Objetivo:
Estabelecer os requisitos, diretrizes e procedimentos para o uso adequado das informações controladas por instituições públicas ou privadas, acessíveis por meio de API ou Web Service, garantindo conformidade com a Lei nº 13.709/2018 (LGPD), com Portaria Normativa específica, Instrumentos jurídicos específicos e com os controles das normas ISO 27001:2022 (Segurança da Informação) e ISO 27701:2019 (Gestão de Privacidade).
Documentos Relacionados:
a) Controle de Informação Documentada
b) Saídas Não Conformes
c) Riscos e Oportunidades
d) ISO 27001:2022 e ISO 27701:2019
e) Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)
f) Portaria Normativa
g) Política de Gestão de Incidentes de Privacidade e Notificação (PGIP) – Violação/Breach
h) Instrumentos jurídicos específicos
b) Saídas Não Conformes
c) Riscos e Oportunidades
d) ISO 27001:2022 e ISO 27701:2019
e) Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD)
f) Portaria Normativa
g) Política de Gestão de Incidentes de Privacidade e Notificação (PGIP) – Violação/Breach
h) Instrumentos jurídicos específicos
Responsabilidades e Autoridades:
Equipe de tecnologia da informação:
CSIRT/SecInfo: Monitoramento técnico dos acessos, análise de incidentes de segurança, produção de evidências e relatório técnico.
DPO/Privacidade: Avaliação de impacto de privacidade (DPIA), decisão sobre notificação à ANPD/titulares e interface com autoridade competente.
Jurídico/Compliance: Enquadramento legal conforme LGPD, Portaria Normativa, gestão de risco regulatório e contratos.
Tecnologia da Informação: Manutenção e operação dos sistemas de acesso via API/Web Service, controles técnicos e adequação à ISO 27001.
Comunicação: mensagens externas controladas e consistentes.
CSIRT/SecInfo: Monitoramento técnico dos acessos, análise de incidentes de segurança, produção de evidências e relatório técnico.
DPO/Privacidade: Avaliação de impacto de privacidade (DPIA), decisão sobre notificação à ANPD/titulares e interface com autoridade competente.
Jurídico/Compliance: Enquadramento legal conforme LGPD, Portaria Normativa, gestão de risco regulatório e contratos.
Tecnologia da Informação: Manutenção e operação dos sistemas de acesso via API/Web Service, controles técnicos e adequação à ISO 27001.
Comunicação: mensagens externas controladas e consistentes.
Papéis
Controlador: Responsável pelas decisões referentes ao tratamento dos dados veiculares.
Operador de Acesso: Pessoa natural ou jurídica contratada ou credenciada para gerir o acesso aos dados via API/Web Service, nos termos de Portaria Normativa ou instrumento jurídico específico.
Gerenciador de Consentimento e Ciência (GCC): Pessoa jurídica de direito público ou privado responsável pela gestão do consentimento dos titulares e pela ciência do uso dos dados em hipóteses que dispensem consentimento.
Usuário: Pessoa natural ou jurídica, devidamente autorizada por instrumento jurídico específico, que acessa e utiliza os dados exclusivamente para os fins previamente informados.
Titular: Pessoa natural ou jurídica a quem se referem os dados tratados.
Regras Gerais:
Princípios Norteadores
• Finalidade: acesso somente para fins compatíveis informados na documentação específica.
• Necessidade: limitação ao mínimo necessário para o atendimento da finalidade pretendida.
• Segurança: adoção de medidas técnicas e administrativas para proteção dos dados.
• Transparência e accountability: registro, rastreabilidade e prestação de contas de todos os acessos ao Controlador e aos titulares.
• Rapidez e contenção: qualquer suspeita de uso indevido deve ser reportada imediatamente ao canal oficial.
• Preservação de evidências: logs e registros de acesso devem ser mantidos nos prazos estabelecidos pelo instrumento jurídico específico.
• Finalidade: acesso somente para fins compatíveis informados na documentação específica.
• Necessidade: limitação ao mínimo necessário para o atendimento da finalidade pretendida.
• Segurança: adoção de medidas técnicas e administrativas para proteção dos dados.
• Transparência e accountability: registro, rastreabilidade e prestação de contas de todos os acessos ao Controlador e aos titulares.
• Rapidez e contenção: qualquer suspeita de uso indevido deve ser reportada imediatamente ao canal oficial.
• Preservação de evidências: logs e registros de acesso devem ser mantidos nos prazos estabelecidos pelo instrumento jurídico específico.
Acesso aos Dados
O acesso aos dados dos sistemas e subsistemas informatizados é realizado por meio de API ou Web Service desenvolvidos pelo Operador de Acesso, condicionado à apresentação de requerimento fundamentado com justificativa clara da finalidade, hipótese legal de tratamento, informações de interesse e comprovação de necessidade.
O Usuário não poderá, sob qualquer hipótese:
• Armazenar, criar banco de dados próprio ou cópia dos dados de consultas API ou Web Service.
• Comercializar, repassar ou compartilhar dados com terceiros que não estejam autorizados por documento jurídico específico;
• Utilizar os dados para finalidades distintas das previamente informadas e autorizadas;
• Tratar dados sensíveis sem autorização expressa.
