Z7_KH44HB40J88ID0A2JU5RVJ30K1

Política de Privacidade

Olá! A IPIRANGA apresenta sua Política de Privacidade, para que você (“USUÁRIO”) saiba como a IPIRANGA realiza o tratamento dos seus dados pessoais e quais são os seus direitos, conforme as leis em vigor no Brasil.

CONTROLADORA DOS DADOS PESSOAIS: IPIRANGA PRODUTOS DE PETROLEO S.A. (“IPIRANGA”), inscrita no CNPJ sob o nº 33.337.122/0001-27, endereço: Rua Francisco Eugenio, nº 329, Rio de Janeiro/RJ, CEP 20.941-900.

Aqui vamos considerar como dado pessoal todas as informações que se refiram diretamente a uma pessoa específica (como por exemplo nome, CPF, e-mail) ou informações que em determinado contexto possam tornar uma pessoa identificável.

Considerando a importância do seu direito à privacidade, recomendamos que todos os USUÁRIOS de nossas plataformas e serviços (“Usuários”) leiam com atenção esta Política. Apresentamos, abaixo, um quadro resumo.

QUANDO E COMO OS DADOS PESSOAIS SÃO COLETADOS	• QUANDO SÃO INFORMADOS PELO USUÁRIO: os USUÁRIOS podem preencher seus dados pessoais em um cadastro para que seja possível ter acesso a alguns serviços disponíveis nas nossas plataformas, programas, para adquirir produtos, ter acesso a ofertas, promoções, para entrar em contato com a Ipiranga, em pesquisas ou em outras ações promovidas pela IPIRANGA e/ou por seus Parceiros. • QUANDO O USUÁRIO UTILIZA AS NOSSAS PLATAFORMAS: essa coleta ocorre automaticamente durante a navegação dos USUÁRIOS em nossas plataformas. • QUANDO O USUÁRIO INTERAGE COM A IPIRANGA: poderão ser coletados dados pessoais a partir das interações do USUÁRIO no decorrer de seu relacionamento diretamente com a IPIRANGA ou com parceiros comerciais da IPIRANGA.
QUAIS DADOS PESSOAIS PODERÃO SER COLETADOS	• DADOS CADASTRAIS: nome; gênero; CPF; endereço de e-mail; endereço postal; números de telefone; data de nascimento; time do coração; dados de veículo; e posto favorito. • DADOS COLETADOS AUTOMATICAMENTE DURANTE A UTILIZAÇÃO DAS PLATAFORMAS IPIRANGA: informações sobre o dispositivo do USUÁRIO, tipo de navegador, dados de geolocalização, registros de acesso a aplicação de internet (como IP, data e hora, porta lógica de origem), tempo de uso da plataforma, duração de acesso, cliques, termos buscados, conteúdo das mensagens e demais informações técnicas que possam ser acessíveis durante a utilização da plataforma. • COOKIES: algumas das informações acima, também poderão ser coletadas através de Cookies, web beacons ou tecnologias semelhantes que possuam a capacidade de identificação de dispositivos e navegadores. Os cookies são pequenos arquivos de texto enviados e armazenados no seu computador, com as suas ações e preferências, utilizados para que os nossos sites funcionem corretamente e para melhorar a sua experiência personalizando conteúdos e anúncios. • DADOS DECORRENTES DA INTERAÇÃO COM A IPIRANGA: histórico de transações e produtos adquiridos; histórico de operações realizadas pelo USUÁRIO em Programas de Benefícios e/ou durante o consumo de produtos e Serviços disponibilizados pela IPIRANGA e/ou pelos Parceiros da IPIRANGA, tais como acúmulo e resgate de pontos; Preferências e comportamentos de compra e usos de produtos e/ou serviços; Dados de voz durante os atendimentos realizados através de nossos canais de contato; e demais dados decorrentes das interações que o USUÁRIO mantenha conosco.
COMO UTILIZAMOS SEUS DADOS PESSOAIS	• Em síntese, tratamos os dados pessoais coletados para finalidades diversas, principalmente para administrar, prestar os serviços e cumprir com as obrigações contratuais assumidas, gerir o nosso relacionamento e analisar o comportamento de nossos Usuários, de forma a aprimorar nossos serviços e apresentar ofertas, nossas e de parceiros, que sejam do interesse dos USUÁRIOS, bem como cumprir com as obrigações legais existentes. Caso queira entender mais sobre como seus dados pessoais são tratados, vá para o TÓPICO 1.
COM QUEM COMPARTILHAMOS SEUS DADOS PESSOAIS	• Os Dados Pessoais que o USUÁRIO insere na plataforma podem ser compartilhados com empresas parceiras, empresas de nosso Grupo Econômico e/ou empresas que nos prestam serviços ou por motivos decorrentes da lei. Para saber mais, vá para o TÓPICO 2.
COMO PROTEGEMOS SEUS DADOS PESSOAIS	• Na IPIRANGA, implementamos todas as medidas de segurança que estão ao nosso alcance, para proteger os seus dados pessoais. Caso queira mais detalhes, vá para o TÓPICO 3.
DIRETRIZES DE RETENÇÃO DE DADOS PESSOAIS	• Na IPIRANGA, respeitamos algumas diretrizes em relação à retenção dos dados pessoais que possuímos de nossos USUÁRIOS. Caso queira mais detalhes, vá para o TÓPICO 4.
QUAIS SÃO OS SEUS DIREITOS ENQUANTO TITULAR DE DADOS PESSOAIS:	• Nos orgulhamos de ser uma empresa que leva a sério os direitos de nossos USUÁRIOS. Por isso, garantimos que os direitos sobre seus dados pessoais possam ser exercidos, respeitados os limites legais aplicáveis. Se quiser entender quais são seus direitos, vá para o TÓPICO 5.
Canais de Contato	• Em caso de dúvidas e solicitações, entre em contato pelos nossos canais: ASSISTENTE VIRTUAL (CHATBOT): portal.ipiranga, no link “Iniciar conversa”, que fica no rodapé do site CENTRAL TELEFÔNICA IPIRANGA: Capitais e Regiões Metropolitanas 3003-3451 Demais regiões 0800 720 5356 Horário: 2ª à Sexta de 8 às 20 horas Sábado de 9 às 18 horas ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS: Karoline Vilas Verdes Ribeiro E-mail para contato: encarregadoipiranga@ipiranga.com.br Rua Francisco Eugênio, nº 329 – São Cristóvão, Rio de Janeiro/RJ, CEP 20941-900 Obs: Em caso de correspondência, favor enviar aos cuidados do Encarregado Pelo Tratamento de Dados Pessoais

