LinkedIn Instagram WhatsApp

Construir uma Estratégia de Cibersegurança Robusta para a Sua Organização

Construir uma estratégia sólida de cibersegurança já não é opcional para as organizações que operam no panorama digital atual. Seja uma instituição financeira na Cidade do Panamá, uma operação de fabrico em San Pedro Sula, uma empresa de tecnologia em San José, ou uma sociedade de prestação de serviços profissionais em Miami, as ameaças que visam a sua organização são reais, sofisticadas e crescentes em frequência. Na GLADiiUM Technology Partners, temos vindo a dedicar mais de 20 anos a ajudar organizações na América Latina e nos Estados Unidos a construir estratégias de cibersegurança que protejam os seus ativos, suportem as suas operações e satisfaçam os seus requisitos regulamentares. Este guia fornece a estrutura abrangente que os nossos clientes utilizam para fortalecer a sua postura de segurança.

Qual é uma estratégia de cibersegurança?

Uma estratégia de cibersegurança é o plano de alto nível de uma organização para proteger os seus ativos de informação, infraestrutura tecnológica e operações de negócio contra ameaças cibernéticas. Define os objetivos de segurança da organização, estabelece o quadro para alcançar esses objetivos, aloca recursos de forma apropriada e cria responsabilidade pelos resultados de segurança.

Uma estratégia de cibersegurança distingue-se de uma política de segurança (que define regras e requisitos) ou de uma arquitetura de segurança (que define o projeto técnico dos controlos de segurança). A estratégia é o documento abrangente que explica Porquê A organização está a investir em segurança, O quê resultados que visa alcançar, e Como pretende alcançar — ligando os objetivos de negócio a decisões de investimento em segurança de uma forma que executivos, conselhos de administração e reguladores possam compreender e avaliar.

Organizações que operam sem uma estratégia de cibersegurança documentada realizam investimentos em segurança de forma reativa — adquirindo ferramentas em resposta a incidentes, implementando controlos para satisfazer constatações imediatas de auditoria e tomando decisões baseadas nas recomendações de fornecedores em vez do seu próprio perfil de risco. O resultado é uma postura de segurança fragmentada que é, simultaneamente, menos eficaz e mais dispendiosa do que um programa concebido estrategicamente.

Elemento 1: Estabelecer a Sua Política de Segurança da Informação

Toda estratégia de cibersegurança começa com uma Política Formal de Segurança da Informação — o documento fundamental que estabelece o compromisso da gestão com a segurança, define o âmbito e os objetivos do programa de segurança, atribui funções e responsabilidades, e estabelece os requisitos mínimos de segurança que se aplicam em toda a organização.

Uma Política de Segurança da Informação robusta para organizações na América Latina deveria:

  • Defina objectivos de segurança em termos que se conectem a resultados de negócio — proteger a confiança do cliente, permitir a conformidade regulamentar e garantir a continuidade operacional — em vez de termos puramente técnicos.
  • Estabelecer responsabilidades claras, designando um líder sénior (CISO ou equivalente) responsável pelo programa de segurança e definindo responsabilidades de segurança para cada função organizacional.
  • As referências aos quadros regulamentares específicos aplicáveis na vossa jurisdição são: CNBS em Honduras, SBP no Panamá, SUGEF na Costa Rica, SSF em El Salvador, CNBV no México, HIPAA e GLBA nos Estados Unidos.
  • Requer revisão e atualização regulares – a política deve ser um documento vivo que evolui com o cenário de ameaças e o ambiente regulatório, não um artefato estático atualizado apenas quando uma auditoria o exige.

Elemento 2: Compreender o Seu Cenário de Ameaças

Uma estratégia eficaz de cibersegurança não pode ser genérica — deve ser calibrada para as ameaças específicas que a sua organização enfrenta, com base no seu setor, na sua geografia, no seu ambiente tecnológico e no seu modelo de negócio. A compreensão do seu panorama de ameaças requer tanto inteligência externa como avaliação interna.

A inteligência de ameaças externa fornece contexto sobre os atores de ameaças que visam as organizações do seu setor e região, as técnicas de ataque que utilizam e os indicadores de comprometimento que sugerem a sua presença. Para organizações na América Latina, fontes de inteligência relevantes incluem agências regionais de cibersegurança, comunidades de partilha de informação específicas da indústria e parceiros MSSP como a GLADiiUM que mantêm inteligência de ameaças relevante para cada mercado territorial.

A avaliação interna de riscos identifica as vulnerabilidades específicas da sua organização e os ativos de negócio que são mais críticos de proteger. Um processo formal de avaliação de riscos deve avaliar a probabilidade de cada cenário de ameaça relevante face ao seu ambiente de controlo atual, estimar o impacto no negócio de ataques bem-sucedidos e priorizar o investimento em segurança com base na combinação de probabilidade e impacto — garantindo que os recursos abordam os seus riscos reais mais elevados, em vez de preocupações genéricas.

Elemento 3: Adoção de um Quadro de Segurança

Os quadros de segurança fornecem metodologias estruturadas para organizar e avaliar programas de cibersegurança. Em vez de construir a sua estratégia a partir do zero, a adoção de um quadro estabelecido garante a completude, permite a comparação com organizações congéneres e demonstra maturidade junto de reguladores e auditores.

