Política de Segurança da Informação

Covetrus Brazil Holding S/A

JUNHO/2021

1. INTRODUÇÃO

A Covetrus Brazil Holding S/A, sociedade anônima brasileira de, com CNPJ sob o nº 27.059.475/0001-00, com sede principal na Estrada Rio São Paulo, nº 2625, CEP 23075-247, Rio de Janeiro/RJ, Brasil, representando a matriz e suas filiais, com a missão de representar e distribuir produtos de empresas que atendam às necessidades do mercado veterinário, sempre focada em qualidade e pontualidade na entrega.

O crescimento da empresa, juntamente ao desenvolvimento da tecnologia mostraram novos desafios e metas que devemos seguir para entregar serviços com o mais alto padrão de qualidade, de forma que não só atenda aos interesses, mas que promova a proteção de todos aqueles que de qualquer forma se relacionem conosco.

Devido a isso, e buscando sempre uma constante evolução na prestação de seus serviços, aCovetrus Braziltem se adequado, com excelência, às práticas relativas à privacidade e proteção de seus dados pessoais, desenvolvendo a presente Política de Segurança da Informação (“Política”).

2. OBJETIVO

Através da presente Política, buscamos estabelecer normas e diretrizes que garantam a segurança da informação, prezando pela integridade digital, física e verbal dos ativos de informação que circulam na Covetrus Brazil. Dessa forma, temos como objetivo garantir a gestão da informação para alcançar os resultados desejados, no que se refere a mitigação de riscos, prevenção e redução de efeitos indesejados e contínua melhoria no acesso às informações disponíveis nos ambientes da Covetrus Brazil.

De forma a validar a segurança desses ativos, a Política, portanto, será pautada nos pilares da confidencialidade, integridade e disponibilidade, que podem ser assim definidos:

Confidencialidade: informação acessível apenas para pessoas autorizadas;
Integridade: informação correta, confiável, sem a ocorrência de mudanças não autorizadas;
Disponibilidade: informação sempre acessível para uso legítimo de pessoas autorizadas.

A presente Política se aplica a todos os colaboradores, em todos os âmbitos de sua atuação independentemente da função ou cargo dos colaboradores, por exemplo. Assim, a aplicação será a todos aqueles que, diariamente, tenham de qualquer forma acesso aos dados e informações contidas nos sistemas daCovetrus Brazil, devendo, ainda, ser interpretada em consonância às demais Políticas e Avisos desenvolvidos pela Empresa, bem como em estrita observância à legislação vigente, especificamente à luz da Lei Geral de Proteção de Dados.

3. NORMATIVAS APLICÁVEIS

As normativas aplicáveis a essa Política são:

a) Constituição Federal de 1988;

b) Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD);

c) Código Civil;

d) Lei n 12.965/2014, o Marco Civil da Internet;

e) NBR ISO/IEC 27001/27002;

f) Normas e procedimentos internos que são constantemente revisados e aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.

4. RESPONSABILIDADE E ACESSO

A presente Política será revisada pelo Setor de Tecnologia de Informação e deverá ocorrer anualmente ou em periodicidade menor, quando constatada a necessidade.

É fundamental, visando a preservação e proteção das informações, que os Usuários sigam a ação de comportamento seguro, em consoante às políticas da Covetrus Brazil, devendo assumir atitudes proativas e engajadas no que diz respeito à proteção das informações.

Em qualquer hipótese, a Política e suas atualizações estarão disponíveis no sítio eletrônico ou fisicamente junto ao Setor de Tecnologia e Informação.

5. DIRETRIZES GERAIS

Com o objetivo de preservar a integridade, confidencialidade e disponibilidade das informações da Empresa, a Covetrus Brazildetermina padrões e diretrizes que orientam o manejo de todos que eventualmente tiverem acesso a informações, dados pessoais e sistemas da organização. Dessa forma, há a adoção de medidas técnicas adequadas para abrandar possíveis vulnerabilidades e riscos de incidentes.

Sopesando os ativos de tecnologia da informação, cuja natureza entremeia dispositivos móveis, rede de Internet ou softwares, toda e qualquer utilização deve ter uma finalidade relacionada à atividade profissional do respectivo Usuário. Destaca-se que o uso particular é vedado, salvo em casos expressamente autorizados.