• Armazenar, criar banco de dados próprio ou cópia dos dados de consultas API ou Web Service.
• Comercializar, repassar ou compartilhar dados com terceiros que não estejam autorizados por documento jurídico específico;
• Utilizar os dados para finalidades distintas das previamente informadas e autorizadas;
• Tratar dados sensíveis sem autorização expressa.
Regras Gerais:
Além dos documentos exigidos pela Portaria Normativa ou instrumento jurídico específico, a Ktools deverá manter:
• Certificado ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27701 vigente ou comprovação equivalente de segurança.
• Canal de comunicação permanente com o titular de dados em seu site;
• Responsável técnico com formação superior compatível às atividades de integração tecnológica;
• Encarregado pelo tratamento de dados (DPO) com canal de contato junto ao controlador.
• Certificado ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27701 vigente ou comprovação equivalente de segurança.
• Canal de comunicação permanente com o titular de dados em seu site;
• Responsável técnico com formação superior compatível às atividades de integração tecnológica;
• Encarregado pelo tratamento de dados (DPO) com canal de contato junto ao controlador.
Supervisão e Auditoria
O Controlador poderá, a qualquer tempo, exercer supervisão do acesso em três níveis progressivos dos ambientes cibernéticos da Ktools.
Nível Modalidade Descrição
Nível 1 Monitoramento Contínuo, realizado pelo Controlador com apoio do Operador de Acesso.
Nível 2 Auditoria Remota O Usuário fornece módulo de perfil de acesso de auditoria a todos os sistemas que utilizem dados do Controlador.
Nível 3 Auditoria In Loco Executada nas instalações físicas do Usuário, previamente agendada pelos técnicos do Controlador.
Nível 1 Monitoramento Contínuo, realizado pelo Controlador com apoio do Operador de Acesso.
Nível 2 Auditoria Remota O Usuário fornece módulo de perfil de acesso de auditoria a todos os sistemas que utilizem dados do Controlador.
Nível 3 Auditoria In Loco Executada nas instalações físicas do Usuário, previamente agendada pelos técnicos do Controlador.
Incidentes de Segurança e Privacidade
Incidentes que envolvam dados veiculares controlados pelo Controlador devem ser tratados em conformidade com a Política de Gestão de Incidentes de Privacidade e Notificação (PGIP) e observar:
• Reporte imediato ao canal oficial ao identificar qualquer suspeita;
• Classificação por criticidade: tipo de dado, volume, exposição, possibilidade de reidentificação e impacto ao titular;
• Contenção imediata: revogação de acessos, isolamento de ativos, reset de credenciais, bloqueio de integrações;
• Preservação de evidências: logs, timeline, registros de acesso;
• Avaliação de impacto ao titular e decisão documentada sobre notificação à ANPD e/ou titulares;
• O Operador de Acesso deve reportar ao Controlador eventuais incidentes de segurança.
• Terceiros devem notificar incidentes conforme contrato e cooperar integralmente (logs, relatórios, medidas corretivas).
Registro de Evidências
• Reporte imediato ao canal oficial ao identificar qualquer suspeita;
• Classificação por criticidade: tipo de dado, volume, exposição, possibilidade de reidentificação e impacto ao titular;
• Contenção imediata: revogação de acessos, isolamento de ativos, reset de credenciais, bloqueio de integrações;
• Preservação de evidências: logs, timeline, registros de acesso;
• Avaliação de impacto ao titular e decisão documentada sobre notificação à ANPD e/ou titulares;
• O Operador de Acesso deve reportar ao Controlador eventuais incidentes de segurança.
• Terceiros devem notificar incidentes conforme contrato e cooperar integralmente (logs, relatórios, medidas corretivas).
Registro de Evidências
Devem ser mantidos e apresentados pela Ktools, quando solicitados:
• Logs de acesso e conexões, com relatórios mensais detalhados ao Controlador;
• Termos de Compromisso de Manutenção de Sigilo (TCMS) e Termos de Consentimento (TC) assinados;
• Registros de incidentes: timeline, relatório de impacto, decisões de notificação, evidências de contenção e plano de ação;
• Comprovantes de consentimento dos titulares, disponíveis em até 5 dias úteis após solicitação do Controlador;
• Apólice de seguro cibernético e Certificado ISO 27001 atualizados ou comprovação equivalente de segurança;
• Planos de lições aprendidas e ações preventivas, quando aplicável.
• Logs de acesso e conexões, com relatórios mensais detalhados ao Controlador;
• Termos de Compromisso de Manutenção de Sigilo (TCMS) e Termos de Consentimento (TC) assinados;
• Registros de incidentes: timeline, relatório de impacto, decisões de notificação, evidências de contenção e plano de ação;
• Comprovantes de consentimento dos titulares, disponíveis em até 5 dias úteis após solicitação do Controlador;
• Apólice de seguro cibernético e Certificado ISO 27001 atualizados ou comprovação equivalente de segurança;
• Planos de lições aprendidas e ações preventivas, quando aplicável.
Atualizações
Esta política poderá ser revisada sempre que houver alteração normativa relevante, incidente significativo ou modificação contratual com o Operador de Acesso ou GCC.
DATA ELABORAÇÃO: 30/07/2021
DATA REVISÃO: 22/04/2026