top of page
  • Whatsapp
  • Preto Ícone Instagram
  • Preto Ícone Facebook
  • Preto Ícone Spotify
  • Preto Ícone Twitter

Política Simplificada

de Segurança da Informação

Atualizada em 21/10/2025

1. INTRODUÇÃO

Esta Política Simplificada de Segurança da Informação (PSSI) foi instituída no âmbito da Fundação Força e Luz, controladora de dados, e visa estabelecer compromisso com a segurança das informações e do tratamento dos dados do seu público interno e externo, em conformidade com Lei Federal n° 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) e com a Resolução CD/ANPD1 Nº 02, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte.

Esta política é embasada no Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte (ANPD/2021) e contempla os requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, tendo em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações da Fundação.

A redação desta PSSI é fruto do trabalho colaborativo da Comissão Permanente de Segurança da Informação (CPSI), criada pela Diretoria Executiva da Fundação Força e Luz, em 20 de maio de 2022, com as seguintes atribuições principais:

1. Redigir a Política Simplificada de Segurança da Informação e submetê-la à validação dos Órgãos da Administração;

2. Rever anualmente a PSSI, a fim de mantê-la atualizada e de acordo com as medidas de segurança indicadas pela LGPD;

3. Desenvolver planos de ação para implementação das recomendações da PSSI, que afetem os procedimentos internos da Fundação Força e Luz e suas relações institucionais;

4. Desenvolver cartilha e materiais gráficos de apoio que facilitem a compreensão das obrigações e responsabilidades relacionadas ao tratamento de dados; e

5. Desenvolver e ministrar treinamento interno para conscientização dos empregados e estagiários da Fundação.

Os membros da CPSI são indicados pela Diretoria Executiva e seu Presidente é eleito pela maioria dos membros, para mandato de 02 anos, podendo ser reconduzido.

A Comissão se reúne ordinariamente no mês de outubro, quando necessário, e deve ser convocada, extraordinariamente, sempre que ocorrer um incidente de segurança que possa ter comprometido algum aspecto de confidencialidade, disponibilidade e/ou integridade de informações institucionais. Os procedimentos pertinentes às atividades da CPSI serão detalhados em instrumento próprio.

A Comissão deverá indicar encarregado pelo tratamento de dados pessoais. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da Fundação. As atividades do encarregado consistem em:

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

2. Receber comunicações da autoridade nacional e adotar providências;

3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

2. APLICAÇÃO

A partir da sua publicação, esta PSSI é um documento com valor jurídico, de aplicabilidade imediata e indistinta aos empregados e estagiários da Fundação Força e Luz.

Ela também se aplica aos prestadores de serviço terceirizado contratado pela Fundação, que tenham acesso ao tratamento de dados pessoais, durante o exercício da respectiva atribuição.

3. PRINCÍPIOS

As bases norteadoras desta PSSI são:

1. Preservar e proteger os dados pessoais sob responsabilidade da Fundação Força e Luz, em qualquer suporte ou formato, dos diversos tipos de ameaça e desvios de finalidade, em todo o seu ciclo de vida;

2. Prevenir e mitigar impactos gerados por incidentes envolvendo a segurança da informação;

3. Cumprir a legislação nacional vigente e os instrumentos de regulação relacionados às atividades da instituição, no que diz respeito à segurança da informação, atuando em conformidade com os princípios da confidencialidade, integridade, disponibilidade, autenticidade e legalidade.

4. DIRETRIZES PARA TRATAMENTO DE DADOS

A Fundação Força e Luz disponibiliza acesso facilitado a informações sobre tratamento de dados pessoais e atende às requisições dos titulares, em conformidade com o disposto em lei, por meio eletrônico e impresso.

Durante a realização de suas atividades, a Fundação coleta e trata apenas os dados pessoais estritamente necessários para a realização de suas atividades. Esta coleta é realizada mediante ciência e autorização do titular dos dados, obtida através dos seguintes instrumentos:

1. Política de Privacidade: Documento que descreve como a privacidade do usuário é protegida quando seus dados são coletados nas relações virtuais da instituição. É direcionado ao público que voluntariamente acessa as páginas virtuais da instituição e aos que respondem aos formulários virtuais disponibilizados pela Fundação Força e Luz. Ela informa os direitos do titular de dados pessoais e solicita o consentimento para tratamento de dados.

