Gestão da Segurança da Informação e Segurança Cibernética
As informações corporativas constituem um importante patrimônio de uma organização e todos são responsáveis por manter, zelar, armazenar e fazer uso correto, diligente e responsável, preservando o nível de sigilo, de acesso e de correção dos conteúdos.
Com a tendência atual de digitalização, armazenamento de dados em nuvem, trabalho remoto, tramitação virtual de processos, pagamentos virtuais, acessos remotos à rede e aos sistemas de TI das empresas, foi necessário reforçar os recursos de proteção de dados, sistemas e redes corporativos. Esse conjunto de mecanismos de gestão das informações e da proteção de dados dentro de uma empresa faz parte da segurança da informação e segurança cibernética (cybersecurity).
Possuir um amplo processo de segurança da informação é uma prática de governança que visa garantir o acesso aos conteúdos importantes pelas pessoas designadas, o registro e arquivamento dos dados, a integridade, a inviolabilidade e a mitigação de riscos de ataques aos sistemas ou de subtração das informações.
A Copel acompanha as constantes e frequentes evoluções tecnológicas e, por isso, a segurança da informação sempre esteve alinhada à estratégia da Companhia, sendo um dos seus riscos mais relevantes.
O patamar a ser alcançado pela companhia em segurança da informação é definido pelo Conselho de Administração (CAD), a partir do qual a Superintendência de Tecnologia da Informação, no âmbito da Diretoria de Gestão Empresarial e com aprovação da Diretoria Reunida (Redir), elabora e realiza gestão executiva da estratégia.
Cabe ao Comitê de Auditoria Estatutário (CAE) zelar pela qualidade e eficiência dos sistemas de controles internos e de administração de riscos, incluindo a supervisão da estratégia de segurança da informação, com registro anual no Relatório do Comitê de Auditoria Estatutário. Esse Comitê assessora e reporta-se ao Conselho de Administração (CAD), ao qual está diretamente vinculado.
Em 2024, a Copel passou a contar também com o Comitê de Segurança Cibernética e Segurança da Informação (CSCI), um órgão colegiado auxiliar ao Conselho de Administração criado com a missão de assegurar o direcionamento e as definições estratégicas relacionadas ao suporte, aos processos e à conformidade, relativos à segurança cibernética e segurança da informação, de forma igualitária considerando as áreas de controles, de negócios e de tecnologia da informação.
O assunto “segurança cibernética” faz parte do plano de desenvolvimento do Conselho de Administração e dos comitês, cujo objetivo é desenvolver habilidades de análise das vulnerabilidades e participação das ações de segurança aos seus membros.
Para tanto, a Companhia possui um conjunto de estratégias, políticas, tecnologias, processos e ferramentas concebidas e atualizadas periodicamente que evitam acessos ou ataques maliciosos aos servidores e sistemas com o propósito de garantir a confidencialidade, a disponibilidade, a integridade, a autenticidade e a responsabilidade sobre a autoria dos conteúdos, preservando a confiança e tranquilidade das partes interessadas.
Entre as diversas práticas e documentos que regem a Segurança da Informação na Copel, destacam-se a Política de Segurança da Informação (NPC 0301) e a Política de Tecnologia da Informação (NPC 0302), ambas aprovadas pelo CAD; normas administrativas internas, com destaque para a privacidade desde a concepção; treinamentos de segurança da informação; plano de comunicação aos empregados com dicas de segurança cibernética; plano de continuidade e contingência do negócio para eventuais tentativas de invasão; análise de vulnerabilidade com simulação de ataque hacker, por meio de contrato com empresa especializada; monitoramento de violações; e medição do número total de incidentes de infraestrutura de TI.
Além disso, a Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), que estabelece os deveres das pessoas jurídicas para proteção dos direitos fundamentais de liberdade e privacidade, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, e também é previsto na Política de Privacidade e Proteção de Dados Pessoais da Copel (NPC 0322).
Processo e Infraestrutura de Segurança Cibernética
A Copel tem uma série de processos para evitar interrupções do sistema de TI e ataques cibernéticos, bem como planos de contingência e procedimentos de resposta a incidentes. Por isso, está bem preparada para reagir em caso de tais eventos.
