Versão atualizada em setembro de 2021
A Política de Segurança Cibernética e da Informação abrange todo o ambiente da Hotmart Company BV (“Hotmart” ou “Companhia”), com exceção da Teachable, e contém objetivos, diretrizes e regras de Segurança Cibernética, visando a garantir a segurança do seu ambiente e, consequentemente, dos usuários da sua plataforma ou dos seus serviços, ou de partes interessadas.
O cumprimento das diretrizes estabelecidas é de responsabilidade de todos os colaboradores e prestadores de serviço, e essencial para atingir níveis adequados de proteção à informação.
Os papeis e responsabilidades referentes a esta política estão distribuídos entre os seguintes níveis da organização:
A Companhia adota um conjunto de ações, diretrizes e procedimentos para reduzir riscos e vulnerabilidades de segurança da informação, os quais convergem para o fortalecimento dos pilares que amparam todo tratamento de dados pela Companhia:
As diretrizes e regras adotadas pela Companhia coordenam a consecução dos seguintes objetivos:
O programa permanente de Segurança Cibernética da Hotmart consiste em um amplo processo que, no horizonte dos princípios e objetivos traçados, guia a implementação de controles ou instrumentos de gestão da informação, dentre os quais se destacam:
Para que seja possível proteger e tratar informações de maneira adequada é necessário classificar os tipos de informações existentes na Companhia. A classificação é determinada com base no valor da informação, sensibilidade, criticidade, obrigações legais e contratuais, e a Companhia define rótulos para a classificação das informações, os quais devem ser observados e aplicados internamente durante o tratamento de informação.
A Hotmart possui equipes dedicadas à criação e otimização de instrumentos de melhoria de segurança das suas aplicações com foco em dados pessoais, observando-se exigências legais e melhores técnicas conhecidas no mercado.
A Companhia zela pelo respeito a todos os aspectos da propriedade intelectual presente em seu ambiente e em suas operações. É dever de todos a abstenção do uso de informações ou propriedade intelectual da Hotmart para fins particulares.
Ativos de informação são qualquer recurso envolvido no ciclo de vida dos dados na organização. Na Hotmart, esses recursos são protegidos contra acessos indevidos, e os colaboradores devem observar os cuidados inerentes a cada atividade, atuando com integridade e discernimento durante a utilização dos equipamentos da Companhia, incluindo regras específicas para dispositivos móveis e conectados à sua rede.
A Companhia adota procedimentos formais para a gestão de acesso de todo o seu ambiente de TI, contemplando processos de Concessão, Revogação, Transferência, Revisão e Autenticação de Acessos.
A Hotmart adota diversos controles sobre alterações em sistemas internos e bases de dados da Companhia, incluindo procedimentos de revisão de código, de integridade e continuidade dos sistemas desenvolvidos, rastreamento, versionamento, testes e gerenciamento do ciclo de integração contínua.
Por meio da gestão das suas redes, a Hotmart preserva o fluxo seguro de dados entre os componentes dos seus sistemas, observando-se a segmentação das redes e o uso de padrões de configuração seguros e criptografia forte.
A Hotmart realiza varreduras e testes recorrentes em seu ambiente de TI, por equipe especializada em testes de segurança, para aferição de falhas e vulnerabilidades em seus sistemas, cujo tratamento é realizado por suas equipes de segurança cibernética e desenvolvimento seguro.
Mecanismos de proteção são implementados contra códigos maliciosos em pontos de entrada e saída dos sistemas da Hotmart. Esses pontos incluem firewalls, servidores de acesso remoto, estações de trabalho, servidores de e-mail, servidores web, servidores proxy e dispositivos móveis.
A partir de informações recebidas e verificações internas, a Hotmart avalia os riscos envolvidos na contratação de cada fornecedor, para garantir a conformidade com as regras de segurança cibernética e da informação da Companhia, de acordo com os serviços prestados.
Trilhas de auditoria automatizadas são implantadas para os componentes de sistemas da Hotmart, permitindo o rastreamento de eventos de segurança, de autenticação e de ações executadas por usuários.
A Hotmart aplica controle de transmissão de informação em seu ambiente de TI, por meio de soluções automatizadas, que detectam, restringem e alertam a circulação indevida de dados. Os controles estão associados à classificação destas informações.
A Hotmart possui plano para recuperação segura dos dados tratados pela companhia e funcionalidades dos seus sistemas, em caso de indisponibilidade de serviços críticos de tecnologia que sustentam sua operação, e conta com backup de dados em mais de um datacenter.
Com o objetivo de disseminar o conhecimento e aprimoramento contínuo, a Companhia realiza treinamentos e promove meios de conscientização periódicos relativos à Segurança Cibernética e da Informação, abrangendo todos os colaboradores.
O processo de gestão de incidentes da Hotmart destina-se a prevenir, detectar, responder e recuperar-se diante de evento inesperado que gere algum tipo de instabilidade, violação de política ou norma interna, ou que possa causar danos à Companhia. Todos incidentes reportados no ambiente de tecnologia da Hotmart passam por procedimentos de identificação, análise, classificação e comunicação, de acordo com seus efeitos e com o interesse das partes envolvidas e eventualmente afetadas.
Em caso de identificação, pelo público externo, de alguma inconsistência ou falha no ambiente da Hotmart, a Companhia disponibiliza canal para recebimento do comunicado respectivo, pelo e-mail security@hotmart.com.
O descumprimento das diretrizes do Programa de Segurança da Informação, definidas nesta Política, constitui ofensa grave e acarreta a aplicação de sanções em conformidade com as normas vigentes.
O colaborador ou prestador de serviço que deliberadamente deixar de notificar violações a esta política também estará sujeito às medidas mencionadas acima.