5. MEDIDAS DE SEGURANÇA DA INFORMAÇÃO

5.1 Capacitação da equipe

A Fundação Força e Luz deve informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.

É responsabilidade da CPSI propor à Diretoria a realização de treinamentos3 e elaborar campanhas anuais de conscientização, com o objetivo de criar um ambiente organizacional que incentive a equipe a informar incidentes e vulnerabilidades detectadas

5.2 Procedimentos de TI

A Fundação Força e Luz deve adotar as seguintes medidas técnicas de segurança da informação:

1. Utilização de Múltiplo Fator de Autenticação (MFA) para serviços em nuvem;

2. Utilização de ferramenta backup local;

3. Utilização de backup para provedor de serviços em nuvem;

4. Utilização de gerenciador de senhas e a implementação de uma política de renovação periódica de credenciais de acesso;

5. Utilização de ferramenta de correio eletrônico estipulado pela Fundação Força e Luz;

6. Utilização de software estipulado pela Fundação Força e Luz para disponibilização de formulários externos;

7. Utilização de ferramenta de comunicação e colaboração interna estipulado pela Fundação Força e Luz;

8. Vinculação do acesso às máquinas locais ao serviço de nuvem, que gerencia as permissões em computadores locais;

9. Utilização de firewall para ampliação da segurança do ambiente local;

10. Utilização de pastas com permissão adequada de acesso ao conteúdo aos usuários permitidos;

11. Implementação de antivírus profissional centralizado;

12. Criação do documento de Políticas de Segurança da Informação, com o treinamento e consentimento correspondente dos empregados e estagiários;

13. Criação de processo para gestão de incidentes de Segurança da Informação;

14. Realização de treinamento de conscientização sobre Segurança da Informação para a equipe;

15. Criptografia dos dispositivos eletrônicos da instituição.

5.3 Boas práticas

A Fundação Força e Luz deve informar e sensibilizar todos os empregados e estagiários sobre a obrigação e responsabilidade de observar boas práticas relacionadas ao tratamento de dados, tais como:

 

1. A área de trabalho física e digital deve ser mantida limpa e organizada;

2. Os documentos impressos e mídias eletrônicas, que sejam necessários para a realização de tarefas, devem ser temporariamente armazenados em gavetas ou armários enquanto não estiverem sendo utilizados;

3. Os documentos impressos e mídias eletrônicas, que façam parte do arquivo corrente, intermediário ou permanente, devem ser encaminhados ao respectivo arquivo, imediatamente após o seu uso;

4. Não é permitida a transferência de dados pessoais das estações de trabalho para dispositivos de armazenamento externo, como pen-drives, discos rígidos externos, entre outros;

5. O manejo de papéis que contenham dados pessoais deve ser priorizado, de forma a evitar a circulação desnecessária da informação;

6. Documentos que contenham dados pessoais devem ser retirados da impressora ou digitalizadora imediatamente;

7. Documentos que contenham dados pessoais não devem ser utilizados como folhas de rascunho, devendo ser eliminados imediatamente após sua utilização;

8. As informações encaminhadas para órgãos públicos deverão seguir a orientação de entrega estabelecida pelo respectivo órgão;

9. Informações institucionais sensíveis devem ser armazenadas em um armário chaveado, com acesso restrito à Diretoria Executiva;

10. O software do sistema operacional deve ser atualizado pelo usuário, que também é responsável por reportar, imediatamente, quaisquer questões técnicas pertinentes à Coordenadoria de Execução de Projetos e Manutenção;

11. Os empregados autorizados a utilizar aplicativos corporativos em dispositivos móveis devem manter o sistema sempre atualizado, possuir antivírus, baixar aplicativos somente pela loja oficial, utilizar bloqueio de tela e não utilizar redes públicas de conexão;

12. As senhas devem ser criadas, preferencialmente, através de software gerenciador de senhas ou possuir os seguintes requisitos:

I. Conter no mínimo doze caracteres, letras maiúsculas, letras minúsculas, números e símbolos;

II. Não conter nome de usuário, nome social, nome de familiar, data de nascimento própria ou de familiar e nome da empresa;

