1. Introdução
Finalidade e Quadro Jurídico
Esta Declaração de Privacidade de Dados estabelece o quadro jurídico abrangente que regula todas as atividades de processamento de dados pessoais realizadas pelo Grupo CypSec em conexão com a prestação de serviços avançados de cibersegurança a entidades governamentais, contratantes de defesa, operadores de infraestruturas críticas, organizações comerciais e indivíduos autorizados. Esta Declaração constitui um instrumento jurídico vinculativo que define os parâmetros das atividades de recolha, processamento, armazenamento e transferência de dados essenciais à manutenção dos interesses de segurança nacional e à proteção de sistemas de informação críticos contra ameaças cibernéticas sofisticadas.
As disposções aqui contidas operam no âmbito da legislação aplicável em matéria de proteção de dados, incluindo a Lei Federal Suíça sobre Proteção de Dados, o Regulamento Geral sobre Proteção de Dados quando aplicável, e demais requisitos legais obrigatórios que possam reger jurisdições específicas. Contudo, todas as atividades de processamento são realizadas com reconhecimento explícito de que as operações de cibersegurança que suportam interesses de segurança nacional podem requerer desvios dos paradigmas padrão de proteção de dados quando necessitados por requisitos de resposta a ameaças, operações de recolha de informações ou medidas protetoras para sistemas de infraestruturas críticas.
Âmbito de Aplicação
Esta Declaração aplica-se com plena força e efeito a todas as operações de processamento de dados pessoais realizadas em conexão com serviços avançados de deteção e prevenção de ameaças, atividades de monitorização de segurança e resposta a incidentes, operações de avaliação de vulnerabilidades e testes de penetração, procedimentos de análise forense e investigativos, prestação de serviços de segurança gerida, e todas as plataformas, tecnologias e mecanismos de suporte associados prestados a utilizadores autorizados.
O âmbito abrange todos os dados pessoais processados através de portais governamentais seguros e canais de comunicação classificados, plataformas de inteligência de ameaças e sistemas de gestão de informação de segurança, arquiteturas de segurança baseadas na cloud e implementações no local, aplicações móveis e tecnologias de acesso remoto, interfaces de programação de aplicações e kits de desenvolvimento de software, e todas as ferramentas de segurança de terceiros integradas e fontes de dados essenciais a capacidades abrangentes de deteção de ameaças.
Aceitação e Efeito Vinculativo
O acesso ou utilização de qualquer serviço CypSec constitui aceitação incondicional desta Declaração de Privacidade de Dados e cria um acordo juridicamente vinculativo relativo a atividades de processamento de dados. Os utilizadores afirmam que possuem a capacidade e autoridade legais requisitas para consentir com estes termos de processamento de dados em seu nome e em nome de quaisquer entidades que representem. Esta Declaração aplica-se a todos os utilizadores sem exceção, incluindo entidades governamentais, contratantes de defesa, organizações comerciais e utilizadores individuais que operem dentro de quadros de segurança autorizados.
Ao envolver-se com os serviços CypSec, os utilizadores reconhecem que as atividades de processamento de dados podem ser realizadas em apoio a objetivos de segurança nacional, proteção de infraestruturas críticas e operações autorizadas de cibersegurança, e que tal processamento pode envolver a recolha e análise de dados pessoais essenciais à deteção de ameaças, resposta a incidentes e atividades de manutenção de segurança.
2. Categorias de Dados e Metodologias de Recolha
Categorias de Dados Pessoais Processados
A CypSec processa dados pessoais exclusivamente na medida necessitada pelos requisitos operacionais para prestação de serviços de cibersegurança, capacidades de deteção de ameaças, coordenação de resposta a incidentes, e cumprimento das obrigações contratuais aplicáveis e diretivas governamentais. Os dados pessoais processados abrangem dados de identificação e autorização incluindo nomes legais completos, números de identificação emitidos pelo governo, designações de autorização de segurança, credenciais de acesso a instalações, identificadores biométricos, e certificações profissionais requeridas para acesso a sistemas classificados e instalações seguras. Esta categoria inclui detalhes de passaporte, números de identificação militar, e demais credenciais que possam ser mandatadas por protocolos de segurança governamentais e procedimentos de verificação de autorização.