Os quadros (frameworks) mais relevantes para as organizações nos mercados da GLADiiUM incluem:

  • Estrutura de Cibersegurança do NIST (CSF) — O quadro mais amplamente adotado a nível mundial, organizado em torno de cinco funções: Identificar, Proteger, Detetar, Responder e Recuperar. Altamente adaptável a organizações de todas as dimensões e setores. Obrigatório ou referenciado em numerosos contextos regulamentares dos EUA.
  • ISO/IEC 27001 — O padrão internacional para sistemas de gestão da segurança da informação. Fornece uma estrutura de controlo abrangente e um caminho de certificação que é cada vez mais exigido para contratos empresariais e aquisições governamentais em toda a América Latina.
  • Controlos CIS — Um conjunto priorizado de 18 controlos de segurança que representam as defesas mais eficazes contra os padrões de ataque mais comuns. Particularmente valioso para organizações que estão a iniciar ou a maturar os seus programas de segurança — a priorização ajuda a direcionar recursos limitados para os controlos de maior impacto primeiro.
  • PCI-DSS — Para organizações que processam dados de cartões de pagamento, o PCI-DSS é tanto um quadro de referência como um requisito de conformidade. Os seus controlos técnicos específicos fornecem um roteiro de implementação concreta para a segurança de pagamentos.

Elemento 4: Manter os Sistemas Atualizados — Gestão de Patches

As vulnerabilidades de software sem correção são o vetor de ataque mais comummente explorado em ambientes empresariais. O ransomware WannaCry, que causou milhares de milhões de dólares em danos globais, explorou uma vulnerabilidade para a qual um patch estava disponível há dois meses. A maioria dos ataques de ransomware bem-sucedidos explora vulnerabilidades conhecidas – significando que as organizações que aplicam correções de forma atempada e consistente evitam uma percentagem significativa de ataques que comprometem os seus pares.

Um programa de gestão de correções eficaz inclui:

  • Inventário completo de ativos — Não se pode aplicar correções a algo cuja existência não se conhece. Um inventário abrangente e continuamente atualizado de todo o software, sistemas operativos e firmware é fundamental para a gestão de correções.
  • Análise de vulnerabilidades — A análise regular identifica quais ativos possuem vulnerabilidades conhecidas e prioriza a remediação com base na explorabilidade e criticidade de negócio.
  • SLAs definidos para aplicação de patches — As vulnerabilidades críticas (pontuação CVSS de 9.0+) devem ser corrigidas entre 24 e 72 horas. As vulnerabilidades altas, entre 7 e 14 dias. As outras vulnerabilidades, no prazo de 30 dias. Organizações sem Acordos de Nível de Serviço (SLAs) definidos deixam vulnerabilidades críticas abertas durante meses.
  • Testes e validação As atualizações devem ser testadas em ambientes não produtivos antes da sua implementação em sistemas de produção, particularmente para aplicações críticas de negócio, onde falhas induzidas por atualizações teriam impacto operacional.

Elemento 5: Autenticação Multifator e Segurança da Identidade

A identidade é o novo perímetro. Num mundo onde os colaboradores trabalham remotamente, as aplicações correm na nuvem e a fronteira tradicional da rede já não existe, o controlo de acesso através de identidade verificada é a medida de segurança mais fundamental disponível. A autenticação multifator (MFA) deve ser implementada em todos os sistemas que contêm dados sensíveis ou fornecem acesso administrativo à infraestrutura.

Para além da MFA, um programa abrangente de segurança da identidade inclui:

  • Gestão de Acesso Privilegiado (PAM) — Controlo, monitorização e auditoria de todo o acesso administrativo a sistemas críticos. As credenciais privilegiadas são o alvo mais valioso para atacantes que procuram escalar de um acesso inicial para o controlo total do sistema.
  • Acesso de privilégio mínimo — Os utilizadores devem ter o acesso mínimo necessário para desempenhar as suas funções, nada mais. Privilégios de acesso excessivos aumentam o dano potencial de qualquer conta comprometida.
  • Revisões regulares de acesso — A revisão trimestral e recertificação dos direitos de acesso dos utilizadores garante que o acesso concedido para necessidades temporárias ou funções anteriores não persista indefinidamente.
  • Gestão de contas de serviço — As contas não humanas utilizadas por aplicações e processos automatizados são frequentemente ignoradas, mas representam um risco significativo caso sejam comprometidas.

Elemento 6: Segmentação de Rede e Arquitetura de Defesa

A segmentação de rede divide o seu ambiente em zonas isoladas que exigem autorização explícita para serem atravessadas — limitando o movimento lateral que caracteriza as ameaças persistentes avançadas e as implementações de ransomware empresarial. As prioridades-chave de segmentação incluem:

  • Separação de sistemas OT/ICS das redes de TI corporativas com controlos rigorosos na fronteira
  • Isolamento dos sistemas de processamento de pagamentos num segmento de rede dedicado e rigorosamente controlado (exigido pela PCI-DSS)
  • Criar uma zona dedicada para sistemas expostos à Internet (DMZ) que seja isolada de redes internas.
  • Segmentação das redes administrativas das redes de utilizadores gerais para proteção das vias de acesso privilegiado

Os firewalls cientes da aplicação, as VLANs, as tecnologias de microrsegmentação e as soluções de Acesso à Rede de Confiança Zero (ZTNA) contribuem para uma arquitetura de segmentação eficaz, apropriada para diferentes ambientes e perfis de ameaças.

Elemento 7: Preparação para Ransomware e Cópia de Segurança

Dada a frequência e severidade dos ataques de ransomware na América Latina, a preparação para ransomware merece atenção especial na estratégia de cibersegurança de todas as organizações. Uma organização resiliente a ransomware possui três camadas de defesa:

  • Prevenção — MFA, EDR, segurança de e-mail e formação de funcionários para bloquear os ataques de phishing e baseados em credenciais que servem como vetores de entrada primários para ransomware.
  • Contenção — Segmentação de rede que limita a propagação do ransomware caso este seja executado, reduzindo o raio de impacto e o âmbito da recuperação necessária.
  • Recuperação — Cópias de segurança testadas, encriptadas e imutáveis, armazenadas em locais inacessíveis para ransomware — separadas dos sistemas de produção e protegidas contra o comportamento de ataque às cópias de segurança que o ransomware moderno emprega. Os objetivos de tempo de recuperação (RTO) e os objetivos de ponto de recuperação (RPO) devem ser definidos e testados regularmente.

