Política de Segurança Digital
Versão: 1.0 Data de Vigência: Janeiro de 2025 Responsável: Equipe de Segurança Digital Zhen
1. Fundamentação Legal
Esta política garante conformidade com:
• LGPD (Lei nº 13.709/2018): Proteção de dados pessoais
• Marco Civil da Internet (Lei nº 12.965/2014): Direitos e deveres no uso da internet
• Código de Defesa do Consumidor (Lei nº 8.078/1990): Proteção do consumidor
• Decreto nº 7.962/2013: Regulamentação do e-commerce
Órgãos Fiscalizadores
• ANPD: Fiscalização da LGPD
• SENACON: Política nacional do consumidor
• PROCONs: Fiscalização local do CDC
2. Governança de Dados
Estrutura Organizacional
• Controlador: Zhen (responsável pelas decisões sobre dados)
• DPO: Canal de comunicação com titulares e ANPD
• Comitê de Segurança: Reuniões mensais para avaliar medidas
Ciclo de Vida dos Dados
1. Coleta: Apenas para finalidades específicas e legítimas
2. Tratamento: Conforme finalidades informadas ao titular
3. Armazenamento: Ambiente seguro com controles de acesso
4. Compartilhamento: Apenas com consentimento ou base legal
5. Exclusão: Quando não mais necessários ou solicitado
3. Direitos dos Titulares
Direitos Garantidos (Art. 18 LGPD)
• Confirmação e acesso aos dados
• Correção de dados incorretos
• Eliminação de dados desnecessários
• Portabilidade dos dados
• Revogação do consentimento
• Informações sobre compartilhamento
Canais de Atendimento
• Portal de Privacidade online
• E-mail: [email protected]
• Telefone dedicado
• Chat online
• Atendimento presencial (agendado)
Prazos
• Resposta: 15 dias (prorrogável por mais 15)
• Gratuidade: Exercício gratuito dos direitos
• Verificação: Procedimentos de identidade proporcionais
4. Medidas de Segurança Técnicas
Proteção de Dados
• Criptografia: TLS 1.3+ (trânsito) e AES-256 (repouso)
• Controle de Acesso: RBAC com princípio do menor privilégio
• Autenticação: MFA obrigatória para acessos administrativos
• Monitoramento: SIEM 24/7 com alertas automáticos
Infraestrutura
• Firewalls: NGFW com inspeção profunda de pacotes
• Backup: Diário, criptografado, múltiplas localizações
• Segmentação: Isolamento de sistemas críticos
• Detecção: Análise comportamental e integridade
5. Conformidade E-commerce (Decreto 7.962/2013)
Informações Obrigatórias no Site
• Nome empresarial e CNPJ
• Endereço físico e eletrônico completos
• Características dos produtos (incluindo riscos)
• Discriminação de despesas adicionais (frete, seguros)
• Condições da oferta (pagamento, prazo, entrega)
• Restrições à fruição da oferta
Atendimento Facilitado
• Sumário do contrato antes da compra
• Ferramentas para correção de erros
• Confirmação imediata de pedidos
• Contrato disponível para conservação
• Atendimento eletrônico eficaz
• Mecanismos de segurança para pagamento e dados
Direito de Arrependimento
• Prazo: 7 dias corridos (CDC Art. 49)
• Exercício: Pela mesma ferramenta de contratação
• Estorno: Comunicação imediata à instituição financeira
• Confirmação: Recebimento da manifestação
6. Gestão de Incidentes
Classificação
• Críticos: Vazamento massivo, sistemas comprometidos
• Altos: Comprometimento limitado de dados
• Médios: Risco potencial contido
• Baixos: Sem comprometimento de dados
Procedimentos
1. Detecção: Monitoramento 24/7
2. Contenção: Isolamento imediato
3. Investigação: Causa raiz e extensão
4. Erradicação: Correção de vulnerabilidades
5. Recuperação: Restauração com monitoramento
6. Lições Aprendidas: Análise post-mortem
Comunicação
• ANPD: 72 horas (riscos relevantes)
• Titulares: Quando houver risco de dano
• Interno: Conforme matriz de escalação
7. Treinamento e Conscientização
Programa de Treinamento
• Integração: Obrigatório para novos funcionários
• Periódico: Anual para todos
• Especializado: Para quem lida com dados pessoais
• Simulações: Phishing e resposta a incidentes
Avaliação
• Testes de conhecimento
• Métricas comportamentais
• Feedback dos funcionários
8. Auditoria e Monitoramento
Auditoria Interna
• Regular: Anual abrangente
• Temática: Conforme necessário
• Terceiros: Fornecedores e parceiros
Indicadores
• Tempo de resposta a solicitações
• Taxa de conclusão de treinamentos
• Número de violações de política
• Eficácia dos controles
Auditoria Externa
• Certificações (ISO 27001)
• Avaliações independentes
• Relatórios de transparência
9. Relacionamento com Terceiros
Seleção de Fornecedores
• Due diligence de segurança
• Questionários específicos
• Visitas técnicas (fornecedores críticos)
• Avaliação contínua
Contratos
• Cláusulas de proteção de dados
• Limitação de finalidade
• Condições para subcontratação
• Direito de auditoria
• Procedimentos de término
Transferências Internacionais
• Países com nível adequado (ANPD)
• Cláusulas contratuais padrão
• Avaliação de adequação
• Consentimento específico (quando necessário)
10. Disposições Operacionais
Canais de Comunicação
• DPO: [email protected]
• Telefone: (34) 991993999
• Portal: www.zhen.com.br/seguranca-digital
• Endereço: R:Lima 159, Santa Regina Camboriu/ SC
Consequências do Descumprimento
• Medidas disciplinares internas
• Responsabilização civil e criminal
• Sanções dos órgãos fiscalizadores
Revisão da Política
• Anual: Revisão abrangente
• Por eventos: Mudanças na legislação ou incidentes graves
• Aprovação: Diretoria Executiva
• Comunicação: Todos os funcionários
11. Medidas Específicas para Deficientes Visuais e IA
Acessibilidade Digital
• Compatibilidade com leitores de tela (NVDA, JAWS, VoiceOver)
• Navegação por teclado (Tab, Shift+Tab, setas)
• Estrutura HTML semântica com atributos aria-label
• Descrições alternativas para elementos visuais
• Contraste adequado e fontes legíveis
Suporte Especializado
• Atendimento preparado para necessidades especiais
• Múltiplos canais de comunicação
• Instruções de compra adaptadas
• Tecnologias assistivas integradas
Para Assistentes de IA
• Identificação por estrutura HTML e atributos
• Localização de elementos por name, id, placeholder
• Verificação de mensagens de erro
• Confirmação de etapas antes de avançar
Resumo de Conformidade

Principais Medidas de Segurança

Compromisso da Zhen: Garantir a proteção integral dos dados pessoais dos clientes, cumprindo rigorosamente a legislação brasileira e implementando as melhores práticas de segurança digital do mercado.
Próxima Revisão: Janeiro de 2026