Dados de autenticação e controlo de acesso abrangem credenciais de autenticação complexas, tokens de autenticação multi-fator, certificados digitais, chaves criptográficas, identificadores de sessão, registos de acesso, e registos de escalação de privilégios necessários para manter acesso seguro a sistemas críticos e prevenir tentativas de intrusão não autorizadas. Todos os dados de autenticação são processados utilizando encriptação validada FIPS 140-2 Nível 3 e armazenados em módulos de segurança de hardware que cumprem padrões governamentais de segurança. Dados de vigilância técnica e telemetria incluem endereços de Protocolo de Internet, impressões digitais de dispositivos, informação de topologia de rede, parâmetros de configuração de sistema, registos de eventos de segurança, telemetria de deteção de ameaças, resultados de análise de vulnerabilidades, metadados de captura de pacotes, e todos os indicadores técnicos associados essenciais a operações de caça a ameaças e avaliação de postura de segurança.
Métodos de Recolha e Implementação Técnica
As operações de recolha de dados são conduzidas através de múltiplos canais técnicos e operacionais incluindo interação direta do utilizador com portais de autenticação seguros e sistemas de comunicação classificados, recolha automatizada através de sensores de segurança implementados, sistemas de deteção de intrusão, e plataformas de inteligência de ameaças, integração com sistemas governamentais de autenticação e bases de dados de autorização de segurança, feeds seguros de dados de agências parceiras e consórcios de partilha de ameaças, e atividades de interceptação e monitorização legais conduzidas sob autoridade legal apropriada.
Todas as atividades de recolha utilizam padrões de encriptação aprovados pelo governo e são conduzidas através de canais de comunicação seguros que cumprem requisitos de classificação aplicáveis. Metadados necessários para operação de serviço e correlação de ameaças são retidos de acordo com calendários estabelecidos alinhados com requisitos de retenção de segurança nacional e obrigações de auditoria governamentais. Quando a CypSec opera como processador de dados sob contratos governamentais ou acordos classificados, todas as categorias de dados e metodologias de recolha são especificadas pela autoridade contratante, que mantém estatuto de controlador de dados para todas as diretivas operacionais e finalidades de processamento.
Limitações de Processamento e Minimização de Dados
A CypSec processa tais dados estritamente dentro dos parâmetros estabelecidos por instrumentos contratuais e guias de classificação de segurança aplicáveis. A Empresa não envolve-se em processos de tomada de decisão automatizada que produzam efeitos legais concernentes a indivíduos, exceto quando tal processamento é essencial a operações de deteção de ameaças, verificação de autorização de segurança, ou outras atividades explicitamente autorizadas por diretiva governamental e sujeitas a mecanismos de supervisão apropriados. Todas as atividades de processamento são conduzidas com reconhecimento explícito de que as operações de cibersegurança podem requerer análise automatizada em tempo real para detetar e responder a ameaças de segurança iminentes.
Princípios de minimização de dados são aplicados consistentemente em todas as operações de processamento, com recolha e retenção limitadas a informação essencial para manter postura de segurança, cumprir obrigações contratuais, e apoiar interesses governamentais legítimos na proteção de infraestruturas críticas e ativos de segurança nacional. Atividades de processamento que apresentem riscos elevados aos direitos individuais estão sujeitas a mecanismos de supervisão reforçada e salvaguardas adicionais conforme requerido por quadros jurídicos aplicáveis e diretivas governamentais.
3. Finalidades de Processamento e Fundamentos Jurídicos
Cumprimento Contratual e Prestação de Serviços
A CypSec processa dados pessoais quando necessário para o cumprimento de contratos governamentais, acordos de aquisição de defesa e arranjos de serviços autorizados. Isto abrange a prestação de capacidades de deteção e resposta a ameaças, manutenção de sistemas seguros de autenticação e controlo de acesso, prestação de serviços de avaliação de vulnerabilidades e testes de penetração, operação de plataformas de comunicação classificadas e ferramentas seguras de colaboração, e execução de operações de coordenação de resposta a incidentes e análise forense. Todo o processamento contratual é conduzido estritamente dentro do âmbito dos acordos executados e regulamentos de aquisição aplicáveis.
Os dados pessoais são processados quando necessários para o desempenho de um contrato com os utilizadores ou as organizações que representam, ou para tomar medidas a pedido do utilizador antes de entrar em tais relações contratuais. Isto inclui a prestação, operação, configuração, manutenção e suporte de produtos e serviços CypSec, a gestão de contas de utilizador e mecanismos de autenticação, o tratamento de pedidos de serviço e inquéritos de suporte técnico, e a administração de faturação, cobrança e transações financeiras relacionadas conduzidas no âmbito de quadros de aquisição governamentais.