1. PARA QUAIS FINALIDADES TRATAMOS OS DADOS PESSOAIS COLETADOS?

Tratamos os dados pessoais coletados para:

• Identificar e autenticar os nossos USUÁRIOS, sempre que necessário;

• Atender adequadamente às solicitações e dúvidas através de nossos Canais de Contato;

• Compartilhar com nossos parceiros, para a disponibilização dos serviços, produtos e benefícios contratados ou que, de alguma forma, possam ser do interesse do USUÁRIO;

• Administrar e processar solicitações, pedidos e promoções, visando cumprir as obrigações decorrentes do uso de nossos serviços e produtos contratados pelos USUÁRIOS;

• Manter os cadastros atualizados para fins de contato por telefone, correio eletrônico, SMS, mala direta ou por outros meios de comunicação, bem como realizar contato por meio de e-mails, mensagens de texto e ligações telefônicas;

• Realizar pesquisas de opinião visando a melhoria de nossos produtos e/ou serviços;

• Informar aos nossos USUÁRIOS sobre novidades, produtos, serviços, funcionalidades, conteúdos, promoções, notícias e demais eventos relevantes da IPIRANGA e de seus parceiros;

• Entender perfis de USUÁRIOS conforme dados fornecidos e operações realizadas, para personalizar os serviços, produtos e benefícios oferecidos, bem como a comunicação e a divulgação destes aos USUÁRIOS;

• Realizar atividades de análise do funcionamento das nossas plataformas, a fim de aprimorar o nosso desempenho, bem como oferecer aos USUÁRIOS uma navegação mais facilitada, com funcionalidades personalizadas às suas preferências;

• Aumentar a segurança de nossas plataformas e combate à fraude;

• Cumprir com obrigações legais ou regulatórias e/ou exercer direitos em demandas judiciais, administrativas ou arbitrais;

• Consultar terceiros, a exemplo de empresas de combate à fraude, para fins de validação dos dados cadastrais informados; e empresas de marketing, para melhor adequação dos produtos e/ou serviços disponibilizados pela IPIRANGA;

• Realizar o enriquecimento de nossa base de dados, adicionando informações oriundas de outras fontes legítimas (inclusive decorrentes de bases de dados de outras empresas com as quais nos relacionamos), quando necessário, para estabelecer ou manter contato com o USUÁRIO sobre os produtos e/ou serviços da IPIRANGA ou para entender o perfil de consumo do USUÁRIO para que a IPIRANGA possa indicar produtos e/ou serviços direcionados da IPIRANGA ou de Parceiros com os quais a IPIRANGA mantenha relação comercial.

Para além dessas situações, poderemos realizar o tratamento de seus dados pessoais de forma anonimizada (de maneira que não seja possível identificar os USUÁRIOS).