Elemento 8: Planeamento de Resposta a Incidentes

Os incidentes de segurança não são uma questão de "se", mas de "quando". Organizações que possuem planos de resposta a incidentes documentados e testados contêm consistentemente os incidentes mais rapidamente, limitam os danos de forma mais eficaz e recuperam-se mais rapidamente do que aquelas que respondem de forma ad hoc. Um plano de resposta a incidentes eficaz define:

  • Quem é o responsável por cada função na resposta (Comandante de Incidente, líder técnico, líder de comunicação, consultor jurídico, patrocinador executivo)
  • A deteção, classificação e escalonamento de incidentes
  • Manuais específicos para os tipos de incidentes mais prováveis — ransomware, violação de dados, comprometimento de contas, DDoS
  • Procedimentos de comunicação externa para clientes, reguladores e comunicação social.
  • Obrigações de notificação regulamentar e prazos aplicáveis em cada jurisdição
  • Processo de revisão pós-incidente para incorporar lições aprendidas

Elemento 9: Monitorização e Deteção de Ameaças

Uma estratégia de cibersegurança só é eficaz se souber quando está a ser testada. A monitorização contínua fornece a visibilidade necessária para detetar ataques em curso antes que resultem em violações bem-sucedidas. Os componentes centrais de monitorização incluem:

  • Deteção e Resposta em Endpoint (EDR) — Monitorização comportamental contínua em todos os pontos de extremidade geridos com capacidades de resposta automatizadas e geridas por analistas.
  • Segurança da Informação e Gestão de Eventos (SIEM) — Recolha e correlação centralizadas de eventos de segurança em todo o ambiente, permitindo a deteção de padrões de ataque que abrangem múltiplos sistemas.
  • Análise de Tráfego de Rede — Monitorização das comunicações de rede para deteção de movimento lateral, exfiltração de dados e tráfego de comando e controlo.
  • Análise Comportamental de Utilizadores e Entidades (UEBA) — Modelação de base do comportamento normal do utilizador com alertas sobre anomalias que possam indicar contas comprometidas ou ameaças internas.

Elemento 10: Construção de uma Cultura Consciente de Segurança

A estratégia de cibersegurança mais tecnicamente sofisticada é comprometida se as pessoas que nela operam desconhecem as ameaças ou não têm formação em práticas seguras. A cultura de segurança – o grau em que o comportamento consciente da segurança está incorporado na forma como as pessoas trabalham – é um fator de risco e um controlo de risco que deve ser gerido ativamente.

A construção de uma cultura de segurança requer comunicação consistente e relevante sobre segurança — não apenas formação anual de conformidade, mas sim um envolvimento regular que ligue os comportamentos de segurança a exemplos do mundo real, relevantes para as funções e responsabilidades dos colaboradores. Programas de sensibilização para a segurança, simulações de phishing, segurança por conceção nos processos de desenvolvimento de produtos e a modelação de comportamentos seguros pela liderança contribuem todos para uma cultura organizacional onde a segurança é responsabilidade de todos, e não apenas do departamento de TI.

Construir a Sua Estratégia de Cibersegurança com a GLADiiUM

A GLADiiUM Technology Partners trabalha com organizações em Honduras, Panamá, Costa Rica, El Salvador, México, Miami e Porto Rico para desenvolver, implementar e melhorar continuamente estratégias de cibersegurança que abordem o seu cenário de ameaças específico, obrigações regulamentares e requisitos de negócio. A nossa abordagem começa com uma avaliação de segurança abrangente que estabelece a sua postura atual em todos os dez elementos descritos acima, desenvolvendo depois um roteiro priorizado que oferece melhorias mensuráveis em cada fase.

Como seu parceiro MSSP, fornecemos a gestão contínua, a monitorização e a melhoria contínua que mantêm a sua estratégia eficaz à medida que o cenário de ameaças evolui — garantindo que o seu investimento em cibersegurança produz resultados consistentes e mensuráveis ao longo do tempo.

Comece a Construir a Sua Estratégia Hoje

Uma estratégia de cibersegurança robusta não necessita de ser implementada de um dia para o outro — mas é fundamental que comece. Contacte a GLADiiUM Technology Partners para uma Avaliação gratuita de estratégia de cibersegurança para a vossa organização.

Correio eletrónico: [email protected] | [email protected]

Poderá ter interesse em saber...

AVISO DE PRIVACIDADE

 
Última atualização em 27 de outubro de 2022
 
 
 
Este aviso de privacidade para GLADiiUM Technology Partners, Inc. (“Empresa,” “Nós,” “nós,” ou “nosso), descreve como e por que podemos recolher, armazenar, utilizar e/ou partilhar (“processo“) as suas informações quando utiliza os nossos serviços (“Serviços“), como quando você:
  • Visite o nosso sítio web em https://www.gladiium.com, ou qualquer website nosso que se ligue a este aviso de privacidade
 
  • Contacte-nos de outras formas relacionadas, incluindo vendas, marketing ou eventos.
Tem dúvidas ou preocupações? A leitura deste aviso de privacidade irá ajudá-lo a compreender os seus direitos e escolhas de privacidade. Caso não concorde com as nossas políticas e práticas, por favor não utilize os nossos Serviços. Se ainda tiver alguma questão ou preocupação, por favor contacte-nos através do email [email protected].
 
 
RESUMO DOS PONTOS PRINCIPAIS
 
Este resumo fornece os principais pontos do nosso aviso de privacidade, mas pode encontrar mais detalhes sobre qualquer um destes tópicos, clicando na ligação que se segue a cada ponto principal, ou utilizando o nosso índice para encontrar a secção que procura. Pode também clicar Aqui para ir diretamente ao nosso índice.
 
