Termos e Serviços

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

1. OBJETIVO

Estabelecer a Política de Segurança da Informação da MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA. (“MEDBLANC”), a fim de garantir confidencialidade, integridade, disponibilidade e privacidades das informações da organização, dos seus clientes, colaboradores e do público em geral.

2. A QUEM SE APLICA A POLÍTICA:

Esta Política é aplicável a todos os Colaboradores da MEDBLANC e, quando aplicável, das Empresas Fornecedoras e qualquer pessoa que venha a fazer uso de informações MEDBLANC.

3. REGRAS DA POLÍTICA:

Segurança da Informação (“SI” ou “Segurança da Informação”) é a proteção da Informação contra vários tipos de ameaças, para garantir a continuidade do negócio, a fim de minimizar riscos. A Segurança da Informação é obtida a partir da implementação de um conjunto de controles, incluindo tecnologia, políticas, processos, procedimentos e a própria estrutura organizacional da empresa. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente, sempre que necessários, e melhorados continuamente para garantir que os objetivos e a segurança da MEDBLANC sejam atendidos.

Internamente, considera-se como informação toda a base de conhecimento, conteúdo, dado, conceito, envio ou recebimento de mensagens, processo ou fato existente, em meio físico ou eletrônico, que compõe documentos e Informações de propriedade, interesse ou posse da MEDBLANC e inclui, mas não se limita a, qualquer dado, material, procedimento, processo, especificações, inovações e aperfeiçoamento técnicos e comerciais que agreguem valor para o negócio da empresa, assim como todas as informações confidenciais dos nossos clientes sob nossa custódia.

3.1 Definições:

3.1.1. Ataques cibernéticos / Cibersegurança: Os ataques cibernéticos mais comuns são:

I. Malware – softwares desenvolvidos para corromper os computadores e redes, como: (i) Vírus: software que causa danos à máquina, rede, softwares e Banco de Dados; (ii) Cavalo de Troia: aparece dentro de outro software criando uma porta para a invasão do computador; (iiI) Spyware: software malicioso para coletar e monitorar o uso de informações; e (iv) Ransomware: software malicioso que bloqueia o acesso aos sistemas e base de dados, solicitando um resgate para que o acesso seja reestabelecido.

II. Engenharia social – métodos de manipulação para obter informações confidenciais, como senhas, Dados Pessoais e número de cartão de crédito, como exemplo: (i) Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento; (ii) Phishing: links vinculados por e‐mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais; (iii) Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais; (iv) Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais; e (v) Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes, a fim de captar qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.

III. Ataques de DDoS (distributed denial of services) e botnets – ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição.

IV. Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

3.1.2. Informações Confidenciais: são consideradas informações confidenciais aquelas, não disponíveis ao público, que:

I. Identifiquem Dados Pessoais ou Patrimoniais.

II. Sejam objeto de acordo de confidencialidade celebrado com terceiros.

III. Identifiquem ações estratégicas cuja divulgação possa prejudicar a gestão dos negócios ou reduzir sua vantagem competitiva.

Não se caracteriza descumprimento desta Política a divulgação de informações confidenciais quando em atendimento a determinações decorrentes do Poder Judiciário ou Legislativo, de órgãos fiscalizadores e reguladores. E quando a divulgação se justificar, por força da natureza do negócio, a advogados, auditores e contrapartes.

3.2. Bases e Referências para A Política de Segurança da Informação

Este documento está fundamentado nos Objetivos de Controle elencados pela norma ABNT NBR ISO/IEC 27002, assim como as publicações NIST e seu Framework de Segurança da Informação.

3.2.1. Os seguintes princípios norteiam a segurança da informação:

I. Confidencialidade: o acesso à informação deve ser obtido somente por pessoas autorizadas e quando ele for de fato necessário, não permitindo disponibilização ou exposição da Informação a indivíduos, entidades ou processos não autorizados expressamente, seja por contratos ou outros instrumentos formais.

II. Integridade: a informação salvaguardando exatidão e completeza das Informações, tal como foram criadas ou recebidas utilizando tecnologias, controles e processos que garantam esse requerimento pelo próprio design dos produtos e sistemas.

III. Disponibilidade: as pessoas autorizadas devem ter acesso à informação sempre que necessário. Os sistemas e Informações pertencentes deverão estar disponíveis para seus clientes, associados e colaboradores, atendendo também a confidencialidade das Informações e integridade de seu conteúdo, formando, assim, uma tríade de Segurança de qualidade superior.

IV. Privacidade: a informação, classificada como pessoal, somente pode ser acessada mediante os critérios de privacidade estabelecidos pela Política de Privacidade da MEDBLANC. A Privacidade é assegurada pela Classificação da Informação. Neste sentido todas as definições de Dados Pessoais privados e Dados Pessoais sensíveis devem estar definidos na Política de Privacidade da MEDBLANC que faz referência e responde aos requisitos da Lei Geral de Proteção de Dados (LGPD).

3.2.2. As seguintes diretrizes devem ser seguidas:

I. Computadores e laptops não devem ser deixados com as sessões de usuário abertos quando não houver um usuário junto e devem ser protegidos por senhas e outros controles quando não estiverem em uso (bloqueio de tela).

II. Manter sistemas e softwares de antivírus ativos, a fim de garantir a proteção dos computadores e laptops.

III. Informações sensíveis ou confidenciais, quando impressas, devem ser retiradas da impressora imediatamente.

IV. Papéis, anotações e lembretes da sua mesa de trabalho devem ser mantidos sempre que possível fora da superfície da mesa (mesa limpa).

V. Qualquer risco ou ocorrência de falha na proteção e na segurança da informação devem ser reportados ao Encarregado de Dados da MEDBLANC:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

3.3. Processos e Controles

3.3.1. Proteção da Informação:
Segurança da Informação está diretamente relacionada a proteção e gestão de riscos da informação que suporta os processos de negócio MEDBLANC. Os processos de negócio são controlados através da gestão da informação e, por isso mesmo, sua proteção é vital para a organização, esteja ela em que formato for (documentos impressos, e-mails, planilhas, arquivos texto e sistemas de informação). A proteção das informações é fator crítico para manter a continuidade dos processos de negócio da MEDBLANC, independentemente de seu formato, uso e origem.

I. Proprietário da Informação:
Toda informação deve possuir um proprietário, que deve ser responsável por sua coleta, uso e armazenamento. O proprietário pode criar, alterar, compartilhar, armazenar e remover a informação, dentro de seu escopo de atuação. Para isso, considera-se proprietário da informação o dono do processo de negócio e/ou do sistema de informação que suporta o processo de negócio que coleta e trata a informação. Mesmo que a informação seja compartilhada (através de qualquer tipo de canal, como: banco de dados, servidor de arquivo, e-mail, etc.) o proprietário continua sendo responsável pelo seu uso.

II. Classificação da Informação:
A classificação da Informação é uma atividade que suporta a Segurança da Informação, pois informações classificadas são mais fáceis de proteger e rastrear. A Classificação da Informação é uma tarefa realizada pelo proprietário da informação. Deve existir uma instrução operacional específica para orientar como deve ser realizada a classificação e através de quais ferramentas. As seguintes classificações de informação estão definidas dentro da MEDBLANC:

I. Pública – é a informação que pode ser acessada por qualquer pessoa, independentemente de seu vínculo com a MEDBLANC.

II. Restrita – é a informação que somente pode ser acessada por um grupo restrito de pessoas, de qualquer nível dentro da MEDBLANC, que precisam se identificar para ter acesso a mesma (autenticação e autorização).

III. Confidencial – é a informação que somente pode ser acessada por um grupo restrito e específico de pessoas de nível gerencial e/ou superior. Esta informação precisa ter controle de versão e os usuários precisam se identificar para ter acesso a mesma (autenticação e autorização).

IV. Pessoal – é a informação relacionada a um indivíduo e/ou pessoa natural e que pode identificá-lo. Seu acesso deve estar relacionado e suportado pela Política de Privacidade da MEDBLANC.

3.3.3. Gestão de Identidades e Acessos: A Gestão de Identidade e Acessos é o complemento da Classificação da Informação para assegurar a Proteção da Informação. Através desta gestão é possível autenticar (identificar) e autorizar (nível de acesso) uma pessoa (usuário) no acesso a uma informação. A Gestão de Identidades e Acessos será realizada pela TI da MEDBLANC, com foco voltado para os processos de segurança associados às identidades e acessos.

