top of page

ANEXO 5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Esta Política de Segurança da Informação (“PSI”) integra, por incorporação por referência, o Contrato de Licença de Uso de Software (SaaS), Implantação, Suporte e Serviços – Plataforma IAFarma (“Contrato”), celebrado entre CONTRATADA e CONTRATANTE, complementando o disposto no Anexo Técnico, no Anexo de Suporte e SLA e no DPA/LGPD.

 

Esta PSI tem por objetivo estabelecer diretrizes gerais de segurança técnica e organizacional, sem criar obrigações legais adicionais nem alterar a natureza da responsabilidade assumida pela CONTRATADA no Contrato.

 

1. Princípios Gerais

 

A CONTRATADA adota práticas de segurança da informação orientadas pelos seguintes princípios:

 

  • confidencialidade das informações tratadas na Plataforma;

  • integridade e disponibilidade dos sistemas;

  • segregação de acessos e ambientes;

  • proporcionalidade entre controles de segurança, riscos e natureza do serviço;

  • evolução contínua compatível com soluções SaaS em nuvem.

 

A Plataforma constitui serviço em obrigação de meio, não havendo garantia de segurança absoluta, inexistência de incidentes ou eliminação total de riscos cibernéticos.

 

2. Abrangência

 

Esta Política aplica‑se:

 

  • à infraestrutura tecnológica sob gestão da CONTRATADA;

  • aos sistemas, ambientes e componentes diretamente relacionados à Plataforma IAFarma;

  • aos colaboradores, prestadores e suboperadores da CONTRATADA que tenham acesso lógico aos sistemas.

 

Não se aplica à infraestrutura, redes, dispositivos, contas, credenciais ou sistemas da CONTRATANTE ou de terceiros por ela contratados.

 

3. Controles Técnicos e Organizacionais

 

A CONTRATADA adota, entre outras, as seguintes medidas razoáveis de segurança:

 

  • controle de acesso baseado em perfis e necessidade funcional;

  • autenticação e gestão de credenciais;

  • segregação lógica de ambientes;

  • registro e retenção de logs técnicos;

  • criptografia de dados em trânsito e, quando aplicável, em repouso;

  • backups periódicos conforme práticas de mercado;

  • monitoramento técnico e correções de vulnerabilidades relevantes.

Os controles são continuamente revisados e podem evoluir ao longo do tempo, sem que isso caracterize alteração contratual.

 

4. Hospedagem e Infraestrutura

 

A Plataforma é hospedada em infraestrutura de computação em nuvem de terceiros, selecionados conforme critérios técnicos e comerciais da CONTRATADA.

 

A CONTRATADA não controla nem responde por falhas sistêmicas globais do provedor de nuvem, desde que não decorrentes de erro de configuração ou gestão sob sua responsabilidade.

 

5. Gestão de Acessos e Usuários

 

5.1. A CONTRATADA restringe o acesso interno à Plataforma a pessoas autorizadas, capacitadas e vinculadas por obrigações de confidencialidade.

 

5.2. A CONTRATANTE é integralmente responsável por:

 

  • gestão de acessos de seus usuários;

  • uso adequado das credenciais;

  • revogação imediata em caso de desligamento;

  • segurança de seus dispositivos e redes.

 

Atividades realizadas com credenciais válidas serão presumidas como legítimas, salvo prova técnica inequívoca em contrário.

 

6. Incidentes de Segurança

 

6.1. A CONTRATADA mantém procedimentos internos para identificação, mitigação e resposta a incidentes de segurança da informação.

 

6.2. Incidentes envolvendo dados pessoais observarão exclusivamente o disposto no DPA/LGPD, o qual prevalece sobre esta Política.

 

6.3. A CONTRATADA não será responsável por incidentes decorrentes de:

 

  • uso inadequado da Plataforma;

  • compartilhamento indevido de credenciais;

  • falhas na infraestrutura da CONTRATANTE;

  • integrações contratadas diretamente pela CONTRATANTE;

  • exportações manuais ou tratamentos externos aos sistemas da CONTRATADA.

 

7. Continuidade e Disponibilidade

 

As medidas de segurança visam preservar a estabilidade e disponibilidade da Plataforma, nos termos e limites definidos no SLA, não constituindo garantia de operação ininterrupta.

 

Eventos de força maior, falhas de terceiros ou manutenções não caracterizam violação desta Política.

 

8. Atualizações da Política de Segurança

 

A presente Política poderá ser atualizada pela CONTRATADA para refletir:

 

  • evolução tecnológica;

  • mudanças operacionais;

  • exigências legais ou regulatórias;

  • ajustes de boas práticas de segurança.

 

As atualizações não poderão alterar a natureza do serviço nem ampliar obrigações da CONTRATANTE ou da CONTRATADA além do previsto no Contrato.

 

9. Relação com o DPA/LGPD

 

As disposições relativas a tratamento de dados pessoais, direitos de titulares, comunicação de incidentes e obrigações legais são reguladas exclusivamente pelo DPA/LGPD.

 

Esta Política:

 

  • não cria deveres adicionais de proteção de dados pessoais;

  • não transforma a CONTRATADA em Controladora;

  • não afasta as limitações de responsabilidade previstas no Contrato.

 

10. Limitações de Responsabilidade

 

A adoção de medidas de segurança não constitui declaração, garantia ou promessa de que:

 

  • incidentes não ocorrerão;

  • sistemas estarão livres de vulnerabilidades;

  • ataques cibernéticos serão integralmente prevenidos.

 

Eventual responsabilização observará exclusivamente (i) o Contrato principal; (ii) o DPA/LGPD (quando aplicável); e (iii) as limitações e exclusões de responsabilidade pactuadas.

 

11. Natureza Jurídica

 

Esta Política possui natureza complementar e descritiva, não podendo ser interpretada para:

 

  • ampliar obrigações de segurança além do razoável;

  • restringir direitos da CONTRATADA;

  • afastar cláusulas contratuais de limitação de responsabilidade;

  • alterar a alocação de riscos definida no Contrato.

 

 

[Versão da Política de Segurança da Informação: 01 | Data: Abril26]

bottom of page