Que informação pessoal processamos? Quando visita, utiliza ou navega nos nossos Serviços, poderemos processar informações pessoais dependendo de como interage com a GLADiiUM Technology Partners, Inc e os Serviços, das escolhas que faz e dos produtos e funcionalidades que utiliza. Clique Aqui para saber mais.
 
Processamos alguma informação pessoal sensível? Não processamos dados pessoais sensíveis.
 
Recebemos alguma informação de terceiros? Não recebemos qualquer informação de terceiros.
 
Como processamos a sua informação? Processamos as suas informações para fornecer, melhorar e administrar os nossos Serviços, para comunicar consigo, para segurança e prevenção de fraudes, e para cumprir a lei. Poderemos também processar as suas informações para outros fins com o seu consentimento. Processamos as suas informações apenas quando temos uma razão legal válida para o fazer. Clique Aqui para saber mais.
 
Em que situações e com que partes partilhamos informações pessoais? Podemos partilhar informações em situações específicas e com terceiros específicos. Clique Aqui para saber mais.
 
Como mantemos as suas informações seguras? Dispomos de processos e procedimentos organizacionais e técnicos para proteger os seus dados pessoais. No entanto, nenhuma transmissão eletrónica pela Internet ou tecnologia de armazenamento de informação pode ser garantida como sendo 100% segura, pelo que não podemos prometer ou garantir que hackers, cibercriminosos ou outras terceiras partes não autorizadas não conseguirão contornar a nossa segurança e recolher, aceder, roubar ou modificar indevidamente as suas informações. Clicar Aqui para saber mais.
 
Quais são os seus direitos? Dependendo da sua localização geográfica, a lei de privacidade aplicável poderá significar que tem certos direitos relativamente às suas informações pessoais. Clique Aqui para saber mais.
 
Como exercita os seus direitos? A forma mais simples de exercer os seus direitos é preenchendo o nosso formulário de pedido de titular de dados disponível Aqui, ou entrando em contacto connosco. Analisaremos e agiremos sobre qualquer pedido de acordo com as leis de proteção de dados aplicáveis.
 
Gostaria de saber mais sobre como a GLADiiUM Technology Partners, Inc utiliza as informações que recolhemos? Clique Aqui para rever o aviso na íntegra.
 
 
ÍNDICE
 
 
1. QUE INFORMAÇÃO RECOLHEMOS?
 
Informações pessoais que nos divulga
 
Em Resumo: Recolhemos informações pessoais que nos faculta.
 
Recolhemos informações pessoais que nos fornece voluntariamente quando expressar interesse em obter informações sobre nós ou os nossos produtos e serviços, quando participa em atividades nos Serviços, ou de outra forma quando nos contacta.
 
 
Informação Pessoal Fornecida por Si. As informações pessoais que recolhemos dependem do contexto das suas interações connosco e dos Serviços, das escolhas que faz e dos produtos e funcionalidades que utiliza. As informações pessoais que recolhemos podem incluir o seguinte:
  • Nomes
 
  • números de telefone
 
  • endereços de e-mail
 
  • Moradas de envio
 
Informações sensíveis. Não processamos informações sensíveis.
 
 
Todas as informações pessoais que nos fornecer deverão ser verdadeiras, completas e exatas, e deverá notificar-nos de quaisquer alterações a essas informações pessoais.
 
 
2. COMO PROCESSAMOS AS SUAS INFORMAÇÕES?
 
Em Resumo: Processamos a sua informação para fornecer, melhorar e administrar os nossos Serviços, comunicar consigo, para fins de segurança e prevenção de fraude, e para cumprir a lei. Poderemos também processar a sua informação para outros fins com o seu consentimento.
 

Processamos as suas informações pessoais por uma variedade de razões, dependendo de como interage com os nossos Serviços, incluindo:

 
  • Para prestar e facilitar a prestação de serviços ao utilizador. Podemos processar a sua informação para lhe fornecer o serviço solicitado.
 
  • Responder a inquéritos de utilizadores/oferecer suporte a utilizadores. Podemos processar a sua informação para responder às suas questões e resolver quaisquer potenciais problemas que possa ter com o serviço solicitado.
 
  • Para lhe enviar informações administrativas. Poderemos processar a sua informação para lhe enviar detalhes sobre os nossos produtos e serviços, alterações aos nossos termos e políticas, e outras informações semelhantes.
  • Para permitir comunicações entre utilizadores. Podemos processar a sua informação caso opte por utilizar alguma das nossas ofertas que permitam a comunicação com outro utilizador.
 
  • Para salvar ou proteger um interesse vital de um indivíduo. Podemos processar a sua informação quando for necessário para salvaguardar ou proteger os interesses vitais de um indivíduo, como por exemplo, para prevenir danos.
 
 
3. EM QUE BASES LEGAIS NOS APOSTAMOS PARA PROCESSAR AS SUAS INFORMAÇÕES?
 
Em Resumo: Processamos as suas informações pessoais apenas quando acreditamos que é necessário e temos um motivo legal válido (ou seja, base legal) para o fazer ao abrigo da lei aplicável, como com o seu consentimento, para cumprir leis, para lhe fornecer serviços, para celebrar ou cumprir as nossas obrigações contratuais, para proteger os seus direitos, ou para cumprir os nossos interesses comerciais legítimos.
 
Se se encontrar na UE ou no Reino Unido, esta secção aplica-se a si.
 
O Regulamento Geral de Proteção de Dados (RGPD) e o RGPD do Reino Unido exigem que expliquemos as bases legais válidas em que nos apoiamos para processar as suas informações pessoais. Assim sendo, podemos apoiar-nos nas seguintes bases legais para processar as suas informações pessoais:
  • Consentimento. Podemos processar as suas informações se nos tiver dado autorização (ou seja, consentimento) para utilizar as suas informações pessoais para um fim específico. Pode retirar o seu consentimento em qualquer altura. Clique em Aqui para saber mais.
 