3.3.4. Gestão da Continuidade de Negócios: O objetivo da Gestão de Continuidade de Negócios é o de assegurar que, em caso de uma crise nas operações de tecnologia, as operações de negócio da MEDBLANC retornem dentro do tempo esperado, a partir do ponto esperado de retorno. Além do Plano de Continuidade de Negócios, é importante garantir que o mesmo é funcional, testado e mantido atualizado.

3.3.5. Segurança Física e Lógica: A segurança física e lógica é mais um componente da segurança em camadas utilizada pela MEDBLANC. Seu objetivo é controlar primariamente o acesso físico de pessoas em ambientes e o acesso lógico na rede de dados.

3.3.6. Capacitação, Treinamentos e Conscientização: O tema Segurança da Informação é muito abrangente e, ao contrário de tantos outros conhecimentos que fazem parte do dia a dia das pessoas, ele necessita ser constantemente atualizado, pois depende muito do fator humano como fator crítico de sucesso. Para isso, é importante que existam processos formais de conscientização, capacitação e treinamento para todos os colaboradores da MEDBLANC.

3.3.7. Incidentes de Segurança da Informação: Os usuários da MEDBLANC (colaboradores, prestadores de serviços etc.) possuem um importante papel na detecção de vulnerabilidades e em reportar incidentes de segurança da informação. Eles são os primeiros a ver e entender que houve algo fora do normal ou perigoso como materiais confidenciais impressos sobre as mesas de trabalho, documentos eletrônicos perdidos ou alterados indevidamente, ou mesmo computadores ligados, desbloqueados, mas sem usuário por perto ou com mensagens estranhas na tela.

Qualquer risco ou ocorrência de falha na proteção e na segurança da informação devem ser reportados ao Encarregado de Dados da MEDBLANC, através do E-mail: fernandosobrinho@medecin.com.br;

3.3.8. Uso de Redes Sociais: As redes sociais consistem em um tipo de canal de comunicação muito abrangente e utilizado massivamente pelas pessoas de forma geral. Neste sentido, é muito importante que haja uma distinção entre o que é uma comunicação corporativa e uma comunicação pessoal.

A comunicação corporativa é de responsabilidade da área específica corporativas, que utiliza as redes sociais através de acessos específicos, e representam formalmente e oficialmente a opinião e posicionamento da MEDBLANC sobre os assuntos abordados.

A comunicação pessoal, ou seja, o uso das redes sociais de maneira pessoal deve sempre preservar a imagem, confidencialidade e respeito a MEDBLANC. Assim, ela não deve representar ou dar entendimento e/ou sentido que a opinião pessoal é o posicionamento e/ou opinião formal da MEDBLANC. Todo membro da MEDBLANC, que se identifique como tal nas redes sociais, deve ter o cuidado de se expressar, a fim de não dar duplo entendimento ao público em geral que sua opinião representa a opinião da MEDBLANC.

Publicações em redes sociais com abordagem de exposição de assuntos internos, de qualquer tipo, devem ser evitadas, uma vez que existem canais específicos para isso, como por exemplo, a Comunicação Interna.

3.3.9. Uso de Plataformas de Comunicação: A MEDBLANC possui várias formas e plataformas de comunicação que estão à disposição de todos os usuários, sendo assim, para todo assunto corporativo deve-se utilizar única e exclusivamente estas plataformas. Além de manter a segurança, confidencialidade e privacidade das informações, estas plataformas são constantemente atualizadas e monitoradas com o objetivo de manter a comunicação eficiente, abrangente e objetiva.

As principais plataformas de comunicação da MEDBLANC são: E-mail Corporativo, Sistemas e Softwares de utilização interna, Telefonia fixa e móvel, Google Meets, Whatapp, Zoom.

I. WhatsApp: O WhatsApp na MEDBLANC tem diversas aplicações, como comunicação entre pessoas de uma equipe (área de trabalho), entre pessoas de um grupo específico multidisciplinar, no contato com pessoas externas, como clientes, fornecedores etc. Em todos estes casos é importante respeitar o item – Uso de Equipamentos Pessoais e o item – Uso de Redes Sociais desta política.

II. E-mail Pessoal: O uso do e-mail pessoal do usuário não é permitido dentro da rede de dados corporativo da MEDBLANC assim como não é permitido seu uso para a troca de mensagens corporativas. Os sistemas de proteção de e-mails da MEDBLANC estão baseados no e-mail corporativo qualquer outro tipo de serviço de e-mail pode trazer risco de infecção na rede de dados corporativa por softwares maliciosos, assim como caracteriza vazamento de dados.

Todas as informações corporativas devem trafegar dentro das plataformas corporativas de comunicação e colaboração disponíveis na solução que a MEDBLANC faz uso. O e-mail pessoal deve ser utilizado apenas nos equipamentos pessoais.

III. Arquivos Pessoais: O uso de arquivos pessoais, como músicas, vídeos, fotos, documentos não é permitido nos equipamentos e instalações corporativas da MEDBLANC. Seu uso pode sobrecarregar os serviços de armazenagem de arquivos, como por exemplo o Microsoft OneDrive, assim como gerar riscos associados a questões de direitos (autorais, intelectuais, trabalhistas e outros) ou mesmo de uso indevido (pirataria) de software de terceiros.

III. Tela Limpa e Mesa Limpa: Devido as informações estarem nos mais variados formatos (impressa, digital, áudio, etc.), é mandatório que os usuários preservem a integridade, disponibilidade e principalmente a confidencialidade da mesma. Para isso, a MEDBLANC está adotando o conceito de Tela Limpa e Mesa Limpa.

Tela Limpa significa que o usuário deve manter as aplicações, documentos e qualquer outro material organizado, evitando duplicações e exposição desnecessária.

Mesa Limpa significa que ao final do expediente a mesa do usuário está organizada, sem documentos com informações sensíveis expostos, mas guardados em gavetas, assim como, todo o ambiente deve estar organizado e devidamente limpo.

IV. Uso e acesso à Internet: Qualquer informação que seja acessada, transmitida, recebida ou produzida na Internet está sujeita à divulgação e auditoria. Portanto, a MEDBLANC, em estrita observância à legislação aplicável, reserva-se ao direito de monitorar e registrar os acessos à rede mundial de computadores.

O acesso à Internet será autorizado estritamente para o uso profissional e desde que esteja relacionado ao desempenho das atividades a serem desenvolvidas pelos funcionários e/ou colaborador da MEDBLANC. Não é permitido instalar programas provenientes da Internet nos Notebooks e Desktops da MEDBLANC, sem expressa anuência da área de Tecnologia da Informação – TI. Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licença de uso ou patentes de terceiros.

Quando navegando na Internet, é proibido a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sites:

De conteúdo pornográfico ou relacionado a sexo.
Que defendam atividades ilícitas (e.g. Terrorismo, uso de substâncias ilegais, etc.).
Que menosprezem, depreciem ou incitem o preconceito a determinadas classes.
Que promovam a participação em salas de discussão de assuntos não relacionados aos negócios da MEDBLANC.
Que promovam discussão pública sobre os negócios da MEDBLANC, exceto se autorizado pela Diretoria;
Que possibilitem a distribuição de informações de nível “Confidencial”.
Que permitam a transferência (downloads) de arquivos e/ou programas não autorizados e/ou homologados.
Transferência (downloads) de arquivos de áudio e vídeo, como músicas (em seus vários formatos, como MP3, WAV, etc.) e vídeos (em seus vários formatos, como MP4, AVI, etc.). Caso o usuário necessite acesso a conteúdo de áudio e/ou vídeos, deve entrar em contato com a Gerência de Segurança da Informação da MEDBLANC.

V. Gestão de Riscos: A Gestão de Riscos inicia com uma avaliação de riscos e a implementação de controles baseados nos riscos, levando em consideração o ambiente de controle da Empresa, suas atividades, processos e clientes. A avaliação de riscos deve ser atualizada de forma a identificar novos riscos, ativos e processos.

