DIR-14 — Informação, Dados e Segurança

Documento canônico Costal — em desenvolvimento. Igor Reginato (03/05) sinalizou que esse material já é a referência para a estruturação das diretrizes e processos da Costal, ainda que precise de validação final. Ingerido em 2026-05-04 a partir do .docx original. Conteúdo abaixo preserva fidelidade ao documento-fonte.

Resumo: Governança da informação, classificação de dados, segurança da informação e LGPD

Para o índice canônico de governança corporativa Costal e ligações com o trabalho Anouk × Costal, ver folder note.

COSTAL-POL-14.01 – Política de Informação, Dados e Segurança da Informação

Esta política está alinhada às diretrizes COSTAL-DIR-14 (Informação, Dados e Segurança), COSTAL-DIR-03 (Criação de Valor e Previsibilidade) e COSTAL-DIR-01 (Governança Corporativa).

1. Objetivo

Estabelecer as regras corporativas para gestão da informação, uso de dados e segurança da informação na Costal, assegurando que informações e dados:

sejam confiáveis, íntegros e disponíveis;
estejam protegidos contra acessos indevidos, perdas e vazamentos;
sustentem a tomada de decisão executiva, o controle operacional e a previsibilidade;
sejam tratados de forma ética, segura e alinhada à legislação vigente, incluindo a LGPD.

2. Abrangência

Esta política aplica-se a:

todas as informações e dados produzidos, recebidos ou tratados pela Costal;
dados corporativos, operacionais, financeiros, contratuais e estratégicos;
colaboradores, sócios, administradores, terceiros e parceiros;
sistemas, repositórios, relatórios, BI, IA e ambientes digitais (incluindo nuvem e dispositivos corporativos).

3. Referências

Constituem referências para esta política:

COSTAL-DIR-14 – Informação, Dados e Segurança;
COSTAL-DIR-03 – Criação de Valor e Previsibilidade;
COSTAL-DIR-01 – Governança Corporativa;
COSTAL-POL-13.01 – Política de Tecnologia da Informação (TI);
COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD);
Documentos e procedimentos internos relacionados à estrutura tecnológica, BI, governança de dados e resposta a incidentes.

4. Definições

Para fins desta política, aplicam-se as seguintes definições:

Informação: conjunto de dados organizados que geram significado e suporte à decisão.
Dado: elemento bruto, estruturado ou não, utilizado como insumo informacional.
Segurança da informação: práticas destinadas a proteger a confidencialidade, integridade e disponibilidade das informações.
Acesso: permissão formal para visualização, uso ou alteração de informações, concedida conforme função e necessidade.

5. Princípios da Política

A gestão de informação e dados da Costal é orientada pelos seguintes princípios:

informação como ativo estratégico;
dados confiáveis acima de volume de dados;
segurança por padrão, não por exceção;
mínimo privilégio de acesso;
rastreabilidade e responsabilidade;
alinhamento entre dados, processos e decisão executiva.

6. Regras Corporativas

As regras corporativas a seguir são obrigatórias para a criação, uso, acesso, armazenamento, compartilhamento e descarte de informações e dados na Costal.

Classificação da informação: as informações devem ser tratadas conforme nível de sensibilidade (pública, interna, confidencial e estratégica/restrita), com proteção proporcional ao risco.
Uso e acesso à informação: o acesso deve ser concedido por função e necessidade, formalizado, controlado e revisado periodicamente, obedecendo ao princípio do menor privilégio. É proibido o compartilhamento não autorizado.
Proteção e segurança: devem ser adotadas medidas técnicas e administrativas para prevenir acessos indevidos, vazamentos e perdas, garantindo integridade e disponibilidade e capacidade de resposta a incidentes.
Dados, BI e Inteligência Artificial: decisões relevantes devem utilizar fontes oficiais e dados validados; análises, relatórios, automações e IA devem operar sob governança, consistência e trilha de auditoria.
Integração com LGPD: dados pessoais devem ser tratados conforme bases legais, finalidade, minimização e segurança; esta política complementa a COSTAL-POL-14.02.
Armazenamento e descarte: as informações devem permanecer em ambientes corporativos oficiais, com backup e controles compatíveis, e ser descartadas de forma segura ao fim da finalidade ou obrigação legal.
Uso responsável: usuários devem utilizar informações apenas para fins profissionais legítimos, zelar por confidencialidade e integridade e reportar incidentes, perdas ou suspeitas de violação.