Obrigação Legal e Conformidade Regulamentar
O processamento é conduzido quando mandatado por leis aplicáveis, regulamentos governamentais e diretivas de segurança nacional. Tais obrigações incluem conformidade com requisitos do Regulamento de Aquisição Federal e Suplemento do Regulamento de Aquisição Federal de Defesa, aderência a guias de classificação de segurança e procedimentos de manuseamento, cumprimento de obrigações de controlo de exportação sob o Regulamento de Tráfico Internacional de Armas e Regulamentos de Administração de Exportações, resposta a processos legais de tribunais, autoridades reguladoras e órgãos de supervisão, e conformidade com requisitos fiscais, contabilísticos e de governação corporativa aplicáveis a contratantes governamentais.
A CypSec processa dados pessoais quando necessário para o cumprimento de obrigações legais a que a Empresa está sujeita. Tais obrigações podem surgir sob regulamentos fiscais, contabilísticos, de governação corporativa, de controlo de exportação, de cibersegurança, financeiros, de legislação laboral, ou obrigações de responder a pedidos legais de tribunais, reguladores ou autoridades supervisoras com jurisdição apropriada sobre as operações da Empresa.
Interesses Legítimos de Segurança e Requisitos de Segurança Nacional
A CypSec processa dados pessoais quando necessário para proteger interesses de segurança essenciais que não sejam sobrepostos por direitos de privacidade individuais. Estes interesses abrangem manter a segurança e integridade de sistemas e redes de infraestruturas críticas, prevenir, detetar e responder a ameaças cibernéticas, atividades de espionagem e ataques de estado-nação, conduzir análise de inteligência de ameaças e investigações de atribuição, proteger informação classificada e dados técnicos controlados, garantir a disponibilidade contínua de serviços essenciais, e apoiar atividades de aplicação da lei e contra-inteligência conforme autorizado por autoridade legal aplicável.
Os interesses legítimos incluem garantir a segurança e integridade de infraestruturas, produtos e serviços, prevenir, investigar e responder a fraudes, uso indevido ou incidentes de segurança, desenvolver e melhorar plataformas e ofertas, conduzir análise e relatórios internos, manter e expandir relações de negócios, fazer cumprir reivindicações legais, e gerir transações corporativas como fusões, aquisições ou reestruturações. Todo o processamento de interesse legítimo está sujeito a testes formais de equilíbrio que consideram a severidade das ameaças identificadas, o impacto potencial na proteção de infraestruturas críticas, obrigações para com autoridades contratantes governamentais, e diretivas de segurança nacional aplicáveis.
Processamento Baseado em Consentimento e Categorias Especiais
Os dados pessoais são processados com base em consentimento explícito quando exigido por lei aplicável para atividades específicas incluindo participação em iniciativas opcionais de investigação e desenvolvimento em segurança, inscrição em programas avançados de formação e cursos de certificação, envolvimento em consórcios de partilha de informações de ameaças e esforços de colaboração da indústria, provisão de testemunhos ou estudos de caso para fins de marketing, e ativação de funcionalidades de monitorização ou análise avançadas para além dos requisitos de segurança base. O consentimento pode ser retirado a qualquer momento sem afetar a licitude do processamento conduzido antes da retirada.
Em circunstâncias limitadas essenciais para operações de cibersegurança, a CypSec pode processar categorias especiais de dados pessoais incluindo identificadores biométricos para autenticação multi-fator, informação de autorização de segurança, e resultados de investigações de antecedentes. Tal processamento é conduzido apenas quando necessário para estabelecimento, exercício ou defesa de reivindicações legais, exigido por fundamentos de interesse público substancial incluindo objetivos de segurança nacional, explicitamente autorizado por titulares de dados com salvaguardas legais apropriadas, ou mandatado por requisitos de segurança governamentais aplicáveis e procedimentos de autorização.
Todas as finalidades de processamento são avaliadas através de avaliações formais de necessidade e proporcionalidade para garantir que as atividades de recolha e processamento de dados estejam estritamente limitadas ao que é essencial para alcançar objetivos legítimos de segurança enquanto se mantém respeito apropriado pelos interesses de privacidade individual dentro do quadro dos requisitos legais aplicáveis e diretivas governamentais.
