para todos os usuários, com treinamentos específicos sobre phishing, engenharia social e práticas seguras de manipulação de dados.
  • Monitorar ativamente os sistemas para identificação precoce de ameaças, utilizando soluções avançadas baseadas em inteligência artificial e aprendizado de máquina.

4.2. Identificação de Incidentes

  • Adotar tecnologias modernas de detecção de anomalias e vulnerabilidades, incluindo ferramentas de análise comportamental e rastreamento de logs.
  • Estabelecer canais fáceis e acessíveis para relato de incidentes, garantindo anonimato quando necessário.

4.3. Notificação de Incidentes

Prazo: A notificação deve ser realizada imediatamente após a identificação do incidente, respeitando o prazo máximo de 24 horas.

Canais de Notificação:

  • Formulário seguro no portal interno.

Conteúdo Necessário:

  • Data e hora do ocorrido.
  • Descrição detalhada do incidente.
  • Impactos potenciais identificados, incluindo riscos financeiros e reputacionais.
  • Ações preliminares realizadas.

4.4. Resposta e Contenção

  • Realizar análise imediata para determinar a gravidade e o impacto do incidente, utilizando matrizes de risco e planos de contingência.
  • Executar ações de contenção apropriadas para mitigar riscos, como isolar sistemas afetados, revogar acessos e aplicar patches de segurança urgentes.
  • Registrar detalhadamente as medidas tomadas, garantindo rastreabilidade e transparência durante todo o processo.

4.5. Recuperação e Lições Aprendidas

  • Garantir a restauração segura e validada dos sistemas afetados, priorizando a integridade dos dados recuperados.
  • Conduzir análise pós-incidente para identificação de causas-raiz, utilizando metodologias como 5 Porquês ou análise de árvore de falhas.
  • Atualizar controles e procedimentos conforme as lições aprendidas, promovendo melhorias contínuas na infraestrutura de segurança.

5. Papéis e Responsabilidades

Usuários:

  • Relatar prontamente quaisquer incidentes, independentemente da gravidade percebida.
  • Colaborar com a ERI durante investigações, fornecendo informações completas e precisas.

Equipe de Resposta a Incidentes (ERI):

  • Registrar, investigar e coordenar a resposta a incidentes de forma ágil e eficiente.
  • Propor melhorias nos processos de segurança com base em tendências de ameaças identificadas.

Gestores:

  • Garantir a adesão à política por suas equipes, promovendo conscientização e engajamento.
  • Promover uma cultura de segurança da informação por meio de comunicação interna frequente e liderança exemplar.

6. Auditoria e Conformidade

Auditorias regulares verificarão a eficácia das diretrizes aqui estabelecidas, incluindo revisões externas independentes para validação de conformidade.

Não conformidades serão tratadas com urgência e rigor, abrangendo a aplicação de planos corretivos e preventivos para evitar reincidências.

PENALIDADES

O descumprimento desta política sujeitará os envolvidos a sanções administrativas e/ou legais, conforme a gravidade da infração. Medidas disciplinares poderão incluir advertências formais, suspensão ou desligamento, além de possíveis ações judiciais, quando aplicável.

VIGÊNCIA E REVISÃO

Esta política entra em vigor a partir da data de sua publicação e será revisada anualmente ou sempre que houver mudanças regulatórias e operacionais. Revisões intermediárias podem ser realizadas em caso de incidentes graves ou alterações significativas na infraestrutura tecnológica.

Data de Publicação: 01 de dezembro de 2024.

REGISTRO DE ATIVIDADES DE PROCESSAMENTO DE DADOS PESSOAIS (RoPA)

INTRODUÇÃO

Este Registro de Atividades de Processamento de Dados Pessoais (“RoPA”) é desenvolvido e mantido pela KFF Serviços Técnicos de Seguros como instrumento fundamental para documentar, de forma detalhada, as operações que envolvem o tratamento de dados pessoais no âmbito das suas atividades empresariais. Este documento atende aos requisitos estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), funcionando como um pilar de governança para a gestão de dados, e demonstra o comprometimento contínuo da organização com a implementação de medidas técnicas e administrativas voltadas à proteção dos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos titulares. Além disso, o RoPA serve como ferramenta estratégica para garantir a transparência, a rastreabilidade e a mitigação de riscos associados ao tratamento de dados pessoais, promovendo a conformidade com as exigências regulatórias e os princípios éticos aplicáveis.

ESTRUTURA DO DOCUMENTO

As atividades de processamento de dados estão organizadas conforme os seguintes elementos:

  • Finalidade do processamento.
  • Categorias de titulares e dados pessoais.
  • Bases legais aplicáveis.
  • Compartilhamento de dados.
  • Local de armazenamento.
  • Período de retenção.
  • Medidas de segurança adotadas.