7. Papéis e Responsabilidades

São responsabilidades no contexto desta política:

Diretoria: definir diretrizes e prioridades estratégicas relacionadas à informação e dados.
Responsável por TI/Dados: garantir governança, segurança, controles e aderência às políticas aplicáveis.
Compliance/Jurídico: apoiar conformidade legal, gestão de riscos e tratamento de incidentes.
Colaboradores e terceiros: cumprir esta política e proteger as informações sob sua responsabilidade, reportando incidentes.

8. Monitoramento e Conformidade

O cumprimento desta política pode ser monitorado, a qualquer tempo, por meio de:

auditorias internas de informação e dados;
revisões periódicas de acesso e de uso;
análise e tratamento de incidentes e não conformidades;
verificações de aderência a requisitos legais, contratuais e normativos.

Descumprimentos podem resultar em medidas corretivas ou disciplinares, sem prejuízo de medidas contratuais e legais quando aplicáveis.

9. Comunicação e Treinamento

Esta política deve ser comunicada e mantida disponível aos públicos aplicáveis e incorporada aos processos de integração e treinamento.

Treinamentos periódicos conforme papel e nível de acesso.
Comunicações reforçadas em caso de mudanças relevantes de risco, tecnologia ou incidentes.
Materiais de orientação e procedimentos complementares publicados pelos responsáveis.

10. Vigência

Esta política entra em vigor na data de sua aprovação pela Diretoria e permanece válida até que seja substituída por versão revisada.

11. Controle de Revisões

Versão	Data	Descrição	Aprovador
R00	AAAA.MM.DD	Emissão inicial	Diretoria

12. Revisão e Atualização

Esta política deve ser revisada sempre que houver: (i) evolução relevante do modelo de dados, processos, BI/IA ou tecnologia; (ii) mudanças regulatórias ou legais; (iii) ocorrência de incidentes relevantes de segurança da informação; ou (iv) decisão da Diretoria.

COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD)

Esta política está alinhada às diretrizes COSTAL-DIR-14 (Informação, Dados e Segurança), COSTAL-DIR-01 (Governança Corporativa) e COSTAL-DIR-03 (Criação de Valor e Previsibilidade).

1. Objetivo

Estabelecer as regras corporativas para proteção de dados pessoais e privacidade na Costal, assegurando que todo tratamento de dados pessoais seja realizado:

em conformidade com a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018);
de forma ética, segura, transparente e responsável;
com mitigação de riscos legais, reputacionais e operacionais;
em alinhamento à governança corporativa e à estratégia da empresa.

2. Abrangência

Esta política aplica-se a:

todos os dados pessoais tratados pela Costal (em meios físicos e digitais);
colaboradores, sócios, administradores, estagiários;
fornecedores, prestadores de serviço, parceiros e terceiros;
clientes, prospects, visitantes de site e demais titulares de dados;
ambientes físicos e digitais, sistemas, formulários e bases de dados.

3. Referências

Constituem referências para esta política:

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD);
COSTAL-DIR-14 – Informação, Dados e Segurança;
COSTAL-DIR-01 – Governança Corporativa;
COSTAL-DIR-03 – Criação de Valor e Previsibilidade;
COSTAL-POL-13.01 – Política de Tecnologia da Informação (TI);
COSTAL-POL-14.01 – Política de Informação, Dados e Segurança da Informação;
Programa de Compliance e Integridade da Costal;
Aviso de Privacidade vigente e procedimentos internos de atendimento ao titular.

4. Definições

Para fins desta política, aplicam-se as seguintes definições:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: dado sobre origem racial, convicção religiosa, opinião política, saúde, biometria, entre outros definidos em lei.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento de dados: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).

5. Princípios da Política

O tratamento de dados pessoais na Costal deve observar, no mínimo, os seguintes princípios:

finalidade legítima e específica;
adequação e necessidade (minimização);
transparência com o titular;
segurança e prevenção;
responsabilização e prestação de contas.