4. Retenção de Dados, Arquitetura de Armazenamento e Salvaguardas de Segurança
Períodos de Retenção e Quadro Jurídico
A CypSec mantém dados pessoais de acordo com calendários de retenção especificamente concebidos para equilibrar requisitos operacionais para operações de cibersegurança com obrigações legais aplicáveis e mandatos governamentais de manutenção de registos. Todos os períodos de retenção são estabelecidos através de processos de avaliação formal que avaliam o nível de classificação e designação de sensibilidade da informação processada, obrigações contratuais especificadas em contratos governamentais e acordos de aquisição, períodos de limitação estatutária aplicáveis a contratantes governamentais, requisitos de retenção de segurança nacional e mandatos de supervisão de inteligência, e necessidade operacional para capacidades de correlação de ameaças e análise forense.
Dados de conta e autenticação são retidos durante a duração do serviço ativo mais sete anos para apoiar requisitos de auditoria, investigações de segurança e atividades de supervisão governamental. Registos de segurança e dados de eventos são mantidos por períodos mínimos de vinte e quatro meses para permitir operações de caça a ameaças, correlação de incidentes e atividades de análise forense. Registos financeiros e contratuais são preservados por dez anos de acordo com regulamentos de aquisição governamentais, obrigações fiscais e requisitos de rasto de auditoria. Sistemas de backup e recuperação de desastres são retidos por noventa dias salvo se retenção alargada for mandatada por obrigações contratuais específicas ou requisitos de classificação.
Arquitetura de Armazenamento e Controles Técnicos
Todos os dados pessoais são mantidos dentro de ambientes seguros implementando arquitetura de defesa em profundidade com múltiplas camadas de segurança independentes. Sistemas de armazenamento utilizam encriptação validada FIPS 140-2 Nível 3 para todos os dados em repouso usando algoritmos AES-256 ou superiores, módulos de segurança de hardware para gestão de chaves criptográficas e operações de controlo de acesso, segmentação de rede e micro-segmentação para isolar sistemas de armazenamento de dados sensíveis, sistemas de monitorização contínua com capacidades de deteção de ameaças em tempo real, e registo de auditoria imutável para prevenir modificação não autorizada de registos de retenção.
As operações de armazenamento de dados podem utilizar infraestrutura cloud aprovada pelo governo cumprindo baselines de segurança FedRAMP High ou equivalentes, sistemas no local dentro de instalações seguras autorizadas para níveis de classificação apropriados, arquiteturas híbridas aprovadas para contratos governamentais específicos, e sistemas de backup mantidos em localizações geograficamente separadas para fins de recuperação de desastres. Todos os fornecedores de armazenamento de terceiros devem demonstrar autorizações de segurança apropriadas e manter autorizações de instalação consistentes com o nível de classificação dos dados armazenados.
Procedimentos de Resposta a Incidentes e Notificação de Violações
A CypSec mantém procedimentos abrangentes de resposta a incidentes concebidos para abordar eventos de segurança afetando dados pessoais. Após deteção de qualquer incidente de segurança suspeito ou confirmado, a Empresa ativa imediatamente procedimentos de contenção para prevenir acesso não autorizado adicional, conduz avaliação de impacto abrangente para determinar o âmbito e natureza dos dados pessoais afetados, implementa medidas de remediação para abordar vulnerabilidades e prevenir recorrência, coordena com autoridades governamentais apropriadas e oficiais de contratação onde informação classificada está envolvida, e mantém documentação detalhada para fins de auditoria e supervisão.
As obrigações de notificação são cumpridas de acordo com requisitos legais aplicáveis e disposições de contratos governamentais. Onde exigido por lei, a CypSec fornece notificação às autoridades supervisoras dentro de setenta e duas horas de confirmação do incidente. Os indivíduos afetados são notificados sem demora injustificada onde o incidente apresente alto risco para direitos e liberdades individuais. Todas as notificações incluem descrição da natureza e âmbito do incidente, identificação das categorias de dados pessoais afetados, avaliação das potenciais consequências, descrição das medidas de contenção e remediação, e informação de contacto para inquéritos adicionais.
Protocolos de Eliminação Segura e Destruição de Dados
Após expiração dos períodos de retenção aplicáveis, os dados pessoais são destruídos usando métodos apropriados ao nível de classificação e sensibilidade da informação. Os procedimentos de destruição incluem apagamento criptográfico usando métodos aprovados pela NIST para dados encriptados, sobrescrição de múltiplas passagens cumprindo padrões DoD 5220.22-M para suportes magnéticos, destruição física através de trituração ou desmagnetização para dispositivos de armazenamento contendo informação classificada, e destruição certificada com documentação de cadeia de custódia para todos os dados de contratos governamentais.