  • Execução de um Contrato. Poderemos processar os seus dados pessoais quando acreditarmos que tal é necessário para cumprir as nossas obrigações contratuais consigo, incluindo a prestação dos nossos Serviços ou a seu pedido antes de celebrar um contrato consigo.
 
  • Obrigações Legais. Poderemos processar as suas informações quando considerarmos que tal é necessário para o cumprimento das nossas obrigações legais, nomeadamente para cooperar com uma entidade de fiscalização ou agência reguladora, exercer ou defender os nossos direitos legais, ou divulgar as suas informações como prova em litígios nos quais estejamos envolvidos.
 
  • Interesses vitais. Podemos processar as suas informações quando acreditarmos ser necessário para proteger os seus interesses vitais ou os interesses vitais de terceiros, como em situações que envolvam ameaças potenciais à segurança de qualquer pessoa.
 
 
Se se encontrar no Canadá, esta secção aplica-se a si.
 
Podemos processar as suas informações se nos tiver dado autorização específica (ou seja, consentimento expresso) para utilizar as suas informações pessoais para um fim específico, ou em situações em que a sua autorização possa ser inferida (ou seja, consentimento implícito). Pode retirar o seu consentimento em qualquer altura. Clique em Aqui para saber mais.
 
Em alguns casos excepcionais, podemos ser legalmente autorizados pela legislação aplicável a processar as suas informações sem o seu consentimento, incluindo, por exemplo:
  • Se a recolha for claramente do interesse de um indivíduo e o consentimento não puder ser obtido atempadamente
 
  • Para investigações e deteção e prevenção de fraudes
 
  • Para transações comerciais, desde que certas condições sejam cumpridas
 
  • Se estiver contido em uma declaração de testemunha e a recolha for necessária para avaliar, processar ou liquidar um sinistro de seguro.
 
  • Para identificar pessoas feridas, doentes ou falecidas e comunicar com os familiares mais próximos
 
  • Se tivermos motivos razoáveis para acreditar que um indivíduo foi, é ou pode ser vítima de abuso financeiro
 
  • Se for razoável esperar que a recolha e utilização com consentimento comprometa a disponibilidade ou a exatidão das informações e se a recolha for razoável para fins relacionados com a investigação de uma violação de um acordo ou de uma infração à legislação do Canadá ou de uma província
 
  • Se a divulgação for necessária para cumprir uma intimação, mandado, ordem judicial ou regras do tribunal relativas à apresentação de registos
 
  • Caso tenha sido produzido por um indivíduo no âmbito das suas funções, do seu negócio ou da sua profissão e a recolha seja consistente com os fins para os quais a informação foi produzida
 
  • Se a coleção se destinar exclusivamente a fins jornalísticos, artísticos ou literários
 
  • Se a informação for publicamente disponível e se encontrar especificada no regulamento
 
 
4. QUANDO E COM QUEM PARTILHAMOS A SUA INFORMAÇÃO PESSOAL?
 
Em Resumo: Podemos partilhar informações em situações específicas descritas nesta secção e/ou com os seguintes terceiros.
 
 
Poderemos ter de partilhar as suas informações pessoais nas seguintes situações:
  • Transferência de Negócios. Podemos partilhar ou transferir as suas informações em ligação com, ou durante as negociações de, qualquer fusão, venda de activos da empresa, financiamento ou aquisição da totalidade ou de uma parte da nossa atividade a outra empresa.
 
  • Afiliados. Podemos partilhar as suas informações com as nossas afiliadas, caso em que exigiremos que essas afiliadas respeitem este aviso de privacidade. As afiliadas incluem a nossa empresa-mãe e quaisquer subsidiárias, parceiros de joint venture ou outras empresas que controlamos ou que estejam sob controlo comum connosco.
 
 
5. UTILIZAMOS COOKIES E OUTRAS TECNOLOGIAS DE RASTREAMENTO?
 
Em Resumo: Podemos utilizar cookies e outras tecnologias de rastreamento para recolher e armazenar a sua informação.
 
Podemos utilizar cookies e tecnologias de rastreio semelhantes (como web beacons e píxeis) para aceder ou armazenar informações. Para obter informações específicas sobre a forma como utilizamos essas tecnologias e como pode recusar determinados cookies, consulte o nosso Aviso sobre cookies: https://gladiium.com/.
 
6. POR QUANTO TEMPO MANTEMOS AS SUAS INFORMAÇÕES?
 
Em Resumo: Conservamos as suas informações durante o tempo necessário para cumprir as finalidades descritas nesta declaração de privacidade, exceto se exigido por lei.
 
Apenas manteremos as suas informações pessoais durante o tempo necessário para os fins definidos neste aviso de privacidade, a menos que um período de retenção mais longo seja exigido ou permitido por lei (como impostos, contabilidade ou outros requisitos legais).
 
Quando não tivermos uma necessidade legítima contínua de processar as suas informações pessoais, eliminaremos ou anonimizaremos essas informações, ou, se tal não for possível (por exemplo, porque as suas informações pessoais foram armazenadas em arquivos de cópia de segurança), então armazenaremos de forma segura as suas informações pessoais e isolá-las-emos de qualquer processamento posterior até que a eliminação seja possível.
 
7. COMO MANTEMOS AS SUAS INFORMAÇÕES SEGURAS?
 
Em Resumo: Pretendemos proteger as suas informações pessoais através de um sistema de medidas de segurança organizacionais e técnicas.
 