6. Regras Corporativas

As regras corporativas a seguir disciplinam a coleta, uso, compartilhamento, segurança e atendimento aos direitos dos titulares.

Bases legais: o tratamento somente poderá ocorrer quando houver base legal válida (ex.: execução de contrato, obrigação legal/regulatória, exercício regular de direitos, consentimento quando aplicável).
Coleta e uso: coletar apenas dados estritamente necessários, utilizar para finalidades informadas e evitar uso excessivo ou desproporcional. É vedada a coleta sem finalidade legítima.
Compartilhamento: compartilhar somente quando necessário para prestação de serviços/contratos, obrigação legal ou com terceiros com medidas adequadas; a Costal não comercializa dados pessoais.
Segurança: adotar medidas técnicas e administrativas para prevenir acesso não autorizado, perda, destruição, vazamento e uso ilícito, em integração com a política de segurança da informação.
Direitos dos titulares: manter canais e procedimentos para confirmação, acesso, correção, atualização, anonimização/bloqueio/eliminação quando aplicável e informação sobre compartilhamentos.
Incidentes de privacidade: reportar imediatamente, avaliar impacto e risco, executar contenção e correção e, quando aplicável, comunicar autoridades e titulares.
Uso por colaboradores e terceiros: tratar dados apenas no estrito exercício das funções, manter confidencialidade e cumprir orientações; uso indevido é falta grave.

7. Papéis e Responsabilidades

São responsabilidades no contexto desta política:

Diretoria: garantir patrocínio, recursos e prioridade institucional à proteção de dados.
Responsável por TI/Compliance: apoiar governança, segurança e conformidade com a LGPD, incluindo gestão de incidentes.
Áreas usuárias: garantir tratamento adequado dos dados sob sua responsabilidade e observância de finalidades e prazos.
Colaboradores e terceiros: cumprir integralmente esta política, mantendo sigilo e boas práticas.

8. Monitoramento e Conformidade

O cumprimento desta política pode ser monitorado por meio de:

auditorias internas;
revisões de processos, contratos e fornecedores;
análise de incidentes e reclamações de titulares;
verificações de controles e evidências de conformidade.

Descumprimentos podem resultar em medidas disciplinares, contratuais ou legais, conforme aplicável.

9. Comunicação e Treinamento

Esta política deve ser comunicada a todos os públicos envolvidos e reforçada por treinamentos periódicos, incluindo orientações específicas conforme o tipo de dado e atividade de tratamento.

10. Vigência

Esta política entra em vigor na data de sua aprovação pela Diretoria e permanece válida até que seja substituída por versão revisada.

11. Controle de Revisões

Versão	Data	Descrição	Aprovador
R00	AAAA.MM.DD	Emissão inicial	Diretoria

12. Revisão e Atualização

Esta política deve ser revisada sempre que houver: (i) alterações na legislação de proteção de dados ou orientações da ANPD aplicáveis; (ii) mudanças relevantes nos processos de tratamento de dados da Costal; (iii) contratação de novos fornecedores críticos com acesso a dados pessoais; (iv) ocorrência de incidentes relevantes de privacidade; ou (v) decisão da Diretoria.

COSTAL-POL-14.03 – Política de Acessos e Identidades

Esta política está alinhada às diretrizes COSTAL-DIR-14 (Informação, Dados e Segurança da Informação), COSTAL-DIR-01 (Governança Corporativa) e COSTAL-DIR-04 (Gestão de Riscos).

1. Objetivo

Estabelecer as diretrizes corporativas para gestão de acessos e identidades digitais na Costal, assegurando que o acesso a sistemas, informações e recursos tecnológicos seja concedido, mantido e revogado de forma controlada, rastreável e proporcional às responsabilidades, mitigando riscos de segurança, vazamento de informações e não conformidade legal.

2. Abrangência

Esta política aplica-se a:

todos os colaboradores, sócios, administradores e gestores da Costal;
terceiros, prestadores de serviços e parceiros com acesso a sistemas ou informações;
identidades digitais, contas de usuário, perfis e credenciais;
sistemas corporativos, plataformas digitais, ambientes em nuvem e aplicações;
acessos a dados, documentos e informações corporativas.