Observa-se que, a concordância da atuação dos colaboradores para com as seguintes diretrizes é de extrema importância, como incentivo do comportamento adequado que se refere à segurança da informação:

Uso do E-mail:

O e-mail corporativo é a forma oficial de comunicação na Covetrus Brazil. Assim, o uso do e-mail pelos colaboradores deve ser única e exclusivamente para fins relacionados ao desempenho de suas funções e atividades, obedecendo as seguintes regras:

▪ Deve-se utilizar o e-mail corporativo como forma formalizada de comunicação com entes externos (fornecedores, prestadores de serviços, etc.);

▪ O colaborador deve proteger seu endereço de e-mail e senha de acesso. A senha é individual e intransferível, e deve ser atualizada periodicamente, buscando reforçar a segurança das informações disponíveis;

▪ O colaborador deve verificar, sempre que uma nova mensagem for recebida, a origem das mensagens e em caso de suspeita de ação irregular, deve excluir o e-mail da caixa de entrada;

▪ E-mails suspeitos, com mensagens ou imagens inadequada e/ou spams não devem ser respondidos.

É expressamente vedado :

▪ Enviar mensagens de e-mail usando o endereço de seu departamento, nome de usuário de outra pessoa ou e-mail que não esteja autorizado;

▪ Enviar mensagens de e-mail não solicitadas divulgando informações a terceiros sem autorização ou ainda para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;

▪ Falsificar ou adulterar o conteúdo de mensagens de e-mails ou ainda o endereço do remetente, fazendo-se passar por outra pessoa;

▪ Acessar sem autorização os e-mails de outro usuário;

▪ Utilizar o e-mail para prática de crimes e infrações de qualquer natureza;

▪ Emitir comunicados que representem a opinião pessoal do colaborador em nome da Covetrus Brazil;

▪ Reproduzir, transmitir ou divulgar mensagens que contenham qualquer ato ou orientação que conflitem com os interesses da Covetrus Brazil;

▪ Nem mesmo reproduzir e/ou encaminhar mensagens que contenham ameaças eletrônicas, tais como: vírus, spam e demais malwares;

▪ Contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf, .wsf, .APLICATIVO, .SCPT, .APPLESCRIPT) ou qualquer outra extensão que apresente riscos à segurança dos equipamentos ou Tecnologias da Informação da Covetrus Brazil.

Uso da Internet:

O uso da internet de acatar os princípios acima mencionados, em consonância com as funções dos colaboradores e a devida finalidade do acesso. As questões relacionadas à propriedade intelectual, direitos de propriedade, posse e uso, direitos autorais e licenciamento de software devem ser observadas.

Ressalta-se que, o respeito absoluto e observância à privacidade e proteção da informação dos colaboradores, fornecedores e todas as entidades que possuam dados junto à Covetrus Brazilé de extrema importância.

As redes internas de Internet e seus servidores devem ser controlados com acessos privados por meio de usuário e senha dos colaboradores, os quais precisam moderar sua utilização no bom senso quanto aos sites acessados, tempo de utilização e conteúdo baixado.

O acesso à Internet, por meio da rede corporativa, deve ser efetuado somente por equipamentos autorizados pelo setor de Tecnologia da Informação (TI).

Ressalta-se que é vedada a divulgação, compartilhamento de informações de quaisquer gêneros, tais como confidenciais ou restritas, tanto nas ferramentas de comunicação internas, e mais gravemente ainda nas redes sociais de quaisquer gêneros e/ou sites ou qualquer tecnologia via internet.

Não é permitido acessar, armazenar, divulgar e repassar qualquer material ilícito ligado à pornografia, pedofilia, jogos, racismo, homofobia, religião, bitcoins, formatos de áudio e vídeos (mp3, mp4, AVI etc.), entre outros.

Não é permitida a tentativa de lograr os controles de internet, usando software, plug-in ou outros métodos.

Não é permitido utilizar programas para download/upload de arquivos como Peer-to-Peer de qualquer natureza, exceto para desempenho de sua atividade profissional.

Observa-se que, as solicitações de liberação de sites que sejam úteis às tarefas diárias deverão ser feitas através de chamado para análise e liberação do setor TI.

São de propriedade da Empresa todas as tecnologias, ferramentas, equipamentos e serviços disponibilizados para acesso à internet pela Covetrus Brazil. Assim sendo, poderá a Covetrus Brazil, sempre que julgar necessário e a seu exclusivo critério, suspender ou bloquear o acesso a quaisquer arquivos, domínios, aplicações, sites e correios eletrônicos.