REGISTRO DAS ATIVIDADES

Atividade 1: Gestão de Sinistros

  • Finalidade: Análise, avaliação e processamento de sinistros para seguradoras contratantes.
  • Categorias de Titulares: Segurados, terceiros envolvidos em sinistros.
  • Categorias de Dados Pessoais: Nome, CPF, dados de contato, dados financeiros, informações sobre o sinistro (ex.: local, veículo, danos).
  • Bases Legais: Execução de contrato (Art. 7º, V, LGPD) e cumprimento de obrigação legal (Art. 7º, II, LGPD).
  • Compartilhamento de Dados: Seguradoras contratantes, autoridades legais e peritos técnicos.
  • Local de Armazenamento: Servidores internos e soluções em nuvem certificadas.
  • Período de Retenção: 5 anos após o encerramento do processo.
  • Medidas de Segurança: Criptografia, acesso restrito baseado em funções, monitoramento de sistemas.

Atividade 2: Recursos Humanos

  • Finalidade: Gestão de relações empregatícias e cumprimento de obrigações trabalhistas.
  • Categorias de Titulares: Colaboradores, estagiários, candidatos a vagas.
  • Categorias de Dados Pessoais: Nome, CPF, endereço, dados bancários, histórico profissional, dados de dependentes.
  • Bases Legais: Cumprimento de obrigações legais (Art. 7º, II, LGPD), execução de contrato (Art. 7º, V, LGPD).
  • Compartilhamento de Dados: Órgãos públicos, sistemas de folha de pagamento, fornecedores de benefícios.
  • Local de Armazenamento: Sistemas internos protegidos e arquivos físicos em local seguro.
  • Período de Retenção: Conforme legislação trabalhista vigente.
  • Medidas de Segurança: Controles de acesso, uso de cofres para documentos físicos, auditorias regulares.

Atividade 3: Marketing e Comunicação

  • Finalidade: Divulgação de serviços, envio de newsletters e promoções.
  • Categorias de Titulares: Clientes e potenciais clientes.
  • Categorias de Dados Pessoais: Nome, e-mail, telefone, histórico de interações.
  • Bases Legais: Consentimento do titular (Art. 7º, I, LGPD).
  • Compartilhamento de Dados: Plataformas de e-mail marketing, fornecedores de serviços de comunicação.
  • Local de Armazenamento: Servidores em nuvem com certificações de segurança.
  • Período de Retenção: Enquanto vigente o consentimento do titular.
  • Medidas de Segurança: Verificação de conformidade de terceiros, controle de acesso.

Atividade 4: Análise de Dados para Melhoria de Processos

  • Finalidade: Realizar análises estatísticas e gerar insights para otimização de processos internos e tomada de decisão.
  • Categorias de Titulares: Clientes, colaboradores.
  • Categorias de Dados Pessoais: Dados demográficos, histórico de interações, resultados de desempenho.
  • Bases Legais: Legítimo interesse (Art. 7º, IX, LGPD).
  • Compartilhamento de Dados: Fornecedores de análise de dados e consultorias especializadas, quando aplicável.
  • Local de Armazenamento: Servidores locais e soluções de análise na nuvem com certificações de segurança.
  • Período de Retenção: 3 anos após a realização da análise.
  • Medidas de Segurança: Pseudonimização de dados, restrições de acesso e monitoramento contínuo.

Atividade 5: Monitoramento de Acessos aos Sistemas

  • Finalidade: Garantir a segurança e a integridade dos sistemas, prevenindo acessos não autorizados.
  • Categorias de Titulares: Colaboradores, terceirizados e parceiros.
  • Categorias de Dados Pessoais: Identificação de usuário, endereço IP, logs de acesso.
  • Bases Legais: Legítimo interesse (Art. 7º, IX, LGPD).
  • Compartilhamento de Dados: Fornecedores de soluções de segurança e auditoria, se necessário.
  • Local de Armazenamento: Servidores internos protegidos e plataformas de monitoramento certificadas.
  • Período de Retenção: 1 ano para logs operacionais, conforme boas práticas de segurança.
  • Medidas de Segurança: Criptografia dos logs, monitoramento ativo de anomalias.

REVISÃO E AUDITORIA

Este registro será revisado anualmente ou sempre que houver mudanças significativas nas atividades de processamento. Auditorias internas e externas verificarão a conformidade das atividades documentadas com os requisitos legais e políticas da organização.

Data de Publicação: Dezembro de 2024