Implementámos medidas técnicas e organizacionais de segurança adequadas e razoáveis, concebidas para proteger a segurança de quaisquer dados pessoais que tratamos. No entanto, apesar das nossas salvaguardas e esforços para garantir a segurança dos seus dados, nenhuma transmissão eletrónica pela Internet ou tecnologia de armazenamento de informação pode ser garantida como 100% segura, pelo que não podemos prometer ou garantir que hackers, cibercriminosos ou terceiros não autorizados não conseguirão contornar a nossa segurança e recolher, aceder, roubar ou modificar indevidamente os seus dados. Embora façamos o nosso melhor para proteger os seus dados pessoais, a transmissão de dados pessoais de e para os nossos Serviços é por sua conta e risco. Deve aceder aos Serviços apenas num ambiente seguro.
 
8. RECOLHEMOS INFORMAÇÕES DE MENORES?
 
Em Resumo: Não recolhemos deliberadamente dados de menores de 18 anos, nem comercializamos para este grupo etário.
 
Não solicitamos intencionalmente dados de ou comercializamos para crianças com menos de 18 anos de idade. Ao utilizar os Serviços, declara que tem pelo menos 18 anos ou que é o pai ou tutor de um menor e que autoriza a utilização dos Serviços por esse menor dependente. Se tivermos conhecimento de que foram recolhidas informações pessoais de utilizadores com menos de 18 anos de idade, desactivaremos a conta e tomaremos medidas razoáveis para eliminar imediatamente esses dados dos nossos registos. Se tiver conhecimento de quaisquer dados que possamos ter recolhido de crianças com menos de 18 anos, contacte-nos através de [email protected].
 
9. QUAIS SÃO OS SEUS DIREITOS DE PRIVACIDADE?
 
Em Resumo: Em algumas regiões, como o Espaço Económico Europeu (EEE), o Reino Unido (RU) e o Canadá, tem direitos que lhe permitem um maior acesso e controlo sobre as suas informações pessoais. Pode rever, alterar ou terminar a sua conta a qualquer momento.
 
Em algumas regiões (como o EEE, Reino Unido e Canadá), beneficia de determinados direitos ao abrigo das leis de proteção de dados aplicáveis. Estes podem incluir o direito (i) de solicitar acesso e obter uma cópia das suas informações pessoais, (ii) de solicitar a retificação ou eliminação; (iii) de restringir o tratamento das suas informações pessoais; e (iv) quando aplicável, à portabilidade dos dados. Em determinadas circunstâncias, poderá também ter o direito de se opor ao tratamento das suas informações pessoais. Pode fazer tal pedido contactando-nos através dos dados de contacto fornecidos na secção “COMO PODE CONTACTAR-NOS SOBRE ESTA NOTIFICAÇÃO?”abaixo.
 
Analisaremos e agiremos sobre qualquer pedido em conformidade com as leis de proteção de dados aplicáveis.
 
Se se encontrar no EEE ou no Reino Unido e acreditar que estamos a processar indevidamente os seus dados pessoais, tem também o direito de apresentar uma queixa junto da autoridade de supervisão de proteção de dados local. Pode encontrar os seus dados de contacto aqui: https://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.
 
Se estiver localizado na Suíça, os contactos das autoridades de proteção de dados estão disponíveis aqui: https://www.edoeb.admin.ch/edoeb/en/home.html.
 
Retirar o seu consentimento: Caso estejamos a basear-nos no seu consentimento para processar a sua informação pessoal, o qual pode ser expresso e/ou implícito, dependendo da legislação aplicável, tem o direito de retirar o seu consentimento a qualquer momento. Pode retirar o seu consentimento a qualquer momento contactando-nos através dos dados de contacto fornecidos na secção “COMO PODE CONTACTAR-NOS SOBRE ESTA NOTIFICAÇÃO?”abaixo.
 
No entanto, tenha em atenção que isto não afectará a legalidade do tratamento antes da sua retirada nem, quando a lei aplicável o permitir, afectará o tratamento das suas informações pessoais efectuado com base em motivos legais de tratamento que não o consentimento.
 
Renunciar a comunicações de marketing e promocionais: Pode cancelar a subscrição das nossas comunicações de marketing e promocionais a qualquer momento, clicando na ligação de cancelamento de subscrição nos e-mails que lhe enviamos, ou contactando-nos através dos dados fornecidos na secção “COMO PODE CONTACTAR-NOS SOBRE ESTA NOTIFICAÇÃO?”Abaixo. Assim, será removido das listas de marketing. No entanto, poderemos continuar a comunicar consigo – por exemplo, para lhe enviar mensagens relacionadas com o serviço que são necessárias para a administração e utilização da sua conta, para responder a pedidos de serviço ou para outros fins não relacionados com marketing.
 
Cookies e tecnologias semelhantes: A maioria dos navegadores Web está definida para aceitar cookies por defeito. Se preferir, pode geralmente optar por configurar o seu navegador para remover cookies e rejeitar cookies. Se optar por remover cookies ou rejeitar cookies, isto poderá afetar certas funcionalidades ou serviços dos Nossos Serviços. Para desativar a publicidade baseada em interesses por anunciantes nos Nossos Serviços, visite http://www.aboutads.info/choices/. Para mais informações, consulte o nosso Aviso sobre cookies: https://gladiium.com/.
 
Se tiver perguntas ou comentários sobre os seus direitos de privacidade, pode enviar-nos um e-mail para [email protected].
 
10. CONTROLOS DAS FUNÇÕES DE NÃO RASTREIO
 
A maioria dos navegadores web e alguns sistemas operativos móveis e aplicações para dispositivos móveis incluem uma funcionalidade ou configuração “Não Rastrear” ("DNT") que pode ativar para sinalizar a sua preferência de privacidade de não permitir que dados sobre as suas atividades de navegação online sejam monitorizados e recolhidos. Nesta fase, não foi finalizado um padrão tecnológico uniforme para o reconhecimento e implementação dos sinais DNT. Como tal, não respondemos atualmente a sinais de navegador DNT ou a qualquer outro mecanismo que comunique automaticamente a sua escolha de não ser rastreado online. Se for adotado um padrão para rastreamento online que sejamos obrigados a seguir no futuro, informaremos sobre essa prática numa versão revista deste aviso de privacidade.
 