2. COM QUEM COMPARTILHAMOS OS DADOS COLETADOS?

O fim máximo da coleta de dados pessoais é possibilitar a utilização de nossos serviços por parte de nossos USUÁRIOS. Como muitos de nossos negócios contam com a participação de outras empresas, naturalmente podemos ter de compartilhar seus dados pessoais com:

• Nossos parceiros comerciais visando a entrega dos produtos e/ou serviços ao USUÁRIO;

• Prestadores de serviços, fornecedores e/ou empresas que pertençam ao nosso Grupo Econômico com as quais compartilhamos infraestrutura tecnológica, visando a manutenção e operabilidade das nossas plataformas, execução das atividades da IPIRANGA e a continuidade na entrega de nossos produtos e serviços. Os nossos fornecedores de tecnologia também poderão ter acesso a alguns dados pessoais quando necessário e previsto contratualmente e o USUÁRIO deve estar ciente de que estes fornecedores de tecnologia podem estar estabelecidos em outros países, e que seus dados podem ser processados fora do Brasil para finalidades diretamente ligadas à relação que o USUÁRIO possui com a IPIRANGA;

• Instituições financeiras, para viabilizar a concessão de benefícios relacionados aos nossos serviços e/ou produtos. Nesses casos, é possível que o parceiro receptor tenha de utilizar suas informações para realizar análises prévias à concessão do benefício desejado. Conforme a parceria, sempre será possível a consulta direta junto à empresa terceira quanto ao modo de tratamento de dados por parte desta, de modo que as informações tratadas nesta Política deverão ser conjugadas com aquelas oportunamente fornecidas pelas empresas terceiras. Em caso de dúvidas, nos contate por meio de nossos Canais de Contato;

• Terceiros em caso de reorganização e/ou sucessão societária visando manter a continuidade das nossas plataformas, produtos e serviços;

• Empresas de Serviços antifraude específicos, em alguns casos, se houver suspeita fundada de fraudes.

Outras demandas legais específicas podem levar ao compartilhamento de dados pessoais, inclusive para eventual defesa dos nossos direitos e interesses em quaisquer tipos de conflitos, especialmente ações judiciais.

Nossas páginas que sejam/estejam hospedadas em sites de terceiros (como páginas do Facebook, Twitter, Instagram e/ou outros sites e tecnologias de terceiros) sujeitam-se também aos termos e às políticas desses terceiros, com relação à coleta de dados, divulgação e/ou conteúdos controlados/proibidos. É importante que o USUÁRIO leia e se informe sobre os termos e condições desses terceiros antes de fazer uso dos serviços/ do produto.

Os conteúdos contidos em páginas de terceiros, que redirecionem para nossas páginas ou para quando o acesso é feito por meio de um link de redirecionamento em nossa página, sujeitam-se aos termos e às políticas desses terceiros. Nós não podemos nos responsabilizar pelas práticas destes outros sites e sugerimos que o USUÁRIO leia atentamente a política deles, sempre que estejam disponíveis.

3. COMO PROTEGEMOS SEUS DADOS PESSOAIS?

Nós prezamos pela segurança de seus dados pessoais. Atuamos para implementar medidas de segurança que protejam nossos sistemas e bases de dados. Dentre as medidas de segurança que adotamos estão o controle de acesso de informações, a utilização de firewalls e a implementação de política interna de segurança da informação.

No entanto, apesar de nossos esforços, considerando a natureza e arquitetura da internet, o que inclui elementos que não estão sob nosso controle, é impossível garantir que agentes mal-intencionados não conseguirão ter acesso ou fazer uso indevido de dados pessoais, pois se trata de um risco inerente a utilização de sistemas informatizados.

4. DIRETRIZES DE RETENÇÃO DOS DADOS PESSOAIS

A retenção de dados pessoais pelo IPIRANGA respeitará as seguintes diretrizes:

• Apenas serão mantidos dados pessoais estritamente necessários para o cumprimento da finalidade do Tratamento. O USUÁRIO poderá solicitar a exclusão de dados pessoais desnecessários, excessivos ou tratados em desconformidade;

• Os dados pessoais deverão ser mantidos apenas durante o tempo em que sejam necessários para a realização do Tratamento, com a exceção da preservação das informações necessárias para o cumprimento de obrigações legais e regulatórias pela IPIRANGA, ou a manutenção de dados necessários para que a IPIRANGA exerça seus direitos perante demandas administrativas, judiciais ou arbitrais.

5. QUAIS SÃO OS DIREITOS DOS USUÁRIOS?

Os USUÁRIOS podem exercer os seguintes direitos sobre seus dados pessoais:

• CONFIRMAÇÃO, ACESSO A DADOS E INFORMAÇÕES SOBRE COMPARTILHAMENTO

O USUÁRIO pode requerer que a IPIRANGA confirme se trata os seus dados pessoais e, em caso positivo, pode requerer o acesso aos mesmos. Poderá requerer, ainda, informações sobre as entidades públicas e privadas com as quais a IPIRANGA realiza compartilhamento dos seus dados.

• CORREÇÃO

Caso os dados pessoais estejam incorretos ou desatualizados, o USUÁRIO poderá solicitar a correção ou atualização das suas informações.

• ANONIMIZAÇÃO, BLOQUEIO OU EXCLUSÃO DE SEUS DADOS PESSOAIS

O USUÁRIO poderá solicitar a anonimização, bloqueio ou exclusão de dados pessoais que sejam excessivos ou desnecessários ou tratados em desconformidade com o disposto na LGPD..