A gestão de Riscos deve contemplar monitoramento e testes com o objetivo de detectar as ameaças e reforçar os controles, bem como criação de Plano de Resposta que é o planejamento prévio para tratamento e recuperação de incidentes, incluindo um plano de comunicação.

VI. Propriedade Intelectual: Tecnologias, marcas, metodologias e quaisquer informações que pertençam as Empresas da MEDBLANC não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio Colaborador em seu ambiente de trabalho.

VII. Rastreamento: É permitido o uso pessoal dos equipamentos de informática e de comunicação utilizados pelos colaboradores para a realização das atividades profissionais. Lembrando que, como tais recursos (e‐mails, sistemas, computadores e telefones) pertencem à MEDBLANC, eles são rastreáveis e podem ser sujeitos a monitoramento, bem como podem se tornar públicos em caso de auditoria e/ou exigência judicial.

O acesso interno às informações deve ser previamente autorizado pelo “Gestor Responsável”.

VIII. Descarte de Dados Pessoais: As áreas de negócio devem criar processos seguros para descarte de Dados Pessoais sejam eles, digitais ou físicos.

Exclusão de dados digitais deve acontecer sempre que os dados não forem mais necessários ao negócio, desde que alinhado com as demais áreas evitando apagar dados ainda úteis em outra área ou processo, minimizando o risco que violação de Dados Pessoais.

Os documentos ou arquivos em papel ou outro meio físico que contenham Dados Pessoais e não forem mais necessários ao processo, devem ser picotados antes do descarte ou enviados a um fornecedor de serviço apropriado cercado por um contrato com cláusulas de privacidade, confidencialidade e responsabilização.

As mídias físicas (HD, SSD, Pen drive, DVD, CD, Cartão de memória, Memórias de impressora, Celulares, Tablets e outros) não devem ser descartadas sem que sejam tomados os cuidados de apagar os dados ou desmagnetizar as mídias antes de enviar para destruição.

As terceiras contratadas para recolhimento e destruição das mídias, devem estar ligadas a MEDBLANC através de contrato de prestação de serviço com cláusulas de confidencialidade e privacidade de dados.

IX. Termo de Conhecimento: Os Colaboradores devem aderir formalmente a um termo (anexo a esta política), comprometendo‐se a agir de acordo com a política de Segurança da Informação.

4. ORGANIZAÇÃO À POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

São atribuições específicas para o Encarregado de Dados em ralação à Organização da Política de Segurança da Informação:

Revisões da Política de Segurança da Informação da MEDBLANC, o qual servirá como guia para as ações de educação e difusão cultural do tema de Segurança da Informação e os controles técnicos aplicáveis;
Revisão das ações educacionais já existentes MEDBLANC, como treinamento específico sobre SI para novos colaboradores além de iniciativas recorrentes de atualização para os demais colaboradores;
Revisão dos procedimentos para continuidade dos negócios;
Fomento à cultura de Segurança da Informação dentro da MEDBLANC e em toda a cadeia de relacionamentos incluindo, Clientes, Fornecedores, Parceiros de Negócios e Colaboradores.

5. RESPONSABILIDADES

5.1. Os colaboradores devem atender às diretrizes e procedimentos estabelecidos nesta Política, informando qualquer irregularidade ao Encarregado de Dados da MEDBLANC, a quem caberá avaliar e, se for o caso, tomará as medidas cabíveis.

5.2. Ao Encarregado de Dados da MEDBLANC é atribuída a implementação dos procedimentos e controles técnicos inerentes a esta Política, bem como pelos testes de controle, podendo ser realizados por terceiros, independentes. O Encarregado também deve garantir o atendimento a esta Política, bem como a difusão de uma cultura de segurança na Empresa.

6. CONTATO

6.1. Para maiores informações e/ou dúvidas, entrar em contato com o Encarregado de Dados MEDBLANC:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

ANEXO
Termo de Conhecimento da Política de Segurança da Informação

NOME:
ÁREA:
CARGO:
CPF:

Declaro que tenho conhecimento da Política de Segurança da Informação e que estou ciente do seu teor, que está diretamente ligado ao exercício de minhas funções.

De acordo com este termo, comprometo‐me a:

a) Adotar e cumprir as diretrizes indicadas na política;

b) Comunicar imediatamente ao Encarregado de Dados da MEDBLANC qualquer violação dessa política que venha a tornar‐se do meu conhecimento,
independentemente de qualquer juízo individual, materialidade ou relevância da violação.

Estou ciente de que meus acessos físicos, lógicos, de voz e de imagem podem ser objeto de monitoramento.

Desde já, aceito incondicionalmente, sempre que solicitado, atender e cumprir quaisquer novos itens e condições que possam vir a ser considerados partes integrantes desta Política, sem a necessidade de apor assinatura em novo termo, bem como em caso de negligência ou imprudência na aplicação desta Política, tenho total ciência da responsabilidade disciplinar que recairá sobre tal inobservância.

__________________________, ______ de ___________________ de 20_____
(local)

_____________________________
Assinatura do Colaborador

TERMO DE RESPONSABILIDADE DE TRATAMENTO DE DADOS

Eu, ______________________________, portador da cédula de RG nº ________________________________________, inscrito no CPF/MF sob o nº ____________________________, inscrito no CRM/XX sob o nº _______________________________________________, residente e domiciliado na _______________________________________________, _______-__, ________-___ – CEP ________________-_________.

Comprometo-me a manter a confidencialidade dos dados coletados nos (arquivos/prontuários/banco), bem como com a privacidade de seus conteúdos.

Declaro ter ciência que, por meio da relação que possuo junto à MEDBLANC GESTAO EM SAUDE E IMAGEM LTDA., terei acesso a dados que são considerados pela Lei nº 13.709/2018 como sensíveis, nos termos do art. 5º, II, comprometendo-me a guardá-los e somente os utilizar para os fins descritos na Lei n º 13.709/2018.

Declaro entender que é minha a responsabilidade de cuidar da integridade das informações e de garantir a confidencialidade dos dados e a privacidade dos indivíduos que terão suas informações acessadas.

Também é minha a responsabilidade de não repassar os dados coletados ou o banco de dados em sua íntegra, ou parte dele, às pessoas não envolvidas na equipe.

Comprometo-me a utilizar de forma adequada todas as informações as quais tiver acesso nas unidades de atendimento.

Declaro, ainda, estar ciente de minha responsabilidade por vazamentos de dados, nos termos do art. 42 da Lei nº13.709/2018, e das penalidades expostas no art. 52 da legislação aplicável.

Por fim, comprometo-me com a guarda, cuidado e utilização das informações apenas para cumprimento das minhas atividades perante a MEDBLANC GESTAO EM SAUDE E IMAGEM LTDA.

[Cidade]/[Estado], ______________________________________________________

___________________________________________________________

[NOME]

PLANO DE RESPOSTA A INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS

O presente Plano de Resposta a Incidentes de Segurança com Dados Pessoais da MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA (“Política”) é vigente por tempo indeterminado. A MEDBLANC se reserva no direito de alterar esta Política a qualquer momento, sem aviso prévio.

A MEDBLANC está comprometida em assegurar a privacidade dos Dados Pessoais coletados para realização das suas atividades empresariais, bem como cumprir a Lei Geral de Proteção de Dados (Lei nº 13.709/18) e regulamentos aplicáveis sobre o tratamento de Dados Pessoais, incluindo Dados Pessoais Sensíveis, e de Segurança da Informação, tais como a ISSO/IEC 27002.

Quaisquer dúvidas sobre a legislação aplicável e sobre processos que envolvam o tratamento de Dados Pessoais ou sobre a Segurança da Informação da MEDBLANC deverão ser direcionadas ao “Encarregado de Dados”, cuja função é a supervisão da Política de Dados.

1. OBJETIVO:

Este plano tem como objetivo estabelecer diretrizes e procedimentos para a resposta a incidentes de segurança que envolvam dados pessoais, garantindo uma ação rápida e eficaz na mitigação de impactos e conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) e outras normas aplicáveis. Além disso, o plano está integrado ao Relatório de Impacto à Proteção de Dados Pessoais (RIPD), garantindo uma avaliação contínua dos riscos e medidas corretivas.