Onde constrangimentos técnicos previnam eliminação imediata, o acesso a dados pessoais é estritamente restrito através da remoção de todos os privilégios de acesso de utilizador e credenciais de autenticação, implementação de controlos técnicos que previnam acesso ao sistema, manutenção em armazenamento offline seguro com acesso administrativo limitado, e destruição eventual após resolução de constrangimentos técnicos. Todas as atividades de eliminação são documentadas através de certificados formais de destruição mantidos de acordo com requisitos governamentais aplicáveis de manutenção de registos e mandatos de supervisão.
5. Protocolos de Divulgação de Dados e Transferência Internacional
Categorias de Divulgação Autorizadas e Destinatários
A CypSec não envolve-se na venda, aluguer ou exploração comercial de dados pessoais sob quaisquer circunstâncias. Todas as divulgações são conduzidas exclusivamente quando necessitadas por requisitos operacionais, obrigações contratuais ou processo legal, e são limitadas à extensão mínima requerida para operações legítimas de cibersegurança e prestação de serviços governamentais. Os dados pessoais podem ser divulgados a entidades verificadas operando sob obrigações vinculativas de confidencialidade e segurança incluindo contratantes autorizados e parceiros estratégicos mantendo autorizações de segurança de instalações e pessoal apropriadas, fornecedores de infraestrutura aprovados pelo governo cumprindo baselines de segurança FedRAMP High ou equivalentes, instituições financeiras processando transações autorizadas sob regulamentos de aquisição governamentais, consultores jurídicos e de conformidade com autorizações de segurança apropriadas e autorização de necessidade-de-saber, e empresas de auditoria e órgãos de supervisão com jurisdição legal e níveis de autorização apropriados.
A divulgação dentro da estrutura corporativa da CypSec é limitada a entidades mantendo padrões de segurança equivalentes e autorizações de instalação apropriadas. Todas as transferências intra-grupo são conduzidas através de canais de comunicação seguros com marcações de classificação apropriadas e estão sujeitas a verificação do estado de autorização de segurança da entidade destinatária, implementação de controlos de acesso necessidade-de-saber, manutenção de rastos de auditoria para todos os movimentos de dados, e conformidade com requisitos de supervisão governamental aplicáveis e mandatos de notificação congressual onde apropriado.
Requisitos de Divulgação a Governo e Forças de Aplicação da Lei
Os dados pessoais são divulgados a agências governamentais, autoridades reguladoras e entidades de aplicação da lei quando mandatados por processo legal incluindo ordens judiciais, intimações e mandados, diretivas de segurança nacional e requisitos governamentais classificados, obrigações de supervisão sob o Regulamento de Aquisição Federal e regras de aquisição específicas de agências, procedimentos de divulgação de emergência para prevenir dano iminente a infraestruturas críticas, e acordos de cooperação internacional e tratados de assistência legal mútua. Todas as divulgações governamentais são conduzidas através de canais de segurança apropriados com manuseamento de classificação e coordenação de supervisão adequados.
A CypSec mantém procedimentos rigorosos de verificação e supervisão de subprocessadores. Todos os subprocessadores estão sujeitos a avaliações de segurança abrangentes verificando conformidade com requisitos de segurança governamentais, obrigações contratuais implementando medidas técnicas e organizacionais equivalentes, restrições proibindo divulgação subsequente sem autorização explícita, direitos de auditoria permitindo verificação de conformidade com obrigações de segurança, e disposições de rescisão imediata por violações de segurança ou quebra de obrigações de confidencialidade. Um registo atual de subprocessadores autorizados é mantido e fornecido a oficiais de contratação governamentais mediante pedido.
Mecanismos de Transferência Internacional e Salvaguardas
Os movimentos de dados transfronteiriços são conduzidos exclusivamente através de canais seguros aprovados para aplicações governamentais e de defesa, implementando encriptação em repouso e em trânsito usando módulos criptográficos validados FIPS 140-2 Nível 3, controlos de gestão de chaves garantindo que as chaves permaneçam sob jurisdição governamental apropriada, restrições de encaminhamento de rede previndo trânsito através de jurisdições não autorizadas, requisitos de localização de dados quando mandatados por contratos governamentais, e registo abrangente de auditoria de todos os movimentos transfronteiriços para supervisão e verificação de conformidade.