Porém, a disponibilização de alguns de nossos serviços, produtos e/ou ações, não são possíveis sem que se identifique minimamente o USUÁRIO ou se tenha determinadas informações sobre o USUÁRIO. Por isso, caso o USUÁRIO exerça esses direitos, em algumas situações isso pode significar que a IPIRANGA não poderá mais disponibilizar determinados serviços, produtos e/ou ações ao USUÁRIO.

Após o encerramento da prestação dos nossos serviços por solicitação do USUÁRIO ou, por qualquer motivo, havendo o encerramento da relação existente entre o USUÁRIO e a IPIRANGA, também ocorrerá a exclusão de seus dados pessoais.

É possível que, desde que não sejam excessivos, alguns dados pessoais permaneçam armazenados devido a obrigações legais da IPIRANGA ou para a proteção dos interesses legais da IPIRANGA ou de nosso Clientes.

• OPOSIÇÃO

Caso o USUÁRIO não concorde com determinado tratamento de seus dados, poderá se opor a este tratamento. Também poderá se opor ao envio de comunicados por e-mail ou SMS.

• PORTABILIDADE

O USUÁRIO poderá requerer a portabilidade dos seus Dados Pessoais a outro fornecedor de serviço ou produto, conforme a regulamentação a ser estabelecida pela Autoridade Nacional de Proteção de Dados (ANPD), observados os segredos comerciais e industriais da IPIRANGA;

Adicionalmente, caso a IPIRANGA realize algum tratamento de dados utilizando a base legal do consentimento, o USUÁRIO também poderá exercer os seguintes direitos:

• INFORMAÇÃO SOBRE A POSSIBILIDADE DE NÃO CONSENTIR E DE REVOGAR O SEU CONSENTIMENTO

Sempre que for necessário o seu consentimento para que a IPIRANGA realize determinados tratamentos de dados que sejam fundamentados nessa Base Legal, o USUÁRIO deve ser livre para conceder ou negá-lo, e nós disponibilizaremos as informações sobre a possibilidade e as consequências de não fornecer o consentimento.

• REVOGAÇÃO DO CONSENTIMENTO

• ELIMINAÇÃO DOS DADOS, CASO SEJAM TRATADOS COM BASE EM SEU CONSENTIMENTO

Se tiver qualquer dúvida ou caso queira exercer os seus direitos, o USUÁRIO pode procurar os nossos Canais de Contato, indicados nessa Política e onde consta, ainda, o contato do nosso Encarregado Pelo Tratamento de Dados Pessoais, para o qual o USUÁRIO também poderá enviar, diretamente, qualquer tipo de reclamação ou solicitação relacionada aos seus dados pessoais.

6. DADOS DE MENORES

Nossas plataformas não se destinam a menores de 16 (dezesseis) anos de idade, por isso, não coletamos ou realizamos, intencionalmente, qualquer tipo de tratamento desses dados. Caso o USUÁRIO não possua a idade mínima exigida, ele não deve acessar e utilizar nossas plataformas sem a representação de seus pais, tutores ou curadores, na forma da lei.

Para acessar determinados produtos e/ou serviços disponibilizados pela IPIRANGA é necessário, ainda, ser maior de 18 (dezoito) anos de idade, conforme regras e regulamentos dos respectivos produtos e/ou serviços (que podem ser Programas de Fidelidade).

Nas hipóteses acima, se identificarmos dados pessoais de menores de idade de forma não-intencional, removeremos esses dados.

7. DISPOSIÇÕES ADICIONAIS

O USUÁRIO é corresponsável pelo sigilo de suas informações pessoais. O compartilhamento, pelo USUÁRIO, de logins, senhas ou qualquer tipo de credencial, configura violação a esta Política de Privacidade.

Os dados do cartão de crédito dos USUÁRIOS não serão armazenados, copiados ou disponibilizados a terceiros pela IPIRANGA, pois as operações de pagamento são realizadas em ambiente virtual diretamente com as instituições financeiras.

Em caso de dúvidas e solicitações quanto ao conteúdo desta Política de Privacidade, entre em contato via nossos Canais de Contato.

Atualizado pela última vez em 04 de outubro de 2024.

Veja a política na íntegra

Política de Segurança - Fornecedores

1. Objetivo

A Política de Segurança da Informação para Terceiro visa estabelecer as regras e diretrizes que guiam o relacionamento com os fornecedores, e/ou prestadores de serviço juntos as Empresas do Grupo Ipiranga (“Empresas”), sendo a base para o estabelecimento de todos os padrões e procedimentos de segurança.
A Política se aplica a todo terceiro que forneça ou desenvolva algum tipo de sistema ou serviço para as Empresas do Grupo Ipiranga, sendo os gestores de cada sistema responsáveis pela correta adequação dos pontos de segurança que não estejam atendidos pelo seu Terceiro.