11. Os residentes da Califórnia têm direitos de privacidade específicos?
 
Em Resumo: Sim, se for residente na Califórnia, são-lhe concedidos direitos específicos relativos ao acesso às suas informações pessoais.
 
A Secção 1798.83 do Código Civil da Califórnia, também conhecida como lei “Shine The Light”, permite que os nossos utilizadores residentes na Califórnia solicitem e obtenham de nós, uma vez por ano e gratuitamente, informações sobre as categorias de informações pessoais (se existirem) que divulgámos a terceiros para fins de marketing direto e os nomes e moradas de todas as terceiras partes com as quais partilhámos informações pessoais no ano civil imediatamente anterior. Se for residente na Califórnia e desejar fazer tal pedido, envie o seu pedido por escrito para nós, utilizando as informações de contacto fornecidas abaixo.
 
Se tiver menos de 18 anos de idade, residir na Califórnia e tiver uma conta registada nos Serviços, tem o direito de solicitar a remoção de dados indesejados que publique publicamente nos Serviços. Para solicitar a remoção de tais dados, contacte-nos utilizando as informações de contacto fornecidas abaixo e inclua o endereço de e-mail associado à sua conta e uma declaração de que reside na Califórnia. Certificar-nos-emos de que os dados não são apresentados publicamente nos Serviços, mas tenha em atenção que os dados podem não ser removidos de forma completa ou abrangente de todos os nossos sistemas (por exemplo, cópias de segurança, etc.).
 
Aviso de privacidade da CCPA
 
O Código de Regulamentos da Califórnia define um “residente” como:
 
(1) qualquer pessoa que se encontre no Estado da Califórnia para fins não temporários ou transitórios e
(2) qualquer pessoa singular domiciliada no Estado da Califórnia que se encontre fora do Estado da Califórnia para fins temporários ou transitórios
 
Todos os outros indivíduos são definidos como “não residentes”.”
 
Se esta definição de “residente” se aplicar a si, temos de respeitar determinados direitos e obrigações relativamente às suas informações pessoais.
 
Que categorias de informações pessoais recolhemos?
 
Recolhemos as seguintes categorias de informações pessoais nos últimos doze (12) meses:
 
CategoriaExemplosRecolhido
A. Identificadores
Dados de contacto, como nome verdadeiro, pseudónimo, endereço postal, número de telefone ou telemóvel, identificador pessoal único, identificador online, endereço de Protocolo de Internet, endereço de correio eletrónico e nome de conta
 
NÃO
 
B. Categorias de informações pessoais enumeradas no estatuto dos registos de clientes da Califórnia
Nome, informações de contacto, educação, emprego, histórico de emprego e informações financeiras
 
NÃO
 
C. Caraterísticas de classificação protegidas ao abrigo da legislação da Califórnia ou federal
Sexo e data de nascimento
 
NÃO
 
D. Informações comerciais
Informações da transação, histórico de compras, detalhes financeiros e informações de pagamento
 
NÃO
 
E. Informação biométrica
Impressões digitais e impressões vocais
 
NÃO
 
F. Internet ou outra atividade de rede semelhante
Histórico de navegação, histórico de pesquisa, comportamento online, dados de interesse e interações com os nossos e outros websites, aplicações, sistemas e anúncios
 
NÃO
 
G. Dados de geolocalização
Localização do dispositivo
 
NÃO
 
H. Informação áudio, eletrónica, visual, térmica, olfativa ou semelhante
Imagens e gravações de áudio, vídeo ou chamadas criadas em ligação com as nossas atividades comerciais
 
NÃO
 
I. Informações profissionais ou relacionadas com o emprego
Dados de contacto profissional para que possamos prestar os nossos Serviços a um nível empresarial ou cargo profissional, histórico de trabalho e qualificações profissionais caso se candidate a um emprego connosco.
 
SIM
 
J. Informações sobre educação
Registos dos alunos e informações de diretório
 
NÃO
 
K. Inferências retiradas de outras informações pessoais
Inferências retiradas de qualquer uma das informações pessoais recolhidas enumeradas acima para criar um perfil ou resumo sobre, por exemplo, as preferências e caraterísticas de uma pessoa
 
NÃO
 
 
 
Podemos também recolher outras informações pessoais para além destas categorias através de situações em que interaja connosco pessoalmente, online, por telefone ou por correio no contexto de:
  • Receber apoio através dos nossos canais de apoio ao cliente;
 
  • Participação em inquéritos a clientes ou em concursos; e
 
  • Facilitação na prestação dos nossos Serviços e para responder às suas solicitações.
Como utilizamos e partilhamos as suas informações pessoais?
 
Pode encontrar mais informações sobre as nossas práticas de recolha e partilha de dados nesta declaração de privacidade e na nossa Declaração de Cookies: https://gladiium.com/.
 
Pode contactar-nos por e-mail através de [email protected], ou consultando os contactos indicados no final deste documento.
 
Caso esteja a utilizar um agente autorizado para exercer o seu direito de exclusão, poderemos recusar um pedido se o agente autorizado não apresentar prova de que foi validamente autorizado a agir em seu nome.
 
As suas informações serão partilhadas com mais alguém?
 
Podemos divulgar as suas informações pessoais aos nossos prestadores de serviços, ao abrigo de um contrato escrito celebrado entre nós e cada prestador de serviços. Cada prestador de serviços é uma entidade com fins lucrativos que processa as informações em nosso nome.
 
Podemos utilizar as suas informações pessoais para os nossos próprios fins comerciais, como por exemplo para efetuar investigação interna para desenvolvimento tecnológico e demonstração. Isto não é considerado como uma “venda” das suas informações pessoais.
 
