Acessibilidade
A+
A-
Institucional

SASB

Home > SASB > Data security and privacy > HC-DR-230a.1
Data pertaining to 2023
Overview Energy management in retail Management of controlled substances Drug supply chain integrity Activity metrics Patient health outcomes Data security and privacy

Data security and privacy

Seta para baixo
GRI HC-DR-230a.1
Description of policies and practices to secure customers' protected health information (PHI) records and other personally identifiable information (PII)

Contamos com políticas internas, disponíveis e de fácil acesso para todos os(as) funcionários(as) em nosso repositório interno de políticas, que definem as diretrizes para a coleta, uso, guarda e descarte de dados pessoais e sensíveis, tais como: Política de Privacidade, Política de Segurança da Informação, Política de Classificação da Informação, Política de Retenção de Dados Pessoais, Política de Gestão de Incidentes de Privacidade e Segurança e Política de Comunicação de Incidentes de Segurança.

Além disso, temos políticas externas (públicas), que podem ser acessadas por toda a sociedade em nossos canais digitais (aplicativos e websites), tais como: Política de Privacidade de Dados e Política Corporativa de Segurança da Informação.

Adotamos as melhores práticas do mercado para garantir a segurança da informação por meio de frameworks como o NIST, os CIS Controls e a ISO/IEC 27001:2022, entre outros. Para reforçar nossa capacidade de detecção e resposta a incidentes, contamos com:

  • Monitoramento 24×7 de eventos de segurança centralizados em um Security Operation Center (SOC);
  • Monitoramento de possíveis vazamentos de dados utilizando ferramentas de DLP (Data loss prevention);
  • Utilização de agentes de EDR (Endpoint detection and response) em todo o parque de estações de trabalho, servidores e containers;
  • Tecnologias apoiadas no conceito de zero trust, como microssegmentação lógica de perímetros;
  • Seguro cibernético para resposta em incidentes críticos;
  • Sistema de Gestão de Continuidade de Negócio, compreendendo planos para a continuidade da segurança da informação em situações adversas;
  • Testes periódicos para identificação de potenciais vulnerabilidades e simulações de reporte e gestão de crise cibernética.

Em caso de incidentes que acarretem o vazamento de dados, contamos com uma Política de Gestão de Incidentes de Segurança e uma Política de Comunicação de Incidentes de Segurança à ANPD e aos titulares.

Assim como nos anos anteriores, em 2023 não foi registrado nenhum incidente de cibersegurança, seja a respeito de vazamento de dados ou de interrupção das operações.

Para aumentar a resiliência e a mitigação de riscos, temos buscado novas tecnologias e controles de segurança da informação. Em 2023, a RD Saúde recebeu a certificação na norma ISO/IEC 27001:2022 para os canais digitais (websites das bandeiras Raia & Drogasil) e os canais do benefício Univers, norma internacional que visa proteger a confidencialidade, integridade e disponibilidade dos dados, assegurando que medidas rigorosas estejam em vigor para lidar com ameaças à segurança cibernética. A certificação propicia um aumento da confiança dos clientes, fornecedores e demais stakeholders, demonstrando que o ambiente digital da RD Saúde é seguro e está protegido.

A manutenção da Proteção e Privacidade de Dados e Segurança da Informação depende da conscientização e do engajamento contínuo de nosso time. Para isso, nosso programa de conscientização promove treinamentos e ações voltados a elevar o nível de conhecimento dos(as) funcionários(as) sobre o tema, visitas de conscientização às nossas farmácias e aos CDs, conversas e workshops.

Também realizamos campanhas de simulação de engenharia social, como o phishing, para treinar nossos times a identificarem comunicações fraudulentas que possam induzir à violação da confidencialidade.

We have internal policies in place, readily available to all employees through our internal policy repository, which define the guidelines for the collection, use, storage, and disposal of personal and sensitive data. These policies include: Privacy Policy, Information Security Policy, Information Classification Policy, Personal Data Retention Policy, Privacy and Security Incident Management Policy and Policy for Security Incident Reporting to the ANPD and Data Holders.

Furthermore, we have external (public) policies, which can be accessed by the entire society on our digital channels (applications and websites), such as: Data Privacy Policy and Information Security Policy.

We adopt the best market practices to ensure information security through frameworks such as NIST, CIS Controls, and ISO/IEC 27001:2022, among others. To strengthen our incident detection and response capabilities, we have:

  • 24/7 monitoring of security events from a Security Operation Center (SOC);
  • Monitoring of potential data leaks using DLP (Data Loss Prevention) tools;
  • Use of EDR (Endpoint Detection and Response) agents across the entire cluster of workstations, servers and containers;
  • Technologies supported by the Zero Trust Architecture, such as logical microsegmentation;
  • Cyber insurance for critical incident response;
  • Business Continuity Management System, comprising plans for the continuity of information security in adverse situations;
  • Periodic tests to identify potential vulnerabilities and cyber crisis reporting and management simulations.

In the event of incidents that lead to data leakage, we have a Security Incident Management Policy and a Policy for Security Incident Reporting to the ANPD and Data Holders. As in previous years, in 2023 no cybersecurity incidents were recorded, whether regarding data leaks or interruption of operations.

To increase resilience and mitigate risks, we have sought new technologies and information security controls. In 2023, RD Saúde received ISO/IEC 27001:2022 certification for its digital channels (Raia & Drogasil websites) and Univers benefit channels. This international standard aims to protect the confidentiality, integrity and availability of data, ensuring that rigorous measures are in place to address cybersecurity threats. The certification boosts the confidence of customers, suppliers and other stakeholders by showing that RD Saúde’s digital environment is safe and secure.

Maintaining Data Protection and Privacy and Information Security depends on the awareness and continuous engagement of our team. To this end, our awareness-raising program promotes capacity building and actions aimed at increasing the level of knowledge of employees on the theme, awareness visits to our pharmacies and DCs, conversations and workshops.

We also carry out social engineering simulation campaigns, such as phishing, to train our teams to identify fraudulent communications that could lead to a breach of confidentiality.

In 2023, more than 35 thousand employees at RD Saúde were trained in the topics of Data Protection and Privacy (LGPD) and Information Security.

© 2024 RaiaDrogasil – Todos os direitos reservados.  |  Produzido por Plank
Português Português English English