2. Público-Alvo

Este documento aplica-se a todos os fornecedores e/ou prestadores de serviços que estabelecem contrato com as Empresas do Grupo Ipiranga.

3. Papéis e Responsabilidades

Todos os fornecedores e/ou prestadores de serviços, em qualquer nível hierárquico, na sua esfera de competência, serão responsáveis por cumprir e zelar pela materialização e realização eficaz das normas e princípios da segurança da informação. Em atenção especial ao compromisso com os critérios legais e éticos que envolvam as Empresas do Grupo Ipiranga. É de inteira responsabilidade do Terceiro qualquer prejuízo ou dano sofrido ou causado alguma das Empresas do Grupo Ipiranga ou a terceiros, em decorrência da não obediência às diretrizes e às normas aqui referidas.

4. Termos e Definições

Ativos de Informação: dados, sistemas, infraestrutura, softwares, documentos e outros recursos que possuem valor para a organização.

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Dados Pessoais: informação relacionada a pessoa natural/física identificada ou identificável.

Disponibilidade: propriedade de que a informação e os ativos correspondentes estejam acessíveis e utilizáveis, sempre que necessário, pelos usuários autorizados.

Grupo Ipiranga: Ipiranga Produtos de Petróleo S.A., suas Afiliadas, Controladas e Coligadas constituídas no Brasil, consideradas em conjunto.

Incidente de Segurança - Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores, bem como toda situação em que uma entidade de informação está sob risco.

Integridade: capacidade de garantir que a informação esteja mantida em seu estado original, conforme foi concebida, a fim de protegê-la contra alterações indevidas, intencionais ou acidentais na guarda ou transmissão.

Lei Geral de Proteção de Dados Pessoais (LGPD): Lei n.° 13.709/2018, que dispõe sobre o tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da Lei (arts. 1° e 17, LGPD).

Terceiro: Prestadores de Serviço, Fornecedores e/ou Parceiros que realizam prestação de serviço ou oferta de produtos para as Empresas do Grupo Ipiranga.

Mesa Limpa: Política que ajuda a prevenir o acesso não autorizado a informações sensíveis e a proteger os dados da organização.
Trabalho remoto: Toda prestação de serviços que é feita à distância. Ou seja, quando o colaborador não está trabalhando nas dependências do escritório da empresa. Ou quando não se tratar de locação de mão de obra.

5. Descrição das Regras Gerais

5.1. Geral

Os prestadores de serviços, fornecedores e/ou parceiros devem cumprir com todos os requisitos das legislações aplicáveis, e devem comprometer-se a seguir integralmente os itens a seguir:

Assegurar a confidencialidade, integridade e disponibilidade das informações da Empresa, mediante utilização de mecanismos de segurança da informação, balanceando fatores de risco, tecnologia e custo;
Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela Empresa, estando sujeitos à monitoração, rastreabilidade e auditoria;
Assegurar a participação do quadro de pessoal da organização na Conscientização em Segurança da Informação;
Assegurar a existência de processos para continuidade de negócios e gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra-ataques cibernéticos;
Garantir o cumprimento desta Política, Procedimentos e Padrões de Segurança da Informação e Privacidade da Empresa;
Garantir que todos os incidentes de segurança da informação e/ou suspeitas de fraquezas serão reportados e tratados;
Identificar os riscos de segurança da informação, que permanentemente serão avaliados, controlados e se possível reduzidos;
Atender às leis que regulamentam as atividades da Empresa e seu mercado de atuação;
Assegurar a existência de um programa anual de treinamento e conscientização em Segurança da Informação para todos os seus colaboradores;
Prestadores de serviço/fornecedores devem passar por processo de qualificação de Segurança da Informação na pré-contratação ou contratação;
Em caso de subcontratação pelo fornecedor e/ou prestador de serviço, este deverá garantir que a empresa subcontratada siga todos os requisitos de segurança da informação estabelecidos neste documento e nas legislações aplicáveis.

5.2. Responsabilidades específicas

5.2.1. Conscientização Sobre Segurança da Informação

A educação em segurança da informação deve ser um processo contínuo e praticado regularmente a fim de reduzir riscos. Todos os colaboradores do fornecedor e/ou do prestador de serviço que tenham acesso aos sistemas de informação devem anualmente participar de um programa de conscientização em segurança da informação.

5.2.2. Acordos de confidencialidade

Contratos de não-divulgação firmados pelos colaboradores e fornecedores/prestadores de serviço devem permanecer em vigor após a rescisão ou mudança na relação trabalhista.

