POLÍTICA DE CONTINUIDADE DA TECNOLOGIA DA INFORMAÇÃO

Esta política estabelece os princípios, diretrizes e medidas adotados pela LINDAU GAMING BRASIL S.A. para assegurar a continuidade operacional e a conformidade continuidade de seus sistemas de Tecnologia da Informação no mercado de apostas, em alinhamento com os requisitos mínimos regulatórios estabelecidos pela Secretaria de Prêmios e Apostas do Ministério da Fazenda. A política reflete o compromisso da empresa em garantir que seus serviços sejam seguros, confiáveis e continuamente disponíveis, protegendo a integridade dos dados, o funcionamento das plataformas e o atendimento aos consumidores.

 

  1. Base Legal e Regulamentar

A Política de Continuidade de TI está fundamentada nas seguintes normativas e regulamentos vigentes no Brasil:

  1. Lei nº 13.756/2018 – Que regulamenta as apostas de quota fixa e prevê a necessidade de sistemas de apostas que garantam transparência, integridade e segurança operacional.
  2. Portaria nº 671/2023 do Ministério da Fazenda – Que estabelece os requisitos mínimos para sistemas de TI utilizados por operadores de apostas, incluindo segurança de dados, auditoria e monitoramento contínuos.
  3. Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) – Que exige o tratamento seguro e ético de dados pessoais, particularmente no uso de sistemas digitais para transações de apostas.

Adicionalmente, a política observa normas internacionais como ISO 22301 (Gestão de Continuidade de Negócios) e ISO 27001 (Gestão de Segurança da Informação), adotadas como boas práticas complementares.

  1. Objetivos da Política

2.1. Garantir a disponibilidade e o funcionamento ininterrupto dos sistemas de TI que suportam operações de apostas e serviços ao consumidor

A continuidade das operações é essencial no mercado de apostas, onde interrupções podem prejudicar a experiência do cliente, causar perdas financeiras e comprometer a reputação da empresa. Nesse contexto, a LINDAU GAMING BRASIL S.A. se compromete a:

  • Assegurar alta disponibilidade dos sistemas de TI:
    • Implementar tecnologias como balanceamento de carga, redundância geográfica e servidores espelhados para garantir que os sistemas permaneçam operacionais mesmo diante de falhas técnicas ou desastres.
    • Garantir uma infraestrutura que suporte um uptime mínimo de 99,9%, conforme regulamentação vigente.
  • Evitar interrupções nos serviços aos consumidores:
    • Monitorar continuamente os sistemas críticos para identificar e corrigir proativamente falhas potenciais.
    • Realizar manutenções preventivas em horários de menor impacto para os clientes, garantindo transparência nas comunicações sobre períodos de indisponibilidade planejada.
  • Prover suporte 24/7:
    • Disponibilizar equipes de TI e suporte técnico em regime de plantão contínuo, prontas para responder rapidamente a qualquer evento que ameace a continuidade dos serviços.

2.2. Proteger os dados e transações realizadas nos sistemas da empresa contra falhas, ataques cibernéticos e outros incidentes

A proteção de dados é fundamental para o mercado de apostas, considerando a sensibilidade das informações financeiras e pessoais envolvidas. A política da empresa assegura:

  • Prevenção contra falhas técnicas e lógicas:
    • Uso de sistemas de backup automatizado, armazenando dados críticos em locais seguros e redundantes para evitar perda de informações.
    • Realização periódica de testes de restauração para validar a integridade e a disponibilidade dos dados armazenados.
  • Segurança contra ataques cibernéticos:
    • Implementação de firewalls avançados, sistemas de detecção e prevenção de intrusão (IDS/IPS) e criptografia de dados em repouso e em trânsito.
    • Treinamento regular das equipes para prevenir ataques de engenharia social, phishing e outros métodos de exploração.
  • Resiliência contra desastres naturais ou falhas físicas:
    • Implantação de data centers em locais geograficamente distintos, com suporte a tolerância a falhas e recuperação rápida.

2.3. Cumprir os requisitos regulatórios de conformidade e auditoria exigidos pela Secretaria de Prêmios e Apostas do Ministério da Fazenda

A conformidade com os regulamentos estabelecidos pelas autoridades brasileiras é um pilar da operação. Para garantir isso, a empresa adotará:

  • Auditorias periódicas:
    • Realização de auditorias internas e externas para verificar o cumprimento das normas estabelecidas no regulamento de sistemas de apostas e da LGPD.
    • Compartilhamento dos relatórios de auditoria com a Secretaria de Prêmios e Apostas, de forma transparente.
  • Armazenamento de registros (logs):
    • Garantir que todos os eventos críticos (transações, acessos, erros, alterações nos sistemas) sejam registrados e armazenados por no mínimo cinco anos, em conformidade com as exigências regulatórias.
  • Atualização contínua das práticas de conformidade:
    • Acompanhamento constante das mudanças na legislação e adoção imediata de medidas para atender às novas exigências.

2.4. Minimizar os impactos operacionais e reputacionais em caso de interrupções nos sistemas, por meio de estratégias de recuperação e redundância

Lindau LINDAU GAMING BRASIL S.A. reconhece que incidentes podem ocorrer, mas busca mitigar seus impactos por meio de:

  • Planos de Recuperação de Desastres (Disaster Recovery Plan – DRP):
    • Criação de protocolos detalhados para reestabelecimento rápido de sistemas críticos em caso de interrupções.
    • Estabelecimento de tempos máximos para recuperação (Recovery Time Objective – RTO) e perda aceitável de dados (Recovery Point Objective – RPO).