A infraestrutura de tecnologia de informação da Companhia é auditada interna e externamente. Além disso, são realizados testes periodicamente, inclusive de terceira parte, e os empregados passam por treinamentos obrigatórios sobre segurança cibernética, fortalecendo as defesas e a cultura da Companhia neste tema. Adicionalmente, ocorrem simulações de ataques hackers periodicamente, com o objetivo de analisar a eficácia e coordenar a otimização da estrutura de detecção e resposta no ambiente para minimizar o sucesso de ataques cibernéticos reais.
Existem metas internas de segurança cibernética monitoradas por meio do Índice de Segurança Cibernética de TI e TO do National Institute of Standard and Technology (NIST). Tais metas estão atreladas à remuneração variável de parte dos executivos da Copel.
Uso e segurança de informações pessoais
A Copel, por meio da Política de Privacidade e Proteção de Dados Pessoais (NPC 0322), tem o compromisso com a proteção da privacidade dos dados pessoais de acionistas, clientes, diretores, empregados, representantes legais de clientes corporativos, representantes legais de fornecedores, participantes de concursos e visitantes das instalações da Copel, que são coletados durante o relacionamento com o titular para a consecução e cumprimento de obrigações contratuais (ex.: prestação de serviços pela Copel), atividades de gestão do negócio, bem como para cumprimento de obrigações legais ou regulatórias.
Em decorrência desse relacionamento, poderão ser coletados dados pessoais adicionais do titular, sempre em observância aos princípios estabelecidos na legislação de proteção de dados.
O tratamento de dados pessoais ocorre de diferentes formas dentro da Copel, adotando-se a divisão por categorias de titulares para melhor elucidar as formas de tratamento de dados pessoais em nossos processos. A Política de Privacidade e Proteção de Dados Pessoais (NPC 0322) fornece informações sobre a privacidade do cliente, incluindo detalhes sobre:
- Premissas e diretrizes: incluindo a forma como os dados pessoais são protegidos;
- Uso e natureza dos dados coletados: os dados pessoais coletados pela Copel são utilizados apenas para atingir as finalidades que originaram sua coleta, sendo tratados de acordo com a legislação aplicável e a Lei Geral de Proteção de Dados (LGPD), conforme as finalidades elencadas na Política;
- Compartilhamento de dados: em alguns casos, a Copel poderá compartilhar dados pessoais que controla quando exigido por lei, necessário para administrar sua relação contratual e/ou de trabalho ou quando tiver um propósito legítimo para fazê-lo. Tais dados podem ser compartilhados com terceiros, incluindo prestadores de serviços, terceiros e outras entidades do grupo, que tratarão os dados de acordo com as finalidades para as quais foram coletados;
- Direitos do titular dos dados: o titular dos dados possui direitos relacionados à privacidade e proteção de seus dados, sendo que a Copel, além de se preocupar com a segurança desses dados, também se preocupa que o titular tenha acesso e conhecimento de todos os seus direitos. Para exercer qualquer um dos direitos estipulados na legislação, é necessário fazer uma solicitação expressa à Copel por meio do formulário disponível na página de privacidade da Companhia. Assim, os direitos que os titulares dos dados possuem são: confirmação do tratamento; acesso aos dados; correção dos dados pessoais; anonimização, bloqueio ou eliminação; eliminação dos dados tratados com consentimento; informação sobre o compartilhamento; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da recusa; revogação do consentimento; decisões automatizadas; portabilidade dos dados. Poderão ser solicitadas informações específicas ao titular dos dados para ajudar a Copel a confirmar sua identidade, para sua própria proteção. Além disso, a Copel poderá recusar pedidos sempre indicando as razões de fato ou de direito que impedem a execução imediata do pedido;
- Retenção e eliminação: a Copel se compromete a manter a exatidão, integridade, confidencialidade e relevância dos dados pessoais com base na finalidade do tratamento. Os prazos de retenção, descritos na Matriz de Temporalidade do Anexo I, e as formas de descarte dos dados pessoais devem seguir os procedimentos e diretrizes estabelecidos na legislação e de acordo com as demais políticas da Copel. Findo o prazo e a necessidade legal de seu armazenamento, os dados pessoais serão eliminados e/ou anonimizados utilizando-se métodos de descarte seguro, conforme diretrizes internas da Copel;
- Resposta a incidentes de privacidade: em caso de incidentes envolvendo dados pessoais, nos termos da lei, serão acionados todos os procedimentos internos adequados e pessoal chave da Companhia para garantir que sejam tomadas as medidas necessárias para mitigar os riscos. Para este efeito, consideram-se incidentes de proteção de dados os casos de acesso não autorizado; fuga de dados; situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação indevida de dados pessoais; e qualquer forma inadequada ou ilícita de tratamento de dados.