5.2.1. Para todos os fins, serão consideradas informações confidenciais Informações Confidenciais (i) toda e qualquer informação relativa ao negócio da Contratante, bem como qualquer informação que seja revelada, fornecida, comunicada ou adquirida (verbalmente, por escrito, em forma eletrônica, textos, desenhos, fotografias, gráficos, projetos, plantas ou qualquer outra forma) pela Contratada na pessoa de seus sócios, administradores, diretores, empregados ou prepostos ou subcontratados; e (ii) qualquer segredo de negócio ou know-how, documento, croqui, desenho, fita de vídeo, reproduções, traduções, tabelas, gráficos, documentos financeiros, demonstrações financeiras, documentos contábeis, relatórios de auditoria, fórmulas, estudos, pareceres, métodos de elaboração, métodos analíticos, pesquisas, banco de dados, dados técnicos, dados operacionais, dados de engenharia, especificações técnicas, especificações de equipamentos, requerimentos escritos e qualquer outra forma de comunicação ou documentação da Contratante, escrita ou não (através de meios audiovisuais, mídia eletrônica ou qualquer outra forma), relacionados às informações supra mencionadas.

5.2.3. Classificação da Informação

Os dados devem ser tratados com base nas exigências de confidencialidade, integridade e disponibilidade das informações

5.2.4. Tratamento de Mídia

O fornecedor e/ou prestador de serviços deverá estabelecer um procedimento seguro para o tratamento das mídias (discos rígidos internos/externos, drives de memória, etc.), considerando o descarte de forma segura, ou então a completa migração para o ambiente da Ipiranga, com a devida expurgação de sua propriedade exclusiva, a fim de prevenir a divulgação não autorizada de dados. Após a expurgação dos dados o fornecedor e/ou prestador devem apresentar um laudo sobre o processo de expurgo, emitido por uma empresa especializada.

Caso seja impossível expurgar os dados, o fornecedor e/ou prestador de serviços devem garantir a proteção de todos os dados contra acesso não autorizado e/ou vazamentos.

5.2.5. Controle de Acesso

O acesso aos ativos deve ser gerenciado pelo proprietário dos ativos. Em particular, a norma de controle de acesso deve ser estabelecidas, documentada e revisada periodicamente, de forma a refletir a realidade de acessos pertinente.

O acesso aos dados, sistemas e aplicativos deve ser controlado por um procedimento seguro de autenticação.
Os processos de gestão de acesso de usuário devem ser definidos e formalizados, incluindo as etapas de provisionamento, alteração e exclusão. O acesso de usuário deve ser atribuído conforme necessário.

O processo deve garantir a responsabilização pelas ações de gestão de acesso de usuário. Revisões formais de direitos de acesso de usuário devem ser realizadas periodicamente, dependendo da criticidade do ativo, semestralmente, a fim de identificar qualquer acesso não autorizado e garantir a devida segregação de atribuições.

5.2.6. Política mesa e tela limpa

Deve ser estabelecida uma política de mesa e tela limpa nas instalações de processamento de informações, levando em conta as classificações de informação, a disponibilidade e integridade das informações, as exigências legais e contratuais e os riscos presentes nas circunstâncias concretas.

5.2.7. Segurança de Serviços de Rede

Cada serviço de rede, seja local ou terceirizado, deve incluir mecanismos de segurança (proteção, detecção e reação) adaptados à sensibilidade dos dados sendo transmitidos. Esses mecanismos de segurança devem ser implementados na rede ou diretamente nos sistemas, aplicativos, estações de trabalho e/ou banco de dados.

Todas as transferências de dados devem ser realizadas por ferramentas explicitamente validadas por equipe tecnicamente qualificada.

5.2.8. Trabalho Remoto

Deve ser estabelecido uma política de trabalho remoto, visando assegurar a confidencialidade, a integridade e a disponibilidade das informações tratadas fora do ambiente de trabalho.

5.2.9. Backup de Informações e Sistemas

As políticas de backup e restore devem ser definidas para os dados, software e sistemas que tratam dados.

5.2.10. Relações com Terceiros

Os serviços entregues por terceiros devem seguir as diretrizes estabelecidas nesta política, sendo de total responsabilidade do fornecedor de serviços a garantia pelo cumprimento dos serviços e de todas as obrigações contratuais e legais.

5.2.11. Aquisição, Desenvolvimento e Manutenção de Sistemas

Todos os fornecedores de softwares, desenvolvimento ou manutenção de sistemas, sempre iniciar um novo projeto de TI ou mudança substancial em sistema de informação existente, recomendamos que os itens obrigatórios de segurança sejam documentados.

5.2.12. Gestão de Incidentes

Os incidentes de Segurança da Informação devem ser identificados e gerenciados por processos consistentes, disciplinados e compartilhados.
Assim que identificados, o mais rápido possível, todos os incidentes de segurança devem ser notificados e comunicados a área de Segurança da Informação da Ipiranga.

O fornecedor deverá ter um plano de emergência para a gestão de continuidade dos serviços, incluindo aspectos de segurança da informação, com o objetivo de garantir a disponibilidade dos recursos em caso de incidente de Segurança da Informação. O plano de emergência deve ser previamente aprovado pela Ipiranga.

A equipe responsável deve investigar a causa raiz do incidente a fim de mitigar impactos futuros.

