Políticas da Valens Sec

Visualize nossas políticas de segurança e privacidade

CLASSIFICAÇÃO: PÚBLICA

Política de Segurança da Informação

Valens Sec - Código: PSI-001 - Revisão 1.0 - 24/10/2025

1. Objetivo

A Valens Sec estabelece esta Política de Segurança da Informação (PSI) com base em padrões internacionais de segurança da informação, especificamente a ISO/IEC 27001 e suas normas complementares. O objetivo é proteger os ativos de informação da empresa e de seus clientes, garantindo a confidencialidade, integridade e disponibilidade dos dados.

2. Escopo

Esta política aplica-se a todos os colaboradores, parceiros, prestadores de serviço e clientes da Valens Sec, abrangendo:

  • Testes de phishing e simulações de engenharia social;
  • Auditorias de segurança e consultoria;
  • Treinamentos e conscientização em segurança digital.

3. Princípios

A Valens Sec adota os seguintes princípios:

  • 1. Confidencialidade: acesso apenas a pessoas autorizadas.
  • 2. Integridade: precisão e consistência das informações.
  • 3. Disponibilidade: acesso quando necessário.
  • 4. Privacidade: conformidade com LGPD e ISO 27701.
  • 5. Melhoria Contínua: atualização constante dos controles.

4. Diretrizes Gerais

  • Cumprimento dos termos de confidencialidade.
  • Controles técnicos e organizacionais em conformidade com ISO/IEC 27002.
  • Avaliações periódicas de riscos em conformidade com ISO/IEC 27005.
  • Comunicação imediata de incidentes à equipe de SI.
  • Uso ético e autorizado das informações obtidas em auditorias.
  • Tratamento de dados pessoais em conformidade com ISO/IEC 27701.

5. Treinamento e Conscientização

Todos os colaboradores participam de treinamentos regulares sobre segurança da informação e boas práticas digitais.

6. Gestão de Riscos

A gestão de riscos segue o ciclo ISO/IEC 27005 e é executada de forma contínua conforme o PDCA. Principais passos e artefatos:

1. Inventário e Identificação de Ativos

  • Catalogação de ativos (informação, hardware, software, pessoas, serviços); classificação por valor/impacto.
  • Identificação de ameaças e vulnerabilidades específicas por ativo (ex.: phishing, vulnerabilidades de softwares, falha de controle de acesso).

2. Análise de Risco

  • Avaliação qualitativa/quantitativa do impacto e da probabilidade; uso de matriz de risco para priorização.
  • Cálculo de risco inerente e risco residual após controles existentes.
  • Registro em Risk Register contendo: ativo, ameaça, vulnerabilidade, impacto, probabilidade, risco (score), proprietário do risco.

3. Avaliação e Critérios

  • Definição de critérios de aceitabilidade (tolerância ao risco) aprovados pela diretoria.
  • Classificação das ações: Tratar (mitigar), Aceitar, Transferir (seguro/terceiro) ou evitar.

4. Monitoramento e Métricas

  • Monitoramento contínuo dos controles (SIEM, alertas) e revisão periódica do Risk Register.
  • KPIs/KRIs: número de riscos críticos abertos, tempo médio de tratamento, taxa de sucesso em simulações de phishing, % de sistemas com patch em dia.