2. ESCOPO:

Este plano se aplica a todos os incidentes relacionados a dados pessoais coletados, armazenados, processados ou compartilhados pela MEDBLANC, incluindo:

Dados de clientes, colaboradores, prestadores de serviço e terceiros.
Incidentes ocorridos em ambientes internos, sistemas em nuvem e dispositivos móveis.
Vazamentos de informações sensíveis ou acessos indevidos.
Qualquer evento que possa comprometer a confidencialidade, integridade e disponibilidade dos dados pessoais.

3. DEFINIÇÕES:

Incidente de Segurança com Dados Pessoais: Evento que compromete ou pode comprometer a proteção dos dados pessoais sob custódia MEDBLANC.
Dados Pessoais Sensíveis: Dados que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados biométricos, dados sobre saúde ou vida sexual.
Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Documento que descreve os riscos e medidas corretivas adotadas após um incidente.
Notificação à ANPD: Comunicação obrigatória à Autoridade Nacional de Proteção de Dados em caso de incidentes de alto risco.
RTO (Recovery Time Objective): Tempo máximo permitido para restaurar um sistema após um incidente.
RPO (Recovery Point Objective): Tempo máximo de perda de dados aceitável em um incidente de TI.

4. PROCESSO DE RESPOSTA DE INCIDENTES:

DETECÇÃO DO INCIDENTE:

Qualquer colaborador ou terceiro que identifique um incidente deve comunicá-lo imediatamente ao DPO e à Equipe de Segurança da Informação.
Ferramentas de monitoramento devem ser configuradas para alertar tentativas de acessos indevidos e atividades suspeitas.

CLASSIFICAÇÃO DO INCIDENTE:

O incidente será classificado conforme sua gravidade:
Baixo impacto: Acesso indevido interno sem exposição de dados sensíveis.
Médio impacto: Vazamento limitado de dados, com risco moderado de comprometimento.
Alto impacto: Exposição massiva de dados pessoais ou sensíveis, exigindo notificação da ANPD e comunicação com titulares.

CONTENÇÃO E MITIGAÇÃO:

Bloquear acessos não autorizados e corrigir vulnerabilidades exploradas.
Revogar credenciais comprometidas e isolar sistemas afetados.
Implementar medidas emergenciais para impedir novos impactos.

ANÁLISE E INVESTIGAÇÃO:

Coletar evidências para determinar a causa raiz do incidente.
Avaliar os impactos sobre os titulares dos dados e as operações da empresa.
Verificar possíveis brechas de conformidade com a LGPD.

COMUNICAÇÃO E NOTIFICAÇÃO:

Se o incidente representar risco relevante aos titulares dos dados, a ANPD e os afetados deverão ser notificados em até 72 horas.
A comunicação com os titulares dos dados deverá ser clara e objetiva, informando:
- O tipo de incidente ocorrido.
- Os dados afetados.
- Medidas adotadas para mitigar o dano.
- Recomendações para os titulares se protegerem.
- A equipe de comunicação corporativa deverá ser envolvida para gestão de crises, se necessário.

RECUPERAÇÃO E AJUSTES:

Restaurar os dados afetados conforme o Plano de Backup e Recuperação.
Implementar correções de segurança e medidas adicionais para evitar recorrência do incidente.
Atualizar documentação e realizar treinamentos para evitar futuras ocorrências.
Garantir que dados expostos ou comprometidos sejam excluídos ou anonimizados de maneira segura.

APRENDIZADO E MELHORIA CONTÍNUA:

Conduzir uma reunião de revisão do incidente para documentar lições aprendidas.
Revisar políticas e procedimentos conforme necessidades identificadas.
Atualizar ferramentas de detecção e resposta a ameaças.
Realizar simulações e testes de resposta a incidentes pelo menos duas vezes por ano.

5. RESPONSABILIDADES:

DPO (Encarregado de Proteção de Dados):

Coordenar a resposta ao incidente.
Garantir a comunicação com ANPD e titulares de dados.
Realizar auditoria do ocorrido e sugerir melhorias.

Equipe de Segurança da Informação:

Detectar e mitigar ameaças.
Implementar soluções de segurança para evitar novos incidentes.
Manter registros e evidências do incidente.

Gestores de Área:

Garantir que os procedimentos de segurança sejam seguidos em suas respectivas áreas.
Reportar falhas e vulnerabilidades identificadas.

6. REVISÃO E ATUALIZAÇÕES:

Este documento deve ser revisado anualmente ou sempre que houver mudanças significativas na infraestrutura de TI ou nos processos de negócio.

Este documento deve ser lido, interpretado e aplicado em conjunto com os demais documentos de Segurança da Informação e Proteção de Dados da MEDBLANC, especialmente:

Política de Privacidade.
Política de Backup.
Política de Cookies.
Política de Segurança da Informação.
Política de Controle de Acessos.

7. CONTATO:

A MEDBLANC disponibiliza ao Titular de Dados, Operadores de Dados e qualquer outra pessoa, de forma gratuita, canal de comunicação e atendimento exclusivo para questões relacionadas à Privacidade e Proteção de Dados Pessoais.

A MEDBLANC possui um Encarregado de Dados, a quem caberá colaborar para a estratégia de privacidade dos Dados Pessoais tratados pela empresa. O Encarregado de Dados estará responsável de responder e atender aos Titulares de Dados e à ANPD. Todas as questões relacionadas ao tema Privacidade e Proteção de Dados Pessoais deverão ser direcionadas ao Encarregado de Dados:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

8. HISTÓRICO DE REVISÕES:

Versão	Data	Descrição	Responsável
1.0
1.1
1.2

Esta política deve ser revisada anualmente ou quando houver mudanças significativas nos processos de TI.

POLÍTICA DE BACKUP

A presente Política de Backup da MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA. (“Política”) é vigente por tempo indeterminado. A MEDBLANC se reserva no direito de alterar esta Política a qualquer momento, sem aviso prévio.

1. OBJETIVO:

Esta política estabelece diretrizes para a gestão de backup de dados e sistemas da MEDBLANC, garantindo a integridade, disponibilidade e recuperação de informações críticas. O objetivo é minimizar riscos associados à perda de dados, garantir a continuidade dos serviços e estar em conformidade com as melhores práticas de segurança da informação e normas regulatórias, como ISO/IEC 27002, NIST e LGPD. Além disso, os backups fazem parte do Plano de Continuidade de Negócios (BCP) e do Plano de Resposta a Incidentes, assegurando que, em caso de falha grave, a recuperação dos sistemas ocorra dentro dos prazos estabelecidos.

2. ESCOPO:

Aplica-se a todos os sistemas, bancos de dados, arquivos, aplicações e informações digitais armazenadas nos servidores, estações de trabalho e serviços em nuvem da MEDBLANC, incluindo:

Dados operacionais e administrativos;
Sistemas críticos de negócio;
Registros financeiros e contábeis;
Informações sensíveis de clientes e colaboradores;
Infraestrutura de TI, incluindo redes e configurações de sistemas;
Backups imutáveis para proteção contra ransomware.

3. DEFINIÇÕES:

Backup Completo: Cópia integral de todos os dados armazenados em um determinado ambiente.
Backup Incremental: Cópia apenas dos dados que foram modificados desde o último backup realizado.
Backup Diferencial: Cópia de todas as alterações desde o último backup completo.
Retenção de Backup: Período pelo qual as cópias de backup são armazenadas antes de serem substituídas.
Disaster Recovery (Recuperação de Desastres): Conjunto de processos para recuperação dos sistemas em caso de falha catastrófica.
RTO (Recovery Time Objective): Tempo máximo permitido para restaurar um sistema após um incidente.
RPO (Recovery Point Objective): Tempo máximo de perda de dados aceitável em um incidente de TI.
Backup Imutável: Backup protegido contra exclusão e alteração, garantindo proteção contra-ataques de ransomware.

4. PRINCÍPIOS GERAIS:

Disponibilidade: Backups devem ser armazenados em locais distintos para garantir recuperação em caso de falha no ambiente principal.
Integridade: Testes periódicos devem ser realizados para verificar a validade e recuperabilidade dos backups.
Segurança: Cópias de backup devem ser criptografadas e protegidas contra acessos não autorizados, incluindo autenticação multifator (MFA).
Retenção: Períodos de armazenamento dos backups devem ser definidos conforme requisitos regulatórios e operacionais.
Monitoramento: Todas as operações de backup devem ser registradas e auditadas regularmente, utilizando ferramentas de SIEM (Security Information and Event Management) para análise de atividades suspeitas.