Para transferências para jurisdições carecendo de decisões de adequação, a CypSec conduz avaliações formais de impacto de transferência avaliando análise de quadro jurídico de leis de vigilância e acesso a dados do país destinatário, avaliação de potencial acesso governamental a dados transferidos, avaliação de remédios legais disponíveis para titulares de dados, identificação de medidas técnicas e contratuais suplementares, e documentação de análise de proporcionalidade equilibrando benefícios de segurança contra riscos de privacidade. Todas as avaliações são revistas por consultoria jurídica qualificada e aprovadas pela gestão senior antes da autorização de transferência.
Protocolos de Transferência Governo-a-Governo
As transferências internacionais conduzidas sob acordos governamentais formais utilizam canais de comunicação seguros aprovados e estão sujeitas a acordos bilaterais ou multilaterais estabelecendo salvaguardas apropriadas, protocolos de segurança NATO e procedimentos de manuseamento de informação classificada, requisitos de supervisão de inteligência e obrigações de informação congressual, controlos técnicos específicos mandatados por acordos de transferência, e supervisão contínua por autoridades governamentais apropriadas para garantir conformidade com requisitos de segurança nacional.
Todas as transferências internacionais são limitadas à extensão mínima necessária para operações legítimas de cibersegurança e são conduzidas com reconhecimento explícito de que a proteção de interesses de segurança nacional e infraestruturas críticas pode requerer priorização de objetivos de segurança coletiva sobre movimento irrestrito de dados. As atividades de processamento são concebidas para manter o nível mais elevado disponível de proteção enquanto se garante eficácia operacional para operações de deteção e resposta a ameaças através de jurisdições autorizadas e nações aliadas.
6. Direitos Individuais e Mecanismos de Exercício
Quadro de Direitos e Limitações Legais
Sujeito aos quadros jurídicos aplicáveis e requisitos de segurança nacional superiores, os indivíduos possuem direitos específicos relativamente aos dados pessoais processados pela CypSec. O âmbito e exercício destes direitos pode ser modificado quando necessitado por requisitos de classificação e obrigações de autorização de segurança, disposições de contratos governamentais e regulamentos de aquisição, diretivas de segurança nacional e requisitos de supervisão de inteligência, investigações de ameaças em curso e operações de contra-inteligência, e medidas protetoras para infraestruturas críticas e sistemas classificados.
Os indivíduos possuem o direito de solicitar acesso a dados pessoais em processamento, sujeito a verificação de autorização de segurança apropriada e autorização de necessidade-de-saber. Os pedidos de acesso devem especificar as categorias de dados específicas procuradas, a base legítima para o pedido de acesso, verificação de identidade através de mecanismos de autenticação aprovados pelo governo, e reconhecimento dos requisitos de confidencialidade e manuseamento de segurança aplicáveis. O acesso pode ser negado ou limitado quando a divulgação comprometeria informação classificada ou interesses de segurança nacional, interferisse com investigações de ameaças em curso, revelasse fontes ou métodos proprietários de inteligência de ameaças, ou violasse obrigações de autorização de segurança ou requisitos de compartimentalização.
Direitos de Retificação e Qualidade de Dados
Os pedidos de correção de dados pessoais inexatos são processados quando a inexatidão é verificada através de documentação apropriada, a correção não comprometeria operações de segurança ou integridade de rasto de auditoria, o indivíduo requerente possui autorização apropriada para solicitar modificação, e a correção é consistente com requisitos governamentais aplicáveis de manutenção de registos. Os pedidos afetando informação de autorização de segurança, resultados de investigação de antecedentes, ou dados de inteligência de ameaças estão sujeitos a procedimentos adicionais de verificação e podem requerer coordenação com autoridades governamentais apropriadas.
O direito ao apagamento está sujeito a requisitos superiores de retenção de segurança nacional, disposições de contratos governamentais, e mandatos de supervisão de inteligência. O apagamento não será processado quando os dados pessoais forem requeridos para atividades de deteção de ameaças ou resposta a incidentes em curso, devam ser retidos ao abrigo de requisitos de auditoria ou supervisão governamental, constituam evidência em processos legais atuais ou potenciais, sejam necessários para verificação de autorização de segurança ou fins de investigação de antecedentes, ou estejam sujeitos a períodos de retenção mandatários estabelecidos por lei aplicável ou diretiva governamental.