Contato do responsável pela proteção de dados; e
Legislação e regulamentos relacionados ao assunto.
Uso secundário de informações
Uso secundário de dados do cliente | |
Item | Percentual |
Clientes que consentem com o uso secundário | 8% |
Clientes que rejeitam uso secundário | 3% |
* A Companhia passou a tratar dados para fins secundários em 2024, coletando consentimentos para finalidades específicas. O local contendo as opções de consentimento para que o titular exerça suas preferências (opt in/opt out) pode ser acessado no link “resquest personal information”.
Em 2023, a Auditoria Interna avaliou a eficácia dos controles de privacidade relevantes. Em 2024, foram contratados serviços de auditoria da empresa Ernst & Young (EY), que devem ser executados durante o ano.
Informações aos usuários
A Copel coleta informações de diversas formas, em diferentes áreas dos seus websites.
Algumas informações são coletadas automaticamente, podendo incluir: endereço IP, tipo de navegador, nomes de domínio, tempo de acesso e consultas a páginas dos websites.
Para acesso a algumas funcionalidades, o usuário deverá fornecer informações tais como: endereço de e-mail, nome, CPF/ CNPJ, endereço, número de telefone e unidade consumidora.
Observação: o website da Copel utiliza o recurso de publicidade do Google Analytics. O usuário pode desativar este recurso por meio do plugin fornecido pelo Google no link https://tools.google.com/dlpage/gaoptout.
A Copel não vende e não aluga suas listas de usuários a terceiros nem tampouco autoriza terceiros a usarem as informações de usuários, com exceção do fornecimento de serviços à Copel, e só após firmarem termo de confidencialidade.
A Copel não lê as comunicações confidenciais dos seus usuários e somente utiliza as informações capturadas pelos domínios e subdomínios de www.copel.com para:
- identificar o perfil e necessidades dos usuários, a fim de melhorar seus produtos e serviços;
- visualizar o fornecimento de seus produtos e serviços; e
- divulgar alterações, inovações ou promoções sobre seus produtos e serviços.
Regras de acesso e uso
O acesso aos websites da Copel ou o uso dos recursos neles disponíveis caracterizam a adesão dos usuários aos termos da Política de Privacidade, pela qual o usuário compromete-se a usar o website da Copel apenas para os propósitos a que ele se destina.
O usuário não pode incapacitar ou danificar o website da Copel ou, ainda, interferir no uso de outros usuários. Atitudes ilícitas são tratadas pela Companhia em conformidade com o disposto na legislação civil e penal em vigor.
O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilização indevida das informações, textos, gráficos, marcas, obras, enfim, de todo e qualquer direito de propriedade intelectual ou industrial dos domínios da Copel.
Não é permitido que menores de idade efetuem contratações ou se envolvam em outros atos legais nos sites gerenciados pela Copel.
O usuário, para sua própria proteção, deve zelar pelos seus dados de acesso aos websites da Copel, mantendo em sigilo seu login e senha de acesso.
Lilian Renata de Andrade
Assessora de diretoria
Atendimento das 8h às 12h e 13h às 17h
Local: Diretoria Jurídica e Regulatória
Telefone: (41) 3310-5321
e-mail: lgpd@copel.com
Para requisitar informações sobre a existência de dados pessoais e o tratamento realizado pela Copel ou exercer os demais direitos dos titulares de dados pessoais descritos na Lei Geral de Proteção de Dados (Lei Nº 13.709, de 14 de agosto de 2018), basta acessar o formulário a seguir: Requisição de dados pessoais