3. Referências

Constituem referências para esta política:

COSTAL-DIR-14 – Informação, Dados e Segurança da Informação;
COSTAL-DIR-01 – Governança Corporativa;
COSTAL-DIR-04 – Gestão de Riscos;
COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD);
COSTAL-POL-15.02 – Política de Uso de Sistemas Corporativos;
Diretrizes e procedimentos internos de TI (provisionamento, MFA, senhas, logs e auditoria).

4. Definições

Para fins desta política, aplicam-se as seguintes definições:

Identidade digital: conjunto de atributos que identifica um usuário em sistemas digitais.
Acesso: permissão concedida para utilização de sistemas, dados ou recursos.
Princípio do menor privilégio: concessão apenas dos acessos estritamente necessários.
Credencial: meio de autenticação do usuário (ex.: login, senha, token).
Conta de usuário: registro individual que permite autenticação em sistemas.

5. Princípios da Política

A gestão de acessos e identidades na Costal é orientada pelos seguintes princípios:

segurança da informação como pilar da governança;
acesso baseado em função e responsabilidade;
princípio do menor privilégio;
segregação de funções;
rastreabilidade e auditoria;
revogação imediata de acessos indevidos;
conformidade com LGPD e normas internas.

6. Regras Corporativas

As regras corporativas a seguir estabelecem controles mínimos para concessão, manutenção, revisão e revogação de acessos, além de requisitos de autenticação e gestão de terceiros.

Concessão de acessos: deve ser formalmente solicitada e aprovada, com base na função do usuário; é vedada a criação de contas genéricas ou compartilhadas.
Gestão de identidades: cada usuário deve possuir identidade digital única; as identidades devem ser geridas de forma centralizada pela área responsável.
Revisão periódica: os acessos devem ser revisados periodicamente para garantir aderência às funções; acessos excessivos devem ser ajustados ou revogados.
Revogação: desligamento ou mudança de função deve resultar em revogação ou ajuste imediato; é vedada a manutenção de acessos após desligamento.
Autenticação e credenciais: devem ser adotadas práticas adequadas de autenticação e proteção de credenciais (ex.: requisitos de senha, MFA quando aplicável); é proibido compartilhar credenciais.
Acesso de terceiros: acessos de terceiros devem ser limitados, temporários e monitorados, vinculados a contrato, escopo e necessidade comprovada.

7. Papéis e Responsabilidades

São responsabilidades no contexto desta política:

Tecnologia da Informação (TI): gerir identidades, acessos e controles técnicos (logs, autenticação, provisão e revogação).
Gestores: solicitar, justificar e validar acessos de suas equipes e terceiros sob sua responsabilidade.
Gente & Gestão: informar movimentações de pessoas (admissões, mudanças e desligamentos) em tempo hábil.
Compliance/Segurança: monitorar aderência, apoiar gestão de riscos e tratamento de não conformidades.
Usuários: zelar pelo uso correto de seus acessos e pelo sigilo de credenciais.

8. Monitoramento e Conformidade

O cumprimento desta política pode ser monitorado por meio de:

revisões periódicas de acessos;
registros de concessão e revogação (trilhas de auditoria);
auditorias internas de segurança;
análise de incidentes e não conformidades.

Descumprimentos podem resultar em medidas corretivas, incluindo ajuste ou revogação de acessos e demais medidas disciplinares/contratuais cabíveis.

9. Comunicação e Treinamento

Esta política deve ser comunicada a todos os usuários com acesso a sistemas e informações e integrada aos processos de integração, TI e segurança da informação, com orientações práticas de solicitação e revisão de acessos.

10. Vigência

Esta política entra em vigor na data de sua aprovação pela Diretoria e permanece válida até que seja substituída por versão revisada.

11. Controle de Revisões

Versão	Data	Descrição	Aprovador
R00	AAAA.MM.DD	Emissão inicial	Diretoria

12. Revisão e Atualização

Esta política deve ser revisada sempre que houver: (i) mudanças relevantes no ambiente tecnológico, nos sistemas ou no modelo de identidade; (ii) implantação/alteração de controles de autenticação (ex.: MFA), logs ou integração de diretórios; (iii) incidentes de segurança relacionados a acessos; (iv) alterações legais ou regulatórias; ou (v) decisão da Diretoria.