Restrições de Processamento e Direitos de Objecção
Os indivíduos podem solicitar restrição de atividades de processamento quando a precisão é legitimamente contestada e a verificação está pendente, o processamento é ilícito mas o apagamento é proibido por requisitos de segurança nacional, os dados já não são requeridos para fins operacionais mas devem ser retidos para processos legais, ou a objecção ao processamento está pendente de verificação de fundamentos legítimos superiores. Os dados restritos permanecem sujeitos a controlos de segurança apropriados e podem continuar a ser processados para fins de segurança nacional autorizados por diretiva governamental, proteção de sistemas de infraestruturas críticas, conformidade com obrigações legais aplicáveis, ou estabelecimento, exercício ou defesa de reivindicações legais.
Os indivíduos possuem o direito de objetar ao processamento baseado em interesses legítimos quando tais interesses não são sobrepostos por requisitos de segurança nacional, obrigações contratuais governamentais, ou necessidades de proteção de infraestruturas críticas. As objeções ao processamento para fins de marketing direto serão honradas imediatamente. As objeções ao processamento relacionado com segurança são avaliadas através de testes formais de equilíbrio considerando a severidade e imediatismo das ameaças identificadas, o impacto potencial na proteção de infraestruturas críticas, obrigações para com autoridades contratantes governamentais, e diretivas de segurança nacional aplicáveis.
Procedimentos de Exercício e Requisitos de Verificação
Todos os pedidos de direitos devem ser submetidos através de canais seguros com verificação de identidade apropriada e confirmação de autorização de segurança. Os pedidos são processados apenas quando a identidade do requerente é verificada através de mecanismos de autenticação aprovados pelo governo, o requerente possui autorização de segurança apropriada para aceder à informação requerida, a divulgação não comprometeria informação classificada ou interesses de segurança nacional, e o processamento seja tecnicamente exequível dentro dos constrangimentos de segurança aplicáveis. Os pedidos não verificáveis não serão processados.
Os pedidos verificados serão processados dentro dos prazos exigidos por lei aplicável, tipicamente trinta dias, salvo se prolongados pela complexidade de pedidos envolvendo informação classificada, requisitos de coordenação com autoridades governamentais, constrangimentos técnicos afetando recuperação de dados de sistemas seguros, ou interesses superiores de segurança nacional requerendo períodos de processamento alargados. Os requerentes serão notificados de quaisquer extensões e fornecidos com atualizações de estado ao longo do período de processamento.
Todas as atividades de exercício de direitos são conduzidas com reconhecimento explícito de que as operações de cibersegurança que suportam interesses de segurança nacional podem requerer priorização de objetivos de segurança coletiva sobre direitos de titulares de dados individuais quando tal priorização é autorizada por quadros jurídicos aplicáveis e diretivas governamentais. Os indivíduos retêm o direito de apresentar queixas a autoridades supervisoras competentes relativamente a atividades de processamento, com recurso adicional através de oficiais de contratação apropriados, inspetores-gerais de agências, e comissões de supervisão congressual onde aplicável a contratos governamentais.
7. Governança de Políticas e Quadro Administrativo
Autoridade Administrativa e Quadro Jurisdicional
Esta Declaração de Privacidade de Dados é administrada pelo Grupo CypSec como o quadro autoritativo que regula todas as atividades de processamento de dados pessoais conduzidas em apoio a operações de cibersegurança. A Declaração estabelece padrões uniformes de proteção em todas as operações enquanto reconhece que contratos governamentais específicos, acordos classificados e diretivas de segurança nacional podem impor requisitos adicionais que se sobrepõem às disposições gerais quando mandatados por lei aplicável ou interesses de segurança superiores.
Em circunstâncias onde surjam requisitos conflituantes entre esta Declaração e disposições de contratos governamentais ou regulamentos de aquisição, diretivas de segurança nacional e procedimentos de manuseamento classificado, tratados internacionais ou acordos bilaterais, mandatos de supervisão de inteligência, ou diretivas de emergência para proteção de infraestruturas críticas, prevalecerá o padrão aplicável mais protetor que satisfaça os requisitos de segurança governamentais. Todos os conflitos são resolvidos através de revisão jurídica formal com coordenação governamental apropriada onde informação classificada esteja envolvida.
Implementação Técnica e Tecnologias de Rastreamento
A CypSec utiliza cookies e tecnologias de rastreamento comparáveis exclusivamente para manter sessões de autenticação seguras e prevenir acesso não autorizado, deteção de ameaças e identificação de anomalias dentro de ambientes de clientes, monitorização de desempenho de infraestruturas de segurança e sistemas de resposta, e verificação de conformidade com requisitos de segurança governamentais. Cookies essenciais necessários para operação segura da plataforma são implementados sem consentimento individual. Tecnologias de rastreamento não essenciais são implementadas apenas quando explicitamente autorizadas por lei aplicável e sujeitas a mecanismos de supervisão de segurança apropriados.