7. Definições

  • Ameaça: causa potencial de um incidente indesejado que pode resultar em dano à Valens Sec ou aos ativos de seus clientes.
  • Ativo: qualquer recurso, informação, sistema, processo ou infraestrutura que tenha valor para a Valens Sec e precise ser adequadamente protegido.
  • Ativo Intangível: elementos de valor não físico, como reputação, imagem, marca, know-how e conhecimento técnico.
  • Autenticidade: garantia de que a informação é procedente, íntegra e fidedigna, possibilitando comprovar a identidade de quem a criou, editou ou emitiu.
  • Backup ou Salvaguarda: cópia de informações realizada com a finalidade de recuperação em caso de incidente, falha ou necessidade de restauração.
  • Colaborador: empregado, estagiário, prestador de serviço, fornecedor ou qualquer pessoa que mantenha relação profissional direta ou indireta com a Valens Sec.
  • Confidencialidade: garantia de que as informações sejam acessadas apenas por pessoas expressamente autorizadas, protegendo-as contra acesso, uso ou divulgação indevida.
  • Dados Pessoais: qualquer informação que possa identificar uma pessoa natural, como nome, CPF, e-mail, endereço, dados de localização, hábitos de consumo ou identificadores eletrônicos, conforme a Lei Geral de Proteção de Dados (LGPD).
  • Disponibilidade: garantia de que as informações e os sistemas estejam acessíveis e utilizáveis sempre que necessário, mediante autorização apropriada.
  • Dispositivos Móveis: equipamentos portáteis com capacidade de processar, armazenar e transmitir informações, como notebooks, tablets e smartphones corporativos.
  • Dispositivos Removíveis de Armazenamento: mídias capazes de armazenar informações removíveis, como pen drives, HDs externos e cartões de memória.
  • Gestor da Informação: responsável por garantir o uso adequado das informações, sua classificação, revisão, liberação de acesso e eventual descarte, de acordo com as políticas da empresa.
  • Identidade Digital: identificação lógica do colaborador ou cliente, composta por credenciais de autenticação, como login, senha, token, certificado digital ou biometria.
  • Informação: conjunto de dados que, processados ou não, possuem valor para a empresa e são utilizados para comunicação, operação e tomada de decisão.
  • Integridade: garantia de que as informações não foram alteradas indevidamente durante seu ciclo de vida, mantendo sua consistência e precisão.
  • Legalidade: garantia de que as informações sejam criadas, tratadas e armazenadas em conformidade com as leis e normas aplicáveis, incluindo a LGPD.
  • PSI: Política de Segurança da Informação.
  • Recursos de Tecnologia da Informação e Comunicação (TIC): hardware, software, redes, serviços e infraestruturas utilizados para criar, processar, armazenar e transmitir informações.
  • Risco: combinação da probabilidade de ocorrência de uma ameaça e o impacto resultante sobre os ativos de informação.
  • Segurança da Informação: preservação da confidencialidade, integridade, disponibilidade, legalidade e autenticidade das informações, visando proteger dados e operações contra ameaças, garantir a continuidade dos serviços e manter a confiança de clientes e parceiros.
  • SGSI: Sistema de Gestão de Segurança da Informação, conjunto estruturado de políticas, procedimentos, processos e recursos destinados à gestão contínua da segurança da informação conforme a ISO/IEC 27001.
  • Tentativa de Burla: ação intencional para contornar, ignorar ou violar controles e diretrizes de segurança estabelecidos pela Valens Sec.
  • Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, incluindo coleta, uso, armazenamento, compartilhamento, modificação ou eliminação.
  • Violação: qualquer atividade ou incidente que desconsidere as políticas, normas ou controles de segurança definidos pela Valens Sec.

8. Dados Pessoais compartilhados e/ou armazenados nos dispositivos - Proteção de Dados Pessoais e Privacidade

Dados e informações pessoais trocados entre os Colaboradores e a Valens Sec, decorrentes do uso de recursos corporativos ou dispositivos pessoais para fins profissionais, estão sujeitos às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), bem como às demais normas e regulamentações aplicáveis à privacidade e proteção de dados pessoais.

O tratamento de dados pessoais (nos termos do Art. 5º, X, da LGPD) deverá observar os princípios de proteção de dados e estar legitimado por uma base legal, conforme os arts. 7º e 11 da referida lei.

  • A Valens Sec cumpre e continuará a cumprir todas as suas obrigações legais referentes à privacidade e à proteção de dados pessoais, especialmente as previstas na LGPD, na Lei Federal nº 12.965/2014 (Marco Civil da Internet) e no Decreto Federal nº 8.771/2016.
  • Os Colaboradores que, no exercício de suas atividades, tenham acesso a dados pessoais de clientes, parceiros, fornecedores ou outros colaboradores, comprometem-se a não utilizar tais informações para fins diversos daqueles expressamente autorizados e relacionados às suas atribuições.
  • Sempre que os colaboradores utilizarem dados pessoais obtidos durante execuções de testes de phishing, auditorias de segurança ou treinamentos, devem respeitar integralmente as políticas e procedimentos internos da Valens Sec, sendo expressamente proibido extrair, copiar, compartilhar, transmitir ou publicar quaisquer informações pessoais de titulares, inclusive de outros colaboradores, fornecedores ou clientes.
  • Os Colaboradores têm ciência do dever de sigilo profissional quanto aos dados e informações aos quais têm acesso em razão de suas funções, bem como da obrigação de observar integralmente as normas internas e legais relativas ao tratamento seguro de dados pessoais.
  • Os Colaboradores reconhecem que, em caso de descumprimento culposo ou doloso, responderão por quaisquer perdas, danos ou prejuízos causados à Valens Sec ou a terceiros, em decorrência de acesso não autorizado, vazamento, uso indevido ou perda de dados pessoais.

9. Gestão de Consequências

O não cumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento e de acordo com normativos internos, sendo aplicáveis a todas as pessoas descritas no item "Abrangência" desta Política.

10. Disposições Finais

O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com a Política e Procedimentos aplicáveis pela Valens Sec. Esta PSI bem como os demais documentos que a complementam encontram-se disponíveis na Intranet ou, em caso de indisponibilidade, podem ser solicitadas à área de segurança da informação.