COSTAL-POL-14.04 – Política de Classificação da Informação

Esta política está alinhada às diretrizes COSTAL-DIR-14 (Informação, Dados e Segurança da Informação), COSTAL-DIR-01 (Governança Corporativa) e COSTAL-DIR-04 (Gestão de Riscos).

1. Objetivo

Estabelecer as diretrizes corporativas para classificação da informação na Costal, assegurando que informações sejam identificadas, tratadas, armazenadas, compartilhadas e protegidas de acordo com seu nível de sensibilidade, criticidade e risco, mitigando riscos operacionais, legais, reputacionais e de segurança da informação.

2. Abrangência

Esta política aplica-se a:

todas as informações produzidas, recebidas ou mantidas pela Costal;
informações em formato físico ou digital;
dados corporativos, técnicos, comerciais, financeiros, jurídicos e pessoais;
colaboradores, gestores, diretores, terceiros e parceiros com acesso à informação;
sistemas corporativos, arquivos, documentos, e-mails e repositórios digitais.

3. Referências

Constituem referências para esta política:

COSTAL-DIR-14 – Informação, Dados e Segurança da Informação;
COSTAL-DIR-01 – Governança Corporativa;
COSTAL-DIR-04 – Gestão de Riscos;
COSTAL-POL-14.03 – Política de Acessos e Identidades;
COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD);
COSTAL-POL-15.02 – Política de Uso de Sistemas Corporativos;
Procedimento Padrão para Elaboração de Políticas Corporativas da Costal.

4. Definições

Para fins desta política, aplicam-se as seguintes definições:

Informação: todo dado ou conjunto de dados com valor para a empresa.
Classificação da informação: categorização da informação conforme seu nível de sensibilidade e risco.
Informação pública: informação que pode ser divulgada sem restrições.
Informação interna: informação de uso restrito ao ambiente corporativo.
Informação confidencial: informação sensível cujo acesso deve ser limitado.
Informação restrita: informação crítica, estratégica ou protegida por lei.

5. Princípios da Política

A classificação da informação na Costal é orientada pelos seguintes princípios:

proteção proporcional ao risco;
necessidade de conhecimento (“need to know”);
alinhamento com LGPD e boas práticas de segurança;
rastreabilidade e responsabilidade;
prevenção de incidentes de segurança;
clareza e padronização;
integração com políticas de acesso e uso de sistemas.

6. Regras Corporativas

As regras corporativas a seguir definem as categorias de classificação, responsabilidades e requisitos mínimos de tratamento e compartilhamento.

Categorias: toda informação deve ser classificada como Pública, Interna, Confidencial ou Restrita, conforme sensibilidade, criticidade e risco.
Responsabilidade pela classificação: a área/pessoa que cria a informação é responsável pela classificação inicial, revisando-a quando houver mudança de contexto ou uso.
Tratamento: armazenamento, compartilhamento, cópia, impressão, transmissão e descarte devem respeitar a classificação; informações confidenciais/restritas exigem controles adicionais.
Compartilhamento: somente com pessoas autorizadas e compatíveis com a classificação; é vedado compartilhar confidencial/restrita por meios não autorizados.
Integração com acessos e sistemas: a classificação orienta a concessão de acessos (POL-14.03) e deve ser respeitada pelos sistemas corporativos.
Informação e LGPD: informações com dados pessoais devem observar a LGPD; a classificação deve considerar o tipo de dado (incluindo sensíveis).

7. Papéis e Responsabilidades

São responsabilidades no contexto desta política:

Usuários: classificar corretamente as informações que criam e respeitar as regras de tratamento conforme classificação.
Gestores: garantir que informações sob sua responsabilidade sejam corretamente classificadas e compartilhadas.
Tecnologia da Informação: implementar controles técnicos compatíveis com a classificação (acessos, logs, backups, criptografia quando aplicável).
Compliance/Segurança da Informação: orientar, monitorar e auditar a aplicação da política.
Diretoria: definir diretrizes e deliberar sobre exceções.

8. Monitoramento e Conformidade

O cumprimento desta política pode ser monitorado por meio de:

auditorias internas de documentos e repositórios;
revisões de acessos e compartilhamentos;
análise de incidentes de segurança da informação;
verificações de aderência à LGPD.

