SASB
Segurança de dados & privacidade
Contamos com políticas internas, disponíveis e de fácil acesso para todos os funcionários em nosso repositório interno de políticas, que definem as diretrizes para a coleta, uso, guarda e descarte de dados pessoais e sensíveis, tais como: Política de Privacidade, Política de Segurança da Informação, Política de Classificação da Informação, Política de Retenção de Dados Pessoais, Política de Gestão de Incidentes de Privacidade e Segurança e Política de Comunicação de Incidentes de Segurança.
Além disso, temos políticas externas (públicas), que podem ser acessadas por toda a sociedade em nossos canais digitais (aplicativos e websites), tais como: Política de Privacidade de Dados e Política Corporativa de Segurança da Informação.
Adotamos as melhores práticas do mercado para garantir a segurança da informação por meio de frameworks como o NIST, os CIS Controls e a ISO/IEC 27001:2022, entre outros. Para reforçar nossa capacidade de detecção e resposta a incidentes, contamos com:
- Monitoramento 24×7 de eventos de segurança centralizados em um Security Operation Center (SOC);
- Monitoramento de possíveis vazamentos de dados utilizando ferramentas de DLP (Data loss prevention);
- Utilização de agentes de EDR (Endpoint detection and response) em todo o parque de estações de trabalho, servidores e containers;
- Tecnologias apoiadas no conceito de zero trust, como microssegmentação lógica de perímetros;
- Seguro cibernético para resposta em incidentes críticos;
- Sistema de Gestão de Continuidade de Negócio, compreendendo planos para a continuidade da segurança da informação em situações adversas;
- Testes periódicos para identificação de potenciais vulnerabilidades e simulações de reporte e gestão de crise cibernética.
Em caso de incidentes que acarretem o vazamento de dados, contamos com uma Política de Gestão de Incidentes de Segurança e uma Política de Comunicação de Incidentes de Segurança à ANPD e aos titulares.
Assim como nos anos anteriores, em 2023 não foi registrado nenhum incidente de cibersegurança, seja a respeito de vazamento de dados ou de interrupção das operações.
Para aumentar a resiliência e a mitigação de riscos, temos buscado novas tecnologias e controles de segurança da informação. Em 2023, a RD Saúde recebeu a certificação na norma ISO/IEC 27001:2022 para os canais digitais (websites das bandeiras Raia & Drogasil) e os canais do benefício Univers, norma internacional que visa proteger a confidencialidade, integridade e disponibilidade dos dados, assegurando que medidas rigorosas estejam em vigor para lidar com ameaças à segurança cibernética. A certificação propicia um aumento da confiança dos clientes, fornecedores e demais stakeholders, demonstrando que o ambiente digital da RD Saúde é seguro e está protegido.
A manutenção da Proteção e Privacidade de Dados e Segurança da Informação depende da conscientização e do engajamento contínuo de nosso time. Para isso, nosso programa de conscientização promove treinamentos e ações voltados a elevar o nível de conhecimento dos(as) funcionários(as) sobre o tema, visitas de conscientização às nossas farmácias e aos CDs, conversas e workshops.
Também realizamos campanhas de simulação de engenharia social, como o phishing, para treinar nossos times a identificarem comunicações fraudulentas que possam induzir à violação da confidencialidade.
Em 2023, mais de 35 mil profissionais da RD Saúde foram treinados nos temas Proteção e Privacidade de Dados (LGPD) e Segurança da Informação.
Português
English