GLADiiUM Technology Partners, Inc não divulgou nem vendeu quaisquer dados pessoais a terceiros para fins comerciais ou de negócio nos doze (12) meses anteriores. GLADiiUM Technology Partners, Inc não venderá informações pessoais, no futuro, de visitantes do website, utilizadores e outros consumidores.
 
Os seus direitos em relação aos seus dados pessoais
 
Direito a solicitar a eliminação dos dados — Solicitação de eliminação
 
Pode solicitar a eliminação das suas informações pessoais. Se nos solicitar a eliminação das suas informações pessoais, respeitaremos o seu pedido e eliminaremos as suas informações pessoais, sujeito a certas exceções previstas na lei, como (mas não se limitando a) o exercício por outro consumidor do seu direito à liberdade de expressão, os nossos requisitos de conformidade decorrentes de uma obrigação legal, ou qualquer processamento que possa ser necessário para proteger contra atividades ilegais.
 
Direito de ser informado — Pedido de conhecimento
 
Dependendo das circunstâncias, tem o direito de saber:
  • se recolhemos e utilizamos os seus dados pessoais;
 
  • as categorias de informações pessoais que recolhemos;
 
  • os fins para os quais a informação pessoal recolhida é utilizada;
 
  • se vendemos as suas informações pessoais a terceiros;
 
  • as categorias de informações pessoais que vendemos ou divulgámos para fins comerciais;
 
  • as categorias de terceiros a quem a informação pessoal foi vendida ou divulgada para fins comerciais; e
 
  • o objetivo comercial ou empresarial de recolha ou venda de informações pessoais.
De acordo com a legislação aplicável, não somos obrigados a fornecer ou eliminar informações do consumidor que sejam desidentificadas em resposta a um pedido do consumidor ou a reidentificar dados individuais para verificar um pedido do consumidor.
 
Direito à Não Discriminação no Exercício dos Direitos de Privacidade de um Consumidor
 
Não o discriminaremos se exercer os seus direitos de privacidade.
 
Processo de verificação
 
Após a receção do seu pedido, teremos de verificar a sua identidade para confirmar que é a mesma pessoa sobre a qual possuímos informações no nosso sistema. Estes esforços de verificação exigem que lhe peçamos informações para que possamos compará-las com as que nos forneceu anteriormente. Por exemplo, dependendo do tipo de pedido que submeter, poderemos pedir-lhe para fornecer certas informações para que possamos comparar as informações que fornece com as informações que já temos registadas, ou poderemos contactá-lo através de um método de comunicação (por exemplo, telefone ou e-mail) que nos tenha fornecido anteriormente. Poderemos também utilizar outros métodos de verificação conforme as circunstâncias o ditarem.
 
Apenas utilizaremos as informações pessoais fornecidas no seu pedido para verificar a sua identidade ou autoridade para efetuar o pedido. Na medida do possível, evitaremos pedir-lhe informações adicionais para efeitos de verificação. No entanto, se não conseguirmos verificar a sua identidade a partir das informações já mantidas por nós, podemos pedir-lhe que forneça informações adicionais para efeitos de verificação da sua identidade e para fins de segurança ou prevenção de fraudes. Eliminaremos essas informações adicionais fornecidas assim que terminarmos a verificação da sua identidade.
 
Outros direitos de privacidade
 
  • O utilizador pode opor-se ao tratamento dos seus dados pessoais.
 
  • Poderá solicitar a correção dos seus dados pessoais caso estes estejam incorretos ou já não sejam relevantes, ou pedir a restrição do tratamento da informação.
 
  • Pode designar um agente autorizado para apresentar um pedido ao abrigo do CCPA em seu nome. Poderemos recusar um pedido de um agente autorizado que não apresente prova de que foi validamente autorizado a agir em seu nome em conformidade com o CCPA.
 
  • Pode solicitar a exclusão da futura venda das suas informações pessoais a terceiros. Após a receção de um pedido de exclusão, agiremos com base no pedido o mais rapidamente possível, mas não mais de quinze (15) dias a contar da data de submissão do pedido.
Para exercer estes direitos, pode contactar-nos por correio eletrónico para [email protected], ou consultando os contactos indicados no final deste documento. Se tiver uma reclamação sobre a forma como tratamos os seus dados, gostaríamos de a ouvir.
 
12. AS ATUALIZAÇÕES SERÃO FEITAS NESTE AVISO?
 
Em Resumo: Sim, atualizaremos este aviso conforme necessário para permanecer em conformidade com as leis relevantes.
 
Poderemos atualizar este aviso de privacidade periodicamente. A versão atualizada será indicada por uma data de “Revisão” atualizada e a versão atualizada entrará em vigor assim que for acessível. Se fizermos alterações relevantes a este aviso de privacidade, poderemos notificá-lo quer publicando de forma destacada um aviso dessas alterações, quer enviando-lhe diretamente uma notificação. Incentivamo-lo a rever este aviso de privacidade frequentemente para se manter informado sobre como protegemos as suas informações.
 
13. COMO PODE CONTACTAR-NOS SOBRE ESTE AVISO?
 
Caso tenha alguma dúvida ou comentário sobre este aviso, poderá envie-nos um e-mail para [email protected] ou por correio para:
 
GLADiiUM Technology Partners, Inc
95 Merrick Way, 3º Andar
Coral Gables, FL 33134
Estados Unidos
 
14. COMO PODE REVER, ATUALIZAR OU ELIMINAR OS DADOS QUE RECOLHEMOS SOBRE SI?
 
Tem o direito de solicitar acesso às informações pessoais que recolhemos sobre si, de alterar essas informações ou de as eliminar. Para solicitar a revisão, atualização ou eliminação das suas informações pessoais, por favor, submeta um formulário de pedido clicando em Aqui.
Esta política de privacidade foi criada utilizando a Termly Gerador de Política de Privacidade.