Classificação inadequada da informação configura não conformidade e pode resultar em medidas corretivas e disciplinares, conforme aplicável.

9. Comunicação e Treinamento

Esta política deve ser comunicada a todos os colaboradores e integrada aos processos de integração, segurança da informação e uso de sistemas corporativos, com orientações práticas sobre como classificar e tratar informações.

10. Vigência

Esta política entra em vigor na data de sua aprovação pela Diretoria e permanece válida até que seja substituída por versão revisada.

11. Controle de Revisões

Versão	Data	Descrição	Aprovador
R00	AAAA.MM.DD	Emissão inicial	Diretoria

12. Revisão e Atualização

Esta política deve ser revisada sempre que houver: (i) mudanças legais ou regulatórias; (ii) incidentes relevantes de segurança da informação; (iii) evolução dos sistemas, repositórios, controles de acesso ou meios de compartilhamento; (iv) mudanças no modelo de dados e classificação; ou (v) decisão da Diretoria.

COSTAL-POL-14.05 – Política de Retenção e Descarte de Informações

Esta política está alinhada às diretrizes COSTAL-DIR-14 (Informação, Dados e Segurança da Informação), COSTAL-DIR-01 (Governança Corporativa) e COSTAL-DIR-04 (Gestão de Riscos).

1. Objetivo

Estabelecer as diretrizes corporativas para retenção, arquivamento e descarte de informações na Costal, assegurando conformidade legal e regulatória, proteção da informação, eficiência operacional, mitigação de riscos e eliminação segura de dados e documentos que não possuam mais finalidade legal, contratual ou operacional.

2. Abrangência

Esta política aplica-se a:

todas as informações produzidas, recebidas ou armazenadas pela Costal;
informações em formato físico ou digital;
dados corporativos, técnicos, financeiros, jurídicos, contratuais e pessoais;
colaboradores, gestores, diretores, terceiros e parceiros;
sistemas corporativos, repositórios digitais, arquivos físicos e backups.

3. Referências

Constituem referências para esta política:

COSTAL-DIR-14 – Informação, Dados e Segurança da Informação;
COSTAL-DIR-01 – Governança Corporativa;
COSTAL-DIR-04 – Gestão de Riscos;
COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD);
COSTAL-POL-14.03 – Política de Acessos e Identidades;
COSTAL-POL-14.04 – Política de Classificação da Informação;
Procedimento Padrão para Elaboração de Políticas Corporativas da Costal.

4. Definições

Para fins desta política, aplicam-se as seguintes definições:

Retenção de informações: manutenção de dados e documentos pelo período necessário.
Descarte: eliminação definitiva de informações ao fim do prazo de retenção.
Arquivo: armazenamento organizado de informações para consulta futura.
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Descarte seguro: eliminação que impeça recuperação indevida da informação.

5. Princípios da Política

A retenção e o descarte de informações na Costal são orientados pelos seguintes princípios:

conformidade legal e regulatória;
necessidade e finalidade;
minimização de dados;
proteção da informação e da privacidade;
rastreabilidade e responsabilidade;
eficiência operacional;
prevenção de riscos legais, reputacionais e de segurança.

6. Regras Corporativas

As regras corporativas a seguir estabelecem critérios mínimos para definição de prazos, arquivamento e descarte seguro, inclusive de dados pessoais.

Definição de prazos: informações devem ser retidas apenas pelo tempo necessário para obrigações legais, contratuais ou operacionais, considerando normas aplicáveis (fiscais, trabalhistas, contratuais e LGPD).
Classificação e retenção: a retenção deve respeitar a classificação (POL-14.04), com controles reforçados para informações confidenciais e restritas.
Armazenamento e arquivamento: informações devem ser armazenadas em ambientes autorizados e controlados; arquivos físicos devem ser organizados e protegidos contra acesso não autorizado.
Descarte: deve ocorrer após término do prazo e ausência de obrigação legal/contratual, de forma segura e irreversível, conforme o tipo de informação e mídia.
Descarte de dados pessoais: dados pessoais devem ser descartados ao final da finalidade ou obrigação legal, respeitando LGPD e a COSTAL-POL-14.02.
Suspensão do descarte (legal hold): o descarte deve ser suspenso quando houver investigação, auditoria, litígio ou obrigação legal em curso.