5.3. Observância de Leis e Normas

As atividades da Empresa devem garantir a observância das obrigações contratuais para assegurar que as devidas exigências de segurança sejam levadas em conta em seus processos.

Ao Terceiro que trata dados pessoais, a este deve garantir que os dados pessoais sejam gerenciados de acordo com a Lei 13.709 de 14 de agosto de 2019 – Lei Geral de Proteção de Dados Pessoais, quando nenhuma outra orientação for passada.

As atividades do fornecedor, prestador de serviços e parceiros devem garantir a observância das obrigações estatutárias e regulatórias para assegurar que as devidas exigências de segurança sejam levadas em conta em seus processos. Todas as exigências legais, estatutárias e regulatórias relevantes devem ser explicitamente definidas e documentadas.

5.4. Violações

Qualquer violação das diretrizes constantes nesta política constitui-se em incidentes de segurança da informação e será devidamente registrado e analisado pelo Comitê de Segurança da Informação da Ipiranga.

Após análise do Comitê de Segurança, serão deliberadas medidas disciplinares ao fornecedor, que podem incluir:

Advertência formal ou informal;
Cancelamento do contrato de prestação de serviço;
Multas previstas em contrato;
Ações judiciais ou abertura de boletim de ocorrência.

5.5. Adesão e Atualização de Política

Ao aderir a presente política o fornecedor concorda que este documento poderá ser atualizado a qualquer momento pela Ipiranga, devendo o fornecedor se adequar a eventuais alterações no prazo estipulado pela Ipiranga.

Veja a política na íntegra

Política de Segurança - Pública

A presente Política de Segurança da Informação, visa estabelecer o Sistema de Gestão da Segurança da Informação e consolidar as diretrizes a serem adotadas pela Ipiranga (incluindo fornecedores de produtos e/ou serviços), para tratar de Segurança da Informação, definindo papéis e responsabilidades dentro da estrutura de governança da Ipiranga.

1. Objetivo

Este documento deve ser considerado em conjunto com a Política Corporativa - Código de Ética e as demais políticas e normas da Ipiranga.

2. Público-Alvo

Esta Política é aplicável a todos os colaboradores e terceiros com acessos físicos ou digitais a informações e aos ambientes de tecnologia da Ipiranga.

3. Papéis e Responsabilidades

As responsabilidades elencadas devem ser vistas como o mínimo a ser garantido pelos responsáveis, sem limitar ou impedir cada área de atuar de maneira abrangente em benefício da segurança a fim de garantir a melhoria e manutenção da segurança nos ambientes de informação da Ipiranga.

• Compete à Diretoria de Tecnologia da Informação:

Aprovar a Política e suas revisões;
Assegurar o comprometimento com a melhoria contínua e o cumprimento da legislação e demais requisitos aplicáveis;
Destinar investimentos para manter ativos de tecnologia atualizados, seguros e suportados pelos seus respectivos fabricantes, e para execução e manutenção dos Mecanismos de Gestão de Segurança da Informação no negócio, independentemente se tais ativos de tecnologia sejam operados ou hospedados pela TI ou por fornecedores contratados;
Monitorar e supervisionar a implementação dos planos de ação e controles mitigatórios relacionados a riscos de Segurança da Informação, assegurado o apoio da Gerência de Segurança da Informação se entender necessário;
Assegurar a efetividade desta Política, sugerindo revisões e atualizações para o Comitê Diretor de Segurança da Informação.

• Compete à Gerência de Segurança da Informação da Ipiranga:

Estruturar as Políticas, propondo as diretrizes e normas de gestão de Segurança da Informação;
Estruturar os Mecanismos de Gestão de Segurança da Informação para o cumprimento desta Política e das diretrizes e normas de gestão de Segurança da Informação;
Estruturar o programa de conscientização e treinamento em Segurança da Informação;
Propor os padrões e requisitos mínimos de Segurança da Informação nos ambientes de tecnologia;
Identificar, classificar e reportar para o Comitê Diretor de Segurança da Informação os riscos e vulnerabilidades de Segurança da Informação;
Identificar, classificar e reportar para o Comitê Diretor de Segurança da Informação as violações a esta Política, e/ou às diretrizes e normas de gestão de Segurança da Informação;
Definir ou recomendar planos de ação e controles mitigatórios relacionados a riscos e vulnerabilidades de Segurança da Informação;
Gerir os processos de Segurança da Informação dos sistemas e infraestrutura corporativas;
Coordenar os comitês e demais fóruns relacionados à Segurança da Informação;
Garantir a implementação dos programas de conscientização e treinamento em Segurança da Informação elaborados e/ou propostos pela Gerência de Segurança da Informação para todos os Colaboradores e Terceiros zelando pelo cumprimento de tais regras;
Garantir a priorização e execução de planos e investimentos para mitigação de riscos de Segurança da Informação e para garantir a conformidade com os princípios desta Política.