5. RESPONSABILIDADES:

1. Equipe de TI:

Garantir a execução dos backups conforme cronograma estabelecido.
Monitorar a eficácia do processo de backup e restaurar dados conforme necessário.
Realizar testes periódicos de recuperação de backup.
Manter documentação atualizada sobre os procedimentos de backup e restauração.
Configurar backups imutáveis para proteção contra-ataques cibernéticos.

2. Gestores da Área:

Definir quais informações são críticas para suas respectivas áreas e devem ser incluídas no backup.
Notificar a equipe de TI sobre quaisquer mudanças nos sistemas ou dados que possam impactar a estratégia de backup.

3. Usuários:

Armazenar documentos e informações críticas nos diretórios designados para backup.
Reportar qualquer perda ou corrupção de dados imediatamente.

6. PROCEDOMENTOS DE BACKUP:

1. Execução do Backup:

Backups completos devem ser realizados semanalmente.
Backups diferenciais ou incrementais devem ser realizados diariamente.
Os backups devem ser armazenados em três locais distintos: local, nuvem e offsite.
Implementação de backups imutáveis para dados críticos.

2. Testes de Recuperação:

Testes de recuperação devem ser realizados mensalmente.
Simulações de desastre devem ocorrer pelo menos uma vez por semestre.
Auditorias regulares devem verificar a consistência e integridade dos backups.

3. Retenção de Backups:

Backups operacionais devem ser armazenados por pelo menos 90 dias.
Backups financeiros e regulatórios devem ser mantidos conforme legislação vigente.
Backups de logs de auditoria devem ser armazenados por no mínimo 1 ano.
Backups imutáveis devem seguir retenção de longo prazo para mitigação de ataques.

7. CONTROLES DE SEGURANÇA:

1. Criptografia:

Todos os backups devem ser criptografados antes do armazenamento

2. Controle de Acesso:

Apenas pessoal autorizado pode acessar, modificar ou restaurar backups.
Acesso a backups críticos deve requerer autenticação multifator (MFA).

3. Monitoramento Contínuo:

Falhas de backup devem ser registradas e investigadas.
Alertas automáticos devem ser configurados para identificar falhas ou acessos suspeitos.

4. Registro de Auditoria:

Todas as operações de backup devem ser documentadas e passíveis de auditoria.
Logs de acesso devem ser armazenados em backups imutáveis.

8. CONFORMIDADE E PENALIDADES:

O não cumprimento desta política pode resultar em:
– Advertência formal.
– Penalidades disciplinares.
– Ações legais cabíveis.
Esta política será auditada regularmente para garantir sua eficácia.
O descumprimento intencional pode resultar em desligamento por justa causa.

9. REVISÃO E ATUALIZAÇÃO:

Esta política deve ser revisada anualmente ou sempre que houver mudanças significativas na infraestrutura de TI ou nos processos de negócio.

Esta Política deve ser lida, interpretada e aplicada em conjunto com os demais documentos de Segurança da Informação e Proteção de Dados da MEDBLANC, especialmente:

Política de Privacidade.
Política de Controle de Acessos.
Política de Cookies.
Política de Segurança da Informação.
Plano de Resposta a Incidentes de Segurança com Dados Pessoais.

10. CONTATO:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

11. HISTÓRICO DE REVISÕES:

Versão	Data	Descrição	Responsável
1.0
1.1
1.2

Esta política deve ser revisada anualmente ou quando houver mudanças significativas nos processos de TI.

POLÍTICA DE CONTROLE DE ACESSOS

1. OBJETIVO:

Esta política estabelece diretrizes e procedimentos para o gerenciamento de acessos aos sistemas, aplicações e recursos de TI, alinhada às melhores práticas do ITIL (Information Technology Infrastructure Library) e às exigências da LGPD. O objetivo principal é garantir a integridade, confidencialidade e disponibilidade das informações, reduzindo os riscos de acessos indevidos e fortalecendo a postura de segurança da empresa. Além disso, esta política visa garantir rastreabilidade e eficiência operacional, assegurando que apenas usuários devidamente autorizados possam acessar recursos críticos, minimizando riscos associados a violações de dados e fortalecendo a governança de acessos.

2. ESCOPO:

Aplica-se a todos os colaboradores, terceiros e prestadores de serviços que necessitem de acesso aos recursos de TI da organização, abrangendo:

Sistemas operacionais;
Redes internas e externas;
Aplicações corporativas;
Bancos de dados;
Dispositivos móveis e endpoints;
Serviços em nuvem;
Infraestrutura física e digital que armazene ou processe dados corporativos;
Ambientes de desenvolvimento, homologação e produção;
Data centers e ambientes críticos de TI.

3. DEFINIÇÕES:

Usuário: Qualquer pessoa que necessite de acesso aos recursos de TI.
Gestor: Responsável por aprovar solicitações de acesso de sua equipe, garantindo conformidade com os requisitos de segurança.
Administrador: Profissional de TI responsável pela implementação, monitoramento e revogação de acessos.
Recurso de TI: Sistemas, aplicações, bases de dados, equipamentos de rede e infraestrutura tecnológica.
Acesso privilegiado: Níveis de acesso que concedem permissões administrativas ou de alto impacto sobre dados e sistemas críticos.
Auditoria de acessos: Processo contínuo de monitoramento e revisão dos acessos concedidos, garantindo conformidade e minimizando riscos de segurança.
Segregação de funções: Prática que impede que um único usuário tenha permissões conflitantes que possam comprometer a segurança das informações.
Autenticação multifatorial (MFA): Mecanismo que exige múltiplos fatores de autenticação para aumentar a segurança do acesso aos sistemas.

4. PRINCIPIOS GERAIS:

Menor Privilégio: Os usuários devem receber apenas os acessos necessários para desempenhar suas funções, evitando privilégios excessivos e desnecessários.
Segregação de Funções: O acesso a sistemas críticos deve ser dividido entre diferentes usuários para minimizar riscos de fraudes ou falhas operacionais.
Autenticação Forte: O uso de autenticação multifatorial (MFA) é obrigatório para acessos a sistemas críticos, dados sensíveis e acessos remotos.
Auditoria e Monitoramento: Todos os acessos devem ser registrados, monitorados e revisados periodicamente para detectar atividades suspeitas.
Revisão Contínua: Os acessos devem ser revisados trimestralmente, com ajuste imediato caso o usuário mude de função ou saia da organização.
Responsabilidade Compartilhada: Cada usuário é responsável por proteger suas credenciais e relatar qualquer comportamento suspeito.
Monitoramento de Riscos: A equipe de Segurança da Informação deve continuamente monitorar e relatar incidentes ou ameaças potenciais relacionadas a acessos.
Política de Controle de Acessos Físicos: Ambientes críticos, como data centers, salas de servidores e repositórios de documentação sensível, devem possuir controles físicos rigorosos de acesso, incluindo autenticação biométrica e registros de entrada e saída.

5. RESPONSABILIDADES:

1. Área de TI:

Implementar, monitorar e manter os controles de acesso.
Executar auditorias regulares para validar conformidade com a política.
Documentar todas as solicitações, aprovações e revogações de acesso.
Proteger a infraestrutura contra acessos não autorizados.
Manter registros detalhados de acessos concedidos e revogados.
Implementar ferramentas de análise de comportamento para detectar atividades suspeitas.

2. Gestores:

Avaliar e aprovar solicitações de acesso baseando-se na necessidade do cargo.
Garantir que os acessos estejam alinhados com a função do colaborador.
Solicitar a revogação de acessos quando não forem mais necessários.
Participar das auditorias de revisão de acessos.
Garantir que novos colaboradores passem por treinamentos sobre segurança de acessos.
Validar acessos a dados sensíveis em conjunto com a equipe de Segurança da Informação.

3. Usuários

Manter suas credenciais seguras e utilizar autenticação forte.
Reportar imediatamente qualquer anomalia ou atividade suspeita.
Não compartilhar senhas ou credenciais de acesso.
Utilizar os acessos concedidos apenas para finalidades profissionais aprovadas.
Participar dos treinamentos obrigatórios de segurança cibernética e proteção de acessos.