III. Não ser uma palavra completa, nem similar a senhas anteriormente utilizadas.

13. É proibido compartilhar senhas pessoais e armazená-las em meio físico para consulta;

14. Em caso de licença ou afastamento temporário do trabalho, o usuário deve programar aviso eletrônico de ausência, com instrução para o redirecionamento das demandas;

15. A Coordenadoria de Execução de Projetos e Manutenção deve providenciar o bloqueio do acesso do usuário e o redirecionamento de demandas, em caso de desligamento de pessoal;

16. Cadastros on-line, em plataformas de compras ou serviços, devem ser vinculados ao e-mail corporativo designado e autenticados com duplo fator de verificação, se disponível na plataforma;

17. As informações institucionais de acesso (logins e senhas) devem ser registradas em pasta virtual, exclusivamente, com acesso restrito aos empregados autorizados;

18. Documentos que contenham dados pessoais devem ser criados e editados pela plataforma de armazenamento on-line.

19. Arquivos com dados pessoais, que não possam ser transferidos diretamente para a plataforma de armazenamento on-line, devem ser deletados do computador (e da lixeira), imediatamente após a transferência;

20. É proibido o acesso a sites que não possuam certificado SSL (sem ícone de cadeado na barra de endereços) e/ou que sejam sinalizados como: não seguro, suspeito, enganoso, contendo phishing ou malware, entre outras advertências emitidas pelo navegador ou antivírus;

21. É proibida a instalação e/ou ativação de programas cuja licença não tenha sido contratada pela Fundação Força e Luz;

22. Computadores e notebooks devem ser bloqueados na ausência do usuário;

23. Não é permitida a utilização da conta de e-mail particular para assuntos profissionais relacionados à Fundação Força e Luz, nem a utilização da conta corporativa para assuntos pessoais; É proibido o armazenamento de dados pessoais coletados pela Fundação Força e Luz em dispositivos ou nuvens pessoais.

6. GESTÃO DE INCIDENTES

A CPSI é responsável por receber, analisar e responder aos incidentes de segurança da informação. São procedimentos a serem realizados pela Comissão em caso de incidentes, em ordem de ação:

 

1. Avaliar internamente todos os relatos de potenciais incidentes, com o objetivo de obter informações iniciais sobre impacto do evento: natureza, categoria e quantidade de titulares de dados pessoais afetados; categoria e quantidade de dados afetados; consequências do incidente para os titulares e para a Fundação Força e Luz; criticidade e probabilidade; e preservar todas as evidências do incidente;

2. Caso envolva dados pessoais e quando constatada a relevância do incidente, a organização comunicará o fato à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, observando os prazos e procedimentos definidos pela Lei nº 13.709/2018 (LGPD) e pela Resolução CD/ANPD nº 15/2024;

3. Orientar a Diretoria quanto à aplicação das diretrizes presentes na PSSI no caso de descumprimento do compromisso assumido através do Termo de Responsabilidade;

4. Emitir relatório final com todas as informações coletadas, as ações realizadas para o tratamento efetivo do evento e as considerações necessárias para promover a melhoria contínua no atendimento de incidentes e para atualizar o Relatório de Impacto de Proteção de Dados.

A cada convocação da CPSI poderão ser convocados também os envolvidos no incidente assim como mais recursos técnicos internos ou externos, como especialistas e consultores.

 

7. PRAZOS DE RESPOSTA PARA AGENTES DE PEQUENO PORTE

Em conformidade com a Resolução CD/ANPD n°02/2022 e Resolução CD/ANPD nº 15/2024, é concedido à Fundação Força e Luz o dobro do prazo especificado na LGPD para:

1. Atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica, totalizando 30 (trinta) dias;

2. Comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial 

comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação, totalizando 06 (seis) dias úteis, conforme art. 6º, § 8º, da Resolução CD/ANPD nº 15/2024

3. Fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD, totalizando 30 (trinta)dias;

4. Prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

5. Enquanto agente de tratamento de pequeno porte, a Fundação Força e Luz pode fornecer a declaração simplificada de que trata o art. 19, I, da LGPD no prazo de até 15 (quinze) dias, contados da data do requerimento do titular.

mantenedoras

Assinatura_CSN+CEEE_COR-01-01.png
transmissao_endos_pos_CMYK-01.png
bottom of page