É terminantemente proibido a divulgação ou o compartilhamento de informações internas pertencentes à Covetrus Brazile referentes à sua operação, sobretudo em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que utilize a internet, sob a hipótese de sofrer penalidades previstas na forma da lei e políticas internas da Empresa.

Deverão todos os arquivos, relativos ao desempenho da função do colaborador e à atividade da Covetrus Brazil, ser necessariamente armazenados no diretório adequado de cada Setor sendo recomendada a realização de backups rotineiros para evitar risco de perda dos arquivos. É expressamente proibido armazenar arquivos corporativos nos diretórios do computador próprio de cada colaborador (exemplo: “Área de Trabalho” ou pasta “Downloads”).

Acessos e ambientes físicos:

Devem os acessos, em sua totalidade, sejam eles físicos ou digitais, aos ativos de informação da Covetrus Brazilserem pautados pela devida necessidade, ficando restritos apenas aos usuários formalmente autorizados.

Complementa-se que os acessos através de usuário e senha dos colaboradores são intransferíveis, ao passo que essas informações não devem ser compartilhadas entre titulares.

Gestão de incidentes de segurança da informação:

No tocante a incidentes relativos à Segurança da Informação, o monitoramento é feito de acordo com as diretrizes apresentadas na Norma de Gestão de Incidentes da Covetrus Brazil.

Cabe salientar que serão analisados, classificados, tratados, registrados e reportados ao solicitante e ao gestor do processo ou sistema impactado, todos os incidentes de Segurança da Informação.

Todo e qualquer incidente de Segurança da Informação deve ser usado como base para a implementação de novos ou modificação de controles existentes.

Ressalta-se que os ativos de informação estratégicos, cuja função suporta os negócios da Covetrus Brazil, devem ser mantidos em backup dedicado e exclusivo, conforme a Política de Backup.

6. VIOLAÇÕES E SANÇÕES

Deverão ser analisadas quaisquer violações a esta Política, suas normas e princípios correlatos, enquanto incidentes de Segurança da Informação, e também ser tratadas de acordo com o processo de gestão de incidentes e com apoio do responsável pelo Setor de Segurança de Informação, do gestor responsável, do Setor de Recursos Humanos e do Setor Jurídico da Covetrus Brazil, quando cabível.

Ainda que por omissão ou mera tentativa não consumada, as violações a esta Política e toda e qualquer diretriz ou norma publicada e veiculada pela Covetrus Brazil, sem prejuízo de demais sanções de natureza civil, criminal e trabalhista, poderão ensejar as seguintes penalidades: advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.

A aplicação de sanções e punições deverá considerar a gravidade da infração, o tempo de remediação, efeitos alcançados, reincidência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o gestor, no uso de seu poder disciplinar aqui estabelecido, aplicar a pena cabível com o aval do Jurídico e análise da área de Recursos Humanos.

Além das sanções, caso o gestor entenda necessário e viável poderá aplicar ao colaborador uma medida educativa, que consistirá na realização de um curso, workshops, treinamentos, etc., de curta duração a serem disponibilizados pela Covetrus Brazil.

Ao colaborador ou prestador de serviço envolvido na violação à Política e/ou respectivas diretrizes ou normas será assegurado tratamento justo, correto e confidencial, de modo que qualquer medida tomada deverá ser proporcional e aplicada de acordo com o contrato de trabalho ou prestação de serviços, com a presente Política e com as normas e legislação vigente.

As violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à Covetrus Brazil, ensejarão a responsabilização pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.

7. CONSCIENTIZAÇÃO E TREINAMENTOS

Com o objetivo de efetivar todas as medidas descritas através desta Política, a Covetrus Brazildeve promover programas periódicos para a conscientização da Empresa em relação à segurança das informações, tais como workshops, palestras, treinamentos, campanhas de conscientização e outras.

Tais eventos são obrigatórios para os colaboradores, tendo em vista que podem ser utilizados como critérios para a avaliação de metas ou aplicação de penalidades.

8. NOSSO CONTATO

Existindo a necessidade de contato por qualquer motivo, ou almejando exercer um dos seus direitos relativos aos Dados Pessoais, nosso Encarregadopelo Tratamento de Dados Pessoais, que é a Sra. Mariana Corder Vidal Gantois, pode ser contatado pelo e-mail encarregadodedados@covetrus.com.