6. PROCEDIMENTOS DCE CONTROLE DE ACESSO:

1. Solicitação de Acesso:

Todas as solicitações devem ser formalizadas via sistema de tickets ou formulário.
O gestor imediato deve aprovar antes da implementação.
A equipe de Segurança da Informação deve validar solicitações sensíveis antes da concessão do acesso.
O prazo máximo para concessão de acessos não deve ultrapassar 48 horas úteis.

2. Revisão e Monitoramento:

Revisões trimestrais são conduzidas para eliminar acessos desnecessários.
Relatórios de acessos são gerados para análise da equipe de Segurança da Informação.
Registros detalhados de tentativas de acessos não autorizados devem ser revisados regularmente.
Ferramentas de SIEM (Security Information and Event Management) serão utilizadas para monitoramento contínuo.

3. Revogação de Acesso:

Desligamento ou mudança de função exige remoção imediata de acessos.
Acesso temporário deve ter data de expiração previamente definida.
Auditoria pós-revogação deve garantir que o usuário não mantenha acessos indevidos.
A revogação de acessos deve ocorrer no prazo máximo de 24 horas após o desligamento do colaborador.

7. CONFORMIDADE E PENALIDADES:

O não cumprimento desta política pode resultar em:
– Advertência formal.
– Suspensão temporária de acessos.
– Medidas disciplinares.
– Ações legais cabíveis.
A conformidade com esta política será auditada regularmente para garantir sua eficácia.
O descumprimento intencional pode acarretar em desligamento por justa causa.
O compartilhamento não autorizado de credenciais será tratado como violação grave de segurança.

8. REVISÃO E ATUALIZAÇÃO:

Esta política deve ser revisada anualmente ou sempre que houver mudanças significativas na infraestrutura de TI ou nos processos de negócio.

Esta Política deve ser lida, interpretada e aplicada em conjunto com os demais documentos de Segurança da Informação e Proteção de Dados da Medblanc, especialmente:

Política de Privacidade.
Política de Backup.
Política de Cookies.
Política de Segurança da Informação.
Plano de Resposta a Incidentes de Segurança com Dados Pessoais.

9. CONTATO:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

10. HISTÓRICO DE REVISÕES:

Versão	Data	Descrição	Responsável
1.0
1.1
1.2

Esta política deve ser revisada anualmente ou quando houver mudanças significativas nos processos de TI.

POLÍTICA DE COOKIES

MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA. (“MEDBLANC”) está comprometida em assegurar a privacidade dos Dados Pessoais coletados para realização das suas atividades empresariais, bem como cumprir a Lei Geral de Proteção de Dados (Lei nº 13.709/18), Política de Privacidade da Medblanc Gestão em Saúde e Imagem LTDA. e regulamentos aplicáveis sobre o tratamento de Dados Pessoais.

Quaisquer dúvidas sobre a legislação aplicável e sobre processos que envolvam o tratamento de Dados Pessoais pela MEDBLANC, deverão ser direcionadas ao Encarregado de Dados da MEDBLANC – telefone: (41) 3093-730, e-mail: fernandosobrinho@medecin.com.br.

1. DEFINIÇÃO:

Os cookies são uma espécie de arquivo criado a partir do acesso do usuário ao Site da MEDBLANC, possibilitando-lhe uma melhor experiência online e economizando informações de navegação. Dentre outras funcionalidades, isso faz com que possamos reconhecer usuários recorrentes em nosso site.

2. COOKIES NO SITE DA LEALD SERVIÇOS MÉDICOS:

‘Cookies de Autenticação’: esses cookies controlam se o usuário está conectado e qual conta ele está usando. Eles simplificam as informações de login para que os usuários não precisam inserir repetidamente as mesmas informações ao visitar nosso site.

Também são usados ‘Cookies de Funcionalidade’ que habilitam determinadas funcionalidades adicionais no site, aperfeiçoando a experiência do usuário. Com ele é feito o armazenamento das preferências dos usuários, por exemplo, seleção de nome de usuário e idioma, e impede que os usuários preencham o mesmo questionário várias vezes.

‘Cookies Essenciais’ são usados no Site para oferecer funcionalidades essenciais para o usuário. Por exemplo, alguns são necessários para o funcionamento adequado e a proteção do Site.

‘Cookies de marketing e propaganda’ (Google, Facebook, etc), utilizados para que possamos personalizar a experiência de publicidade de cada usuário (todos que entram em nosso site são impactados por estes cookies).

No Site da MEDBLANC os cookies permanecerão ativados pelo período determinado de acordo com a finalidade de seu uso.

3. GERENCIAMENTO DOS COOKIES:

A maioria dos navegadores possibilita gerenciar a forma como os cookies são definidos e utilizados à medida que navega, bem como limpar os cookies e os dados de navegação. Porém, é importante informar que isso poderá comprometer experiência do usuário na eficácia do uso do Site da MEDBLANC.

Última atualização dessa política: 14 de novembro de 2025.

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A presente Política de Privacidade e Proteção de Dados da MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA. (“MEDBLANC”) é por tempo indeterminado. A MEDBLANC se reserva no direito de alterar esta Política de Privacidade e Proteção de Dados Pessoais (“Política de Dados da MEDBLANC”) a qualquer momento, sem aviso prévio.

Quaisquer dúvidas sobre a legislação aplicável e sobre processos que envolvam o tratamento de Dados Pessoais pela MEDBLANC, incluindo Dados Pessoais Sensíveis, deverão ser direcionadas ao “Encarregado de Dados”, cuja função é a supervisão da Política de Dados.

1. DEFINIÇÕES:

Os termos e expressões a seguir devem ter os significados definidos abaixo:

“Autoridade Nacional de Proteção de Dados” ou “ANPD” significa órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

“Bases Legais” são as hipóteses legais que autorizam alguém a tratar Dados Pessoais: pode ser o seu consentimento, a necessidade de cumprir um contrato que temos com você ou cumprimento de uma obrigação legal, por exemplo.

“Colaboradores” todos os Colaboradores da MEDBLANC, incluindo empregados, diretores, estagiários, aprendizes e qualquer outra pessoa que possua vínculo direto com a empresa.

“Consentimento” significa manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus Dados Pessoais para uma finalidade determinada.

“Controlador” significa pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais.

“Dado Anonimizado” significa dado relativo ao Titular que não permita a sua identificação pela utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

“Dado Pessoal” significa informação relacionada a pessoa natural que permita de qualquer forma a identificar.

“Dado Pessoal Sensível”, para os fins desta Política de Dados da MEDBLANC, significa Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, dados de ordem criminal, quando vinculado a uma pessoa natural, bem como outros dados específicos considerados sensíveis mediante as leis e regulamentos próprios.

“Encarregado de Dados” significa pessoa indicada pelo Controlador de Dados e pelo Operador de Dados para atuar como canal de comunicação com os Titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD).

“MEDBLANC” significa MEDBLANC GESTÃO EM SAÚDE E IMAGEM LTDA. – CNPJ 42.488.597/0001-05.

“LGPD” significa Lei Geral de Proteção de Dados (Lei nº 13.709/18).

“Operador de Dados” significa pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador.

“Relatório de Impacto à Proteção de Dados Pessoais” ou “RIPD” significa documentação do Controlador de Dados que contém a descrição dos processos de tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

“Titular de Dados” significa a pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento.

“Tratamento de Dados” ou “Tratamento” significa toda operação realizada com Dados Pessoais, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de Dados Pessoais.

2. OBJETIVO:

2.1. O objetivo da Política de Dados da MEDBLANC é definir as principais regras e princípios para o processamento e Tratamento de Dados Pessoais na execução das atividades da MEDBLANC, a fim de garantir um nível adequado de segurança, por meio de ações de proteção, em alinhamento com a LGPD e demais regulamentos que estabeleçam regras sobre o tema.

2.2. A presente Política de Dados da MEDBLANC engloba todos os tipos e as categorias de Dados Pessoais tratados, incluindo Dados Pessoais Sensíveis, coletados de Colaboradores; terceiros; fornecedores; clientes; fornecedores e clientes em prospecção; parceiros comerciais; e, quaisquer outras partes relacionadas.

3. QUANDO ESTA POLÍTICA SE APLICA:

3.1. Esta Política se aplica aos Tratamentos realizados pela MEDBLANC para prestar seus Serviços e disponibilizar o Website.