7. Papéis e Responsabilidades

São responsabilidades no contexto desta política:

Usuários: respeitar prazos e diretrizes de retenção e descarte definidos.
Gestores: garantir que informações sob sua responsabilidade sejam corretamente geridas e arquivadas.
Tecnologia da Informação: garantir meios seguros de armazenamento, backup, restauração e descarte digital.
Compliance/Jurídico: orientar prazos legais e determinar a suspensão de descarte quando necessário.
Diretoria: definir diretrizes e deliberar sobre exceções.

8. Monitoramento e Conformidade

O cumprimento desta política pode ser monitorado por meio de:

auditorias internas de documentos e repositórios;
verificações de retenção e descarte;
análise de incidentes de segurança da informação;
avaliações de conformidade com LGPD.

Descartes indevidos ou retenção excessiva configuram não conformidade e podem resultar em medidas corretivas e disciplinares, conforme aplicável.

9. Comunicação e Treinamento

Esta política deve ser comunicada a todos os colaboradores e integrada aos processos de integração, segurança da informação, uso de sistemas e governança, incluindo orientações sobre prazos e descarte seguro.

10. Vigência

Esta política entra em vigor na data de sua aprovação pela Diretoria e permanece válida até que seja substituída por versão revisada.

11. Controle de Revisões

Versão	Data	Descrição	Aprovador
R00	AAAA.MM.DD	Emissão inicial	Diretoria

12. Revisão e Atualização

Esta política deve ser revisada sempre que houver: (i) mudanças legais ou regulatórias que impactem prazos de retenção e descarte; (ii) alterações relevantes nos processos, sistemas, repositórios e estratégia de arquivamento/backup; (iii) incidentes de segurança da informação envolvendo retenção, descarte ou recuperação indevida; (iv) auditorias, litígios ou determinações de “legal hold” que indiquem necessidade de ajuste; ou (v) decisão da Diretoria.

Colliers × Costal — Interno

Explorador

DIR-14 — Informação, Dados e Segurança

DIR-14 — Informação, Dados e Segurança

COSTAL-POL-14.01 – Política de Informação, Dados e Segurança da Informação

1. Objetivo

2. Abrangência

3. Referências

4. Definições

5. Princípios da Política

6. Regras Corporativas

7. Papéis e Responsabilidades

8. Monitoramento e Conformidade

9. Comunicação e Treinamento

10. Vigência

11. Controle de Revisões

12. Revisão e Atualização

COSTAL-POL-14.02 – Política de Proteção de Dados e Privacidade (LGPD)

1. Objetivo

2. Abrangência

3. Referências

4. Definições

5. Princípios da Política

6. Regras Corporativas

7. Papéis e Responsabilidades

8. Monitoramento e Conformidade

9. Comunicação e Treinamento

10. Vigência

11. Controle de Revisões

12. Revisão e Atualização

COSTAL-POL-14.03 – Política de Acessos e Identidades

1. Objetivo

2. Abrangência

3. Referências

4. Definições

5. Princípios da Política

6. Regras Corporativas

7. Papéis e Responsabilidades

8. Monitoramento e Conformidade

9. Comunicação e Treinamento

10. Vigência

11. Controle de Revisões

12. Revisão e Atualização

COSTAL-POL-14.04 – Política de Classificação da Informação

1. Objetivo

2. Abrangência

3. Referências

4. Definições

5. Princípios da Política

6. Regras Corporativas

7. Papéis e Responsabilidades

8. Monitoramento e Conformidade

9. Comunicação e Treinamento

10. Vigência

11. Controle de Revisões

12. Revisão e Atualização

COSTAL-POL-14.05 – Política de Retenção e Descarte de Informações

1. Objetivo

2. Abrangência

3. Referências

4. Definições

5. Princípios da Política

6. Regras Corporativas

7. Papéis e Responsabilidades

8. Monitoramento e Conformidade

9. Comunicação e Treinamento

10. Vigência

11. Controle de Revisões

12. Revisão e Atualização

Visão de gráfico

Sumário

Backlinks