Todas as implementações técnicas utilizam padrões de encriptação aprovados pelo governo e são conduzidas através de canais de comunicação seguros cumprindo requisitos de classificação aplicáveis. Os dados de rastreamento são retidos de acordo com calendários estabelecidos alinhados com requisitos de retenção de segurança nacional e obrigações de auditoria governamentais, com acesso estritamente limitado a pessoal possuindo autorizações de segurança apropriadas e autorização de necessidade-de-saber.
Restrições de Idade e Protocolos de Proteção de Menores
Os serviços CypSec são concebidos para e restritos a pessoal governamental autorizado, contratantes autorizados, entidades comerciais validadas operando dentro de quadros de segurança aprovados e indivíduos com necessidade de tecnologias preservadoras de privacidade. A Empresa não recolhe deliberadamente dados pessoais de indivíduos com menos de dezasseis anos de idade. Quando detetada recolha inadvertida, tais dados serão imediatamente eliminados salvo se a retenção for mandatada por investigações de ameaças em curso, requisitos de resposta a incidentes de segurança, obrigações de auditoria ou supervisão governamental, mandatos de retenção legal aplicáveis, ou interesses de segurança nacional requerendo processamento contínuo.
Todos os procedimentos de verificação de idade são implementados através de mecanismos de autenticação seguros que verificam autorização para aceder a sistemas classificados e informação sensível. As atividades de processamento envolvendo menores estão sujeitas a supervisão reforçada e revisão imediata por autoridades governamentais apropriadas e oficiais de contratação.
Procedimentos de Modificação e Atualização de Políticas
Esta Declaração pode ser atualizada para refletir modificações na legislação de proteção de dados aplicável ou regulamentos de aquisição governamentais, melhorias em tecnologias de segurança e capacidades de deteção de ameaças, alterações em requisitos contratuais ou diretrizes de classificação, desenvolvimentos em mecanismos de transferência internacional de dados, ou requisitos operacionais para capacidades de cibersegurança reforçadas. As versões atualizadas são disseminadas através de canais de notificação seguros.
Modificações significativas afetando mecanismos de transferência internacional de dados, procedimentos de supervisão ou auditoria governamentais, requisitos de manuseamento de classificação de segurança, disposições de limitação de responsabilidade ou garantia, ou procedimentos de resolução de disputas para contratos governamentais, serão comunicadas através de processos formais de modificação contratual com aviso prévio apropriado conforme exigido por regulamentos de aquisição aplicáveis. Todas as alterações materiais requerem reconhecimento por representantes governamentais autorizados antes da implementação.
Estrutura de Governança e Conformidade Regulamentar
A CypSec mantém mecanismos abrangentes de governança incluindo nomeação de Oficiais de Proteção de Dados qualificados com autorizações de segurança apropriadas para manusear informação classificada, estabelecimento de gabinetes de ligação governamental para coordenação com autoridades contratantes, implementação de procedimentos formais de revisão para todas as modificações de políticas afetando contratos governamentais, manutenção de comités de supervisão com representação de funções jurídicas, de segurança e de relações governamentais, e coordenação com autoridades supervisoras e órgãos de supervisão de inteligência apropriados conforme exigido por lei aplicável.
Onde exigido por lei aplicável, a CypSec designa representantes dentro de jurisdições relevantes de acordo com os Artigos 27 e 37 do Regulamento Geral sobre Proteção de Dados. Todos os representantes mantêm autorizações de segurança apropriadas e estão autorizados para coordenar com autoridades supervisoras em assuntos envolvendo informação classificada, facilitar procedimentos de exercício de direitos sujeito a limitações de segurança nacional, gerir processos de notificação de violações com coordenação governamental apropriada, e servir como pontos de ligação para inquéritos regulatórios requerendo verificação de autorização de segurança.
Esta Declaração opera como o quadro de governança definitivo para todas as atividades de processamento de dados pessoais, sobrepondo-se a todas as políticas, procedimentos e práticas informais anteriores. Todas as atividades de processamento são conduzidas com reconhecimento explícito de que a proteção de interesses de segurança nacional e infraestruturas críticas pode requerer priorização de objetivos de segurança coletiva sobre preferências individuais quando tal priorização é autorizada por quadros jurídicos aplicáveis e diretivas governamentais.