3.2. Esta Política é aplicável a todos os clientes, colaboradores, parceiros e terceiros e/ou a qualquer pessoa física ou jurídica que venha desempenhar o papel de Titular e/ou Operador de Dados Pessoais, onde a MEDBLANC tenha o papel de Controlador e/ou Operador.

4. QUAIS AS OBRIGAÇÕES DOS TITULARES:

4.1. O Titular é responsável pela veracidade, exatidão e confirmação dos Dados Pessoais por ele informados no momento do cadastro, seja nas Plataformas, seja por outro meio. Recomenda-se que o Titular não compartilhe com terceiros, incluindo familiares e amigos, logins, senhas ou qualquer tipo de credencial, de modo que a MEDBLANC não se responsabilizará por eventuais violações à Privacidade e à Proteção dos Dados Pessoais do Titular em tais casos.

5. QUAIS DADOS SÃO TRATADOS E QUAIS FINALIDADES E HIPÓTESES LEGAIS PARA O TRATAMENTO:

5.1. Todo o processo de Tratamento (incluindo, mas não limitado: à coleta, ao armazenamento, a utilização, a distribuição e descarte) será realizado exclusivamente para as seguintes finalidades: (i) prospecção e negociação com clientes; (ii) atendimento a exigências legais e regulatórias; (iii) obrigações contratuais (com: prestadores de serviços ou fornecedores, clientes, funcionários); (iv) marketing; (v) tributárias e fiscais; (vi) exercício regular de direitos.

5.2. A coleta de Dados Pessoais estará limitada aos dados estritamente necessários para o cumprimento das finalidades acima indicadas.

5.3. Os Dados podem ser coletados de diversas formas, tais como: diretamente, ao preencher, por exemplo, um formulário em nossas plataformas ou através de nossas redes sociais, ao entrar em contato conosco, buscar nossa rede de serviços, participar de nossos eventos ou ao utilizar um dos nossos serviços.

5.4. A MEDBLANC também coleta alguns dados de forma automatizada, por meio de Cookies ou tecnologias similares. Os cookies permitem reconhecer as suas preferências para, por exemplo, adaptar nosso site às suas necessidades específicas. Os cookies geralmente apresentam uma data de expiração. Por exemplo, alguns cookies são excluídos automaticamente quando você fecha o navegador (os chamados cookies de sessão), enquanto outros podem ser armazenados por mais tempo no computador até serem excluídos manualmente (os chamados cookies persistentes).

5.5. A quantidade e o tipo de dados coletados e tratados variam de acordo com a interação com a MEDBLANC. Sempre há uma base legal para tratar seus Dados Pessoais. Abaixo consta a listagem de forma detalhada como a MEDBLANC poderá, quando aplicável, tratar seus Dados Pessoais:

(i) Para fins de prospecção e negociação com clientes, os seguintes Dados Pessoais podem ser coletados e utilizados: nome, e-mail, telefone.

(ii) Para fins de cumprimento de obrigações legais e regulatórias poderão ser coletados e utilizados os seguintes Dados Pessoais: nome, CPF, RG, endereço, e-mail, telefone, data de nascimento, dados financeiros, CTPS (Carteira de Trabalho e Previdência Social), número do CRM, número do RQE, número da CNH, número do PIS, detalhes de férias, histórico empregatício, dados de crianças e adolescentes, local de nascimento e certidão de nascimento/casamento, dados bancários.

(iii) Para fins de obrigações contratuais junto a clientes, prestadores de serviços, colaboradores ou fornecedores, poderão ser coletados e utilizados os seguintes Dados Pessoais: nome, CPF, RG, endereço, telefone, e-mail, dados financeiros, CTPS (Carteira de Trabalho e Previdência Social), número do CRM, número do RQE, número da CNH.

(iv) Para fins de Marketing, poderão ser coletados os seguintes Dados Pessoais e Dados Pessoais Sensíveis: nome, e-mail, telefone, user das redes sociais.

(v) Para fins tributários e fiscais, poderão ser coletados os seguintes Dados Pessoais: nome, CPF, endereço, telefone, e-mail, CTPS (Carteira de Trabalho e Previdência Social), número do PIS e estado civil.

5.6. Após a coleta, os Dados Pessoais serão tratados pela MEDBLANC e por empresas contratadas para cumprimento das finalidades específicas acima mencionadas, bem como serão armazenados nos servidores da MEDBLANC pelo período necessário para cumprimento da finalidade, conforme previsto no item 7 desta Política de Dados MEDBLANC.

5.7. São hipóteses legítimas para o Tratamento:

(i) consentimento inequívoco fornecido pelo Titular dos Dados, por meio do “Termo de Consentimento”;
(ii) cumprimento de obrigação legal ou regulatória pela MEDBLANC (Controlador);
(iii) tratamento pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
(iv) execução de contrato ou de procedimentos preliminares relacionados a Contrato do qual seja parte o Titular dos Dados, a pedido do Titular dos Dados;
(v) exercício regular de direitos da MEDBLANC (Controlador) em processo judicial, administrativo ou arbitral; e
(vi) interesses legítimos da MEDBLANC (Controladora) ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção de Dados Pessoais.

6. COM QUEM A MEDBLANC COMPARTILHA OS DADOS:

6.1. Para oferecermos nossos produtos e serviços com a qualidade e eficiência que desejamos, contamos com o apoio de outras empresas para auxiliar em nossas operações. Assim, em alguns casos, precisamos compartilhar dados com essas empresas, como descrevemos abaixo:

(i) Autoridades públicas: Se estamos sujeitos a alguma obrigação legal ou regulatória que determine o fornecimento de Dados Pessoais a uma autoridade, somos obrigados a fazê-lo.

(ii) Prestadores de Serviços: contamos com parceiros que nos ajudam a manter a nossa prestação de serviços. Esses parceiros estão autorizados a utilizar os Dados Pessoais recebidos pela MEDBLANC somente para os fins específicos que eles foram contratados. Isso significa que eles não utilizarão seus Dados Pessoais para outras finalidades, além daquelas previstas contratualmente.

(iii) Serviços de tecnologia: a MEDBLANC possui fornecedores que auxiliam a prestar melhores serviços e oferecer produtos mais completos, como aqueles que oferecem hospedagem de dados para armazenar a base de informações ou serviços de meios de pagamento para poder processar os dados de faturamento. Esses parceiros estão autorizados a utilizar seus Dados Pessoais somente para os fins específicos que eles foram contratados. Isso significa que eles não utilizarão seus Dados Pessoais para outras finalidades, além daquelas previstas contratualmente.

6.2. Caso tenha qualquer dúvida sobre o compartilhamento de dados, entre em contato conosco pelos canais indicados nesta Política.

7. GUARDA E DESCARTE DOS DADOS PESSOAIS:

7.1. Como regra geral, a guarda dos Dados Pessoais tratados pela MEDBLANC deve seguir os seguintes prazos:

5 anos	Contrato com Clientes
5 anos	Contratos com Fornecedores
5 anos	Contratos com Prestadores de Serviços
5 anos	Documentos de Contabilidade
5 anos	Contratos de Trabalho (Colaboradores)
Tempo necessário para o cumprimento da finalidade ou exercício do opt-out pelo Titular dos Dados	Documentos de Marketing (Divulgação)

7.2. Além dos prazos acima descritos, a MEDBLANC manterá os Dados Pessoais pelo tempo necessário para cumprimento das finalidades.

7.3. Após o cumprimento dos prazos acima descritos, os Dados Pessoais serão descartados no âmbito e nos limites técnicos das atividades, autorizada a conservação para cumprimento de obrigação legal ou regulatória, execução de contrato, transferência a terceiro, desde que respeitados os requisitos de Tratamento dispostos na LGPD, quando necessário para atender aos interesses legítimos do controlador ou de terceiros e uso exclusivo da MEDBLANC, vedado seu acesso por terceiro, e desde que anonimizados os dados.

8. ABRANGÊNCIA GEOGRÁFICA:

8.1. A presente Política de Dados da MEDBLANC aplica-se à coleta e outras formas de Tratamento ocorridos no Brasil e fora do país.