Qualquer dúvida relativa a esta PSI deve ser encaminhada à área de segurança da informação por meio do endereço eletrônico: equipe.si@valenssec.com.br. Esta PSI entra em vigor na data de sua publicação.

11. Responsabilidades

Administradores, Colaboradores e Prestadores de Serviço: devem observar e zelar pelo cumprimento integral desta Política de Segurança da Informação, adotando comportamento ético, responsável e proativo no desempenho de suas funções. Todos os envolvidos devem compreender, implementar e sustentar as responsabilidades associadas à proteção das informações e dos ativos da Valens Sec, de seus clientes e terceiros, garantindo que as diretrizes e controles de segurança da informação sejam aplicados em todas as atividades operacionais.

12. Conformidade e Revisões

Esta política é revisada anualmente ou em caso de mudanças significativas. O descumprimento pode resultar em medidas disciplinares e/ou sanções legais.

13. Responsabilidade

A Diretoria da Valens Sec é responsável pela implementação, revisão e manutenção do SGSI.

14. Referências Normativas

Esta Política de Segurança da Informação foi elaborada com base nas melhores práticas de mercado e nas normas internacionais aplicáveis à gestão da segurança da informação e proteção de dados, incluindo, mas não se limitando a:

  • ISO/IEC 27001:2022 – Tecnologia da Informação — Sistemas de Gestão de Segurança da Informação — Requisitos.
  • ISO/IEC 27005:2022 – Gestão de Riscos de Segurança da Informação.
  • ISO/IEC 27701:2019 – Extensão da ISO/IEC 27001 e 27002 para Gestão da Privacidade e Proteção de Dados Pessoais (PIMS).
  • Lei nº 13.709/2018 (LGPD) – Lei Geral de Proteção de Dados Pessoais.
  • Lei nº 12.965/2014 (Marco Civil da Internet) e Decreto nº 8.771/2016 – Regulamentação das garantias e responsabilidades no uso da internet no Brasil.

15. Contato

Dúvidas, solicitações ou incidentes:

  • E-mail da Equipe de SI: equipe.si@valenssec.com.br

16. Registros

Identificação Arquivamento Proteção Recuperação Tempo de retenção Descarte
PSI-SI-001 Eletrônico Backup Por e-mail / data / departamento Permanente Não há

17. Histórico de Alterações

Edição Alterações Data Aprovação
Publicação 24/10/2025 Direção da Valens Sec
CLASSIFICAÇÃO: PÚBLICA

Política de Privacidade e Proteção de Dados

Valens Sec - Código: PPD-DP-001 - Revisão 1.0 - 02/11/2025

1. Objetivo

A presente Política de Privacidade e Proteção de Dados (PPD) tem por finalidade estabelecer as diretrizes para o tratamento, proteção e gestão de dados pessoais pela Valens Sec, em conformidade com a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet, o Decreto nº 8.771/2016 e as normas ISO/IEC 27001 e ISO/IEC 27701.

O objetivo é garantir a privacidade, integridade e transparência no tratamento de dados pessoais de clientes, colaboradores, parceiros e demais titulares, assegurando seus direitos fundamentais e o uso ético das informações.

2. Escopo

Esta política aplica-se a todos os processos, sistemas, colaboradores, prestadores de serviço e parceiros que realizem qualquer forma de tratamento de dados pessoais no âmbito das atividades da Valens Sec, incluindo:

  • Coleta, armazenamento, uso, compartilhamento, eliminação e descarte de dados pessoais;
  • Operações realizadas durante auditorias, consultorias, treinamentos e testes de segurança;
  • Uso de recursos tecnológicos e infraestrutura de TI sob responsabilidade da empresa.

3. Princípios

A Valens Sec observa os seguintes princípios no tratamento de dados pessoais:

  • Finalidade: os dados são utilizados apenas para finalidades legítimas e com consentimento informado do titular.
  • Necessidade: o tratamento é limitado ao mínimo necessário.
  • Transparência: informações claras são fornecidas sobre o uso dos dados.
  • Segurança: medidas técnicas e organizacionais são adotadas para proteção dos dados.
  • Prevenção: riscos são reduzidos e incidentes são prevenidos.
  • Responsabilização: a conformidade com a LGPD é demonstrada.
  • Confidencialidade, Integridade e Disponibilidade: aderência às diretrizes da Política de Segurança da Informação (PSI-SI-001).

4. Bases Legais para o Tratamento de Dados

O tratamento de dados pessoais pela Valens Sec baseia-se nas hipóteses legais previstas nos artigos 7º e 11 da LGPD, incluindo:

  • Execução de contrato com o titular ou seu empregador;
  • Cumprimento de obrigação legal ou regulatória;
  • Legítimo interesse, sujeito a análise de impacto e proporcionalidade;
  • Consentimento expresso do titular, quando necessário;
  • Proteção do crédito e regular exercício de direitos em processos judiciais ou administrativos.