• Compete ao Comitê de Segurança da Informação:

Analisar os incidentes de segurança e aplicar as sanções adequadas ao cenário da infração;
Monitorar e supervisionar indicadores de Segurança da Informação;
Estruturar e definir o planejamento estratégico de Segurança da Informação;
Acompanhar temas críticos relacionados à Segurança da informação.

• Compete a todos os Colaboradores e Terceiros da Ipiranga:

Seguir o disposto neste documento e demais políticas, diretrizes e normas de gestão de Segurança da Informação;
Classificar o nível de confidencialidade de todo documento criado ou informação transmitida com base nos critérios da Norma - Classificação da Informação;
Relatar tempestivamente ocorrências de incidentes de Segurança da Informação através do seu gestor, do Service Desk ou diretamente para as equipes de Segurança da Informação ou de Tecnologia;
Participar de todas as ações de treinamento e conscientização em Segurança da Informação estabelecidas pela Ipiranga;
Preservar e cuidar dos ativos físicos da empresa.

4. Termos e Definições

Confidencialidade: As informações devem estar disponíveis apenas para indivíduos, entidades e/ou processos autorizados pela Ipiranga;
Integridade: O processamento de informações na Ipiranga deve garantir a sua exatidão e a sua completude;
Disponibilidade: as informações e os ambientes de tecnologia da Ipiranga devem estar acessíveis e disponíveis aos usuários de maneira permanente;
Autenticidade: é fundamental que as informações sejam verdadeiras e seguras. Isto é, elas precisam ser decorrentes de fontes confiáveis;
Privacidade: a privacidade se pode definir como o direito que tem o indivíduo de manter indevassados dados e informações que lhe digam respeito.

5. Descrição das Regras Gerais

5.1. Política de Segurança da Informação

Garantir a satisfação dos nossos clientes e prover a melhoria contínua dos processos e serviços de tecnologia considerando: Confidencialidade, integridade e disponibilidade das informações das partes interessada.

5.2. Gestão de Segurança da Informação

De forma geral, a organização baseia sua estratégia de segurança da informação nas exigências e boas práticas de mercado e em requisitos definidos na Norma Internacional de Gestão de Segurança da Informação – ISO 27001/2022;
A implementação de mecanismos e controles de segurança deve ser justificada com base no valor associado às informações envolvidas e ao impacto oriundo da eventual perda dessas informações;
Os registros de auditoria dos acessos e alterações das informações críticas devem ser devidamente mantidos e tais registros devem possibilitar a identificação de qualquer operação ou alteração não autorizada;
Devem ser priorizadas medidas preventivas ao contrário de controles reativos e, sempre que possível, as medidas de segurança devem ser atendidas através de soluções técnicas que não dependam de processos manuais ou que não estejam sujeitas a erros humanos.

5.3. Informações Relevantes

O presente documento em conjunto com as Políticas e Procedimentos deve ser lido e interpretado pelos colaboradores;
Esta Política, bem como os demais documentos que a complementam encontram-se disponíveis para consulta a qualquer tempo através do Portal do conhecimento ou site da Ipiranga;
Em caso de indisponibilidade, podem ser solicitadas à área de segurança da informação pelo canal “segurança.informacao@ipiranga.ipiranga”;
É importante ressaltar que o comitê de segurança da informação é formado por: Gerentes e Diretor de TI da Ipiranga.

5.4. Revisão, Atualização e Conscientização dos Colaboradores

Esta Política deverá ser revisada a cada 18 meses. Todos os outros documentos que derivam ou ampliam a presente Política deverão ser revisados da mesma forma;
Toda vez que a Política for revisada e/ou alterada, a área de segurança da informação deverá providenciar um treinamento para conscientizar todos os colaboradores e áreas da Ipiranga, sem qualquer exceção.

5.5. Objetivos de Segurança da Informação

Implementação do Sistema de Gestão da Segurança da Informação de acordo com a ISO 27001:2022;
A conscientização dos colaboradores que estão no escopo do SGSI deve ser realizada com objetivo de manter e melhorar o nível de segurança da informação na Ipiranga;
Os riscos deverão ser analisados, classificados e apresentados ao Comitê de Segurança da Informação que deliberará sobre o tratamento adequado para tais;
Os incidentes de segurança devem ser reportados para a área de Segurança da Informação para que sejam analisados, avaliados e tratados.
Consequências das Violações da Política de Segurança da Informação
O não cumprimento desta Política de Segurança da Informação (PSI) pode ser razão para a aplicação de sanções administrativas cabíveis por parte da Ipiranga ao(s) colaborador(es) infrator(es). Estas sanções serão decididas nas reuniões do Comitê de Segurança da Informação, podendo, ainda, ensejar advertência, suspensão ou demissão por justa causa (nos termos do art. 482, alínea "g" da CLT), sem prejuízo das possíveis consequências nas esferas cível e criminal.

Veja a política na íntegra

Web Content Viewer

Políticas Ipiranga

Política de Privacidade

Política de Segurança - Fornecedores

Política de Segurança - Pública