8.2. A transferência de Dados Pessoais para fora do país deverá observar a LGPD, principalmente, mas não somente, no que se refere garantir que o Operador de Dados estrangeiro apresente as condições para o cumprimento dos princípios e direitos dos Titulares dos Dados nos termos da LGPD e da presente Política de Dados da MEDBLANC, seja contratualmente ou pela apresentação de evidências documentais.

8.3. A MEDBLANC poderá transferir dados para outros países para fins de armazenamento, por exemplo, com grau de proteção de dados adequado ao previsto em lei. Informamos que os dados poderão estar sujeitos à legislação local e as regras pertinentes destes países.

9. PRINCÍPIOS DE PRIVACIDADE MEDBLANG:

9.1. O Tratamento sob responsabilidade da MEDBLANC será ser realizado de acordo com as leis e regulamentos aplicáveis, bem como com a presente Política de Dados MEDBLANC, observando os seguintes princípios:

(i) Dados Pessoais, incluindo Dados Pessoais Sensíveis, devem ser obtidos de forma justa, legal e transparente. Sempre que necessário, o consentimento expresso do Titular dos Dados deve ser obtido de forma clara e inequívoca, por meio de ‘Termo de Consentimento’;

(ii) O Titular dos Dados tem o direito à informação sobre os dados tratados, exceto se sua disponibilização for impossível ou exigir esforço desproporcional da MEDBLANC;

(iii) A coleta de Dados Pessoais deve ser realizada apenas com finalidades específicas, explícitas e legítimas, sendo vedado o tratamento dos dados para outros fins.

(iv) O compartilhamento dos dados com terceiros será para as finalidades previamente especificadas ou de outra forma permitida ou exigida pelas leis aplicáveis, não sendo processados de maneira incompatível com esses propósitos;

(v) A retenção dos Dados Pessoais, incluindo Dados Pessoais Sensíveis, deve ser por período não superior que o indispensável para as finalidades específicas para que foram obtidas, exceto quando exigido prazo diverso pela lei ou regulamento aplicável ou quando período diferente constar no consentimento específico obtido. Uma vez alcançados esses objetivos, os dados devem ser apagados ou, pelo menos, desprovidos de qualquer elemento que permita a identificação dos seus Titulares;

9.2. No Tratamento não é permitido a nenhum Colaborador e/ou Operador de Dados:

(i) Retenção de papéis, cartas, e-mails ou qualquer outro documento ou dado pessoal sem autorização da MEDBLANC;

(ii) Interceptar telecomunicações ou utilizar dispositivos para escuta, transmissão, gravação ou reprodução de som ou imagem, ou qualquer outro sinal de comunicação sem autorização legal para violar a privacidade e Dados Pessoais;

(iii) Apreender, utilizar ou modificar sem autorização os Dados Pessoais de Colaboradores MEDBLANC, seus familiares, ou de terceiros que estejam cadastrados física ou digitalmente em qualquer forma de registro público ou privado;

(iv) Acessar dados ou programas de computador ou permanecer neles violando medidas de segurança e sem autorização; e

(v) Divulgar, revelar ou transferir os Dados Pessoais sem autorização do Titular ou base legal.

9.3. Os Colaboradores MEDBLANC firmarão cláusula contratual ou acordo de confidencialidade independente sobre os Dados Pessoais relativos a Colaboradores, Clientes, Fornecedores, Contatos e outros Terceiros aos quais tenham acesso em função do seu trabalho.

9.4. Nos casos em que o Tratamento for realizado por um Operador de Dados em nome da MEDBLANC, a MEDBLANC escolherá um subcontratado que tenha condições técnicas de segurança e organizacionais suficientes para garantir que o Tratamento será executado de acordo com esta Política de Dados da MEDBLANC.

10. DIREITOS DOS TITULARES DOS DADOS PESSOAIS:

10.1. A LGPD garante direitos aos Titulares dos Dados. direitos básicos no que diz respeito ao Tratamento. São eles:

(i) Acesso e Confirmação do Tratamento – o direito de ser informado e ter acesso aos seus Dados Pessoais sob nosso Tratamento;

(ii) Correção – o direito de solicitar a atualização ou alteração dos seus Dados Pessoais desatualizados, incompletos ou incorretos;

(iii) Portabilidade – o direito de requerer que os Dados Pessoais sob nosso Tratamento sejam transferidos a outro prestador de serviço indicado pelo Titular.

(iv) Eliminação – o direito de ter seus Dados Pessoais eliminados das nossas bases de dados, ressalvadas as hipóteses legais de armazenamento. (v) Anonimização ou bloqueio – o direito de solicitar que os Dados Pessoais excessivos ao Tratamento sejam submetidos à anonimização ou que este Tratamento excessivo seja suspenso por nós. (vi) Informações sobre o compartilhamento – o direito de saber com quais entidades públicas e privadas nós fazemos uso compartilhado de seus Dados Pessoais;

(vii) Revogação do consentimento – o direito de revogar o seu consentimento para as finalidades de Tratamento a ele atreladas;

(viii) Informação sobre as consequências da revogação – o direito de ser informado sobre os desdobramentos da relação conosco e execução de determinada finalidade Tratamento caso o Titular deseje revogar o seu consentimento;

(ix) Oposição – o direito do Titular se opor ao Tratamento que esteja desalinhado às determinações da LGPD.

10.2. Para exercer quaisquer desses direitos você pode entrar em contato por e-mail por meio dos canais informados ao final desta Política.

11. COMO A MEDBLANC GARANTE A SEGURANÇA DOS DADOS:

11.1. Para garantir a segurança dos Dados, a MEDBLANC utiliza as medidas técnicas e organizacionais de segurança da informação visando a confidencialidade e a Proteção de todos os Dados coletados ou gerados nos nossos ambientes. A MEDBLANC implementará os controles e procedimentos técnicos e organizacionais apropriados para garantir a segurança dos Dados Pessoais, incluindo os Dados Pessoais Sensíveis, e evitar acesso ou divulgação não autorizados, que poderiam resultar em eventual alteração, destruição acidental ou ilegal, perdas dos dados e todas as demais formas ilegais de Tratamento. Considerando as obrigações legais e boas práticas, as medidas técnicas devem ser adotadas para garantir um nível de segurança apropriado aos riscos representados pelo Tratamento e natureza dos Dados Pessoais a serem protegidos.

12. ASSISTÊNCIA MÚTUA E COOPERAÇÃO COM A AUTORIDADE NECIONAL DE PROTEÇÃO DE DADOS:

12.1. A MEDBLANC, atuando como Controlador, cooperará com a ANPD em temas relacionados à privacidade de Dados Pessoais sob seu Tratamento, dentro dos limites da LGPD, mantendo seu direito ao contraditório.

12.2. O Encarregado de Dados será o contato direto e primário entre MEDBLANC e a ANPD.

13. CANAL DE COMUNICAÇÃO COM O ENCARREGADO DE DADOS

13.1. A MEDBLANC disponibiliza ao Titular de Dados, Operadores de Dados e qualquer outra pessoa, de forma gratuita, canal de comunicação e atendimento exclusivo para questões relacionadas à Privacidade e Proteção de Dados Pessoais.

13.2. A MEDBLANC possui um Encarregado de Dados, a quem caberá colaborar para a estratégia de privacidade dos Dados Pessoais tratados pela empresa. O Encarregado de Dados estará responsável de responder e atender aos Titulares de Dados e à ANPD. Todas as questões relacionadas ao tema Privacidade e Proteção de Dados Pessoais deverão ser direcionadas ao Encarregado de Dados:

Fernando Martins
(41) 3093-7030
fernandosobrinho@medecin.com.br

13.3. Toda e qualquer reclamação deverá ser encaminhada ao Encarregado de Dados. As reclamações/solicitações serão avaliadas e respondidas nos prazos e na forma estabelecidos na LPGD e pelas regulamentações expedidas pela ANPD.

Última atualização desta política: 14 de novembro de 2025.

Termos e Serviços

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

TERMO DE RESPONSABILIDADE DE TRATAMENTO DE DADOS

PLANO DE RESPOSTA A INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS

POLÍTICA DE BACKUP

POLÍTICA DE CONTROLE DE ACESSOS

POLÍTICA DE COOKIES

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Informações

Telefone

Email

Localização

Entrar em Contato