5. Direitos dos Titulares

Os titulares de dados pessoais têm assegurados os direitos previstos no artigo 18 da LGPD, podendo solicitar:

  • Confirmação da existência de tratamento;
  • Acesso, correção ou atualização de dados;
  • Anonimização, bloqueio ou eliminação;
  • Portabilidade dos dados;
  • Revogação do consentimento;
  • Informações sobre compartilhamento com terceiros.

As solicitações deverão ser encaminhadas para o e-mail: privacidade@valenssec.com.br

6. Deveres dos Colaboradores e Prestadores de Serviço

  • Manter sigilo e confidencialidade sobre todos os dados pessoais acessados;
  • Utilizar os dados exclusivamente para fins profissionais autorizados;
  • Reportar imediatamente à Equipe de Segurança da Informação qualquer incidente ou violação de privacidade;
  • Cumprir integralmente esta política e as demais normas internas relacionadas à proteção de dados.

7. Compartilhamento de Dados

Os dados pessoais poderão ser compartilhados apenas quando:

  • Exigido por lei ou autoridade competente;
  • Necessário à execução de contratos e serviços;
  • Mediante consentimento expresso do titular;
  • Com parceiros e fornecedores que mantenham acordos de confidencialidade e cláusulas de proteção de dados equivalentes às da Valens Sec.

8. Segurança da Informação e Proteção de Dados

A Valens Sec adota controles técnicos e organizacionais compatíveis com as normas ISO/IEC 27001 e ISO/IEC 27701, incluindo:

  • Controle de acesso físico e lógico;
  • Criptografia de dados sensíveis;
  • Backup seguro e plano de continuidade;
  • Monitoramento de incidentes e logs de auditoria;
  • Treinamento regular de colaboradores;
  • Revisão contínua de riscos e controles.

9. Retenção e Descarte de Dados

Os dados pessoais serão armazenados apenas pelo período necessário ao cumprimento da finalidade do tratamento ou exigências legais.

Após o término da finalidade, os dados serão eliminados, anonimizados ou arquivados de forma segura, conforme matriz de retenção definida pela área de Segurança da Informação.

10. Gestão de Incidentes e Violações

Qualquer incidente envolvendo dados pessoais deve ser comunicado imediatamente à Equipe de Segurança da Informação.

A Valens Sec mantém procedimentos de resposta a incidentes, incluindo:

  • Contenção e mitigação do impacto;
  • Análise das causas e medidas corretivas;
  • Notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, quando aplicável.

11. Treinamento e Conscientização

Todos os colaboradores e prestadores de serviço participam de treinamentos periódicos sobre privacidade, proteção de dados e segurança da informação, reforçando boas práticas e responsabilidade individual.

12. Responsabilidades

  • Diretoria: responsável por supervisionar e garantir o cumprimento da LGPD e desta política.
  • Equipe de Segurança da Informação: responsável por atender solicitações dos titulares, avaliar incidentes, implementar controles e orientar departamentos sobre proteção de dados pessoais.
  • Colaboradores e Prestadores de Serviço: responsáveis por garantir a confidencialidade, legalidade e uso ético dos dados pessoais sob sua responsabilidade.

13. Conformidade e Revisões

Esta política será revisada anualmente ou em caso de mudanças legislativas, tecnológicas ou operacionais relevantes.

O descumprimento pode resultar em medidas disciplinares, cíveis e/ou criminais, conforme a gravidade e a legislação aplicável.

14. Referências Normativas

Esta Política de Privacidade e Proteção de Dados foi desenvolvida com base em melhores práticas de mercado e normas internacionais aplicáveis à gestão de segurança da informação e proteção de dados, incluindo, mas não se limitando a:

  • Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD);
  • Lei nº 12.965/2014 – Marco Civil da Internet;
  • Decreto nº 8.771/2016 – Regulamentação do Marco Civil;
  • ISO/IEC 27001:2022 – Segurança da Informação;
  • ISO/IEC 27701:2019 – Gestão da Privacidade;
  • Política de Segurança da Informação - PSI-SI-001 Valens Sec.

15. Contato

Dúvidas, solicitações ou incidentes:

  • E-mail de Privacidade: privacidade@valenssec.com.br
  • E-mail da Equipe de SI: equipe.si@valenssec.com.br

16. Registros

Identificação Arquivamento Proteção Recuperação Tempo de retenção Descarte
PPD-DP-001 Eletrônico Backup Por e-mail / data / departamento Permanente Não há

17. Histórico de Alterações

Edição Alterações Data Aprovação
Publicação 02/11/2025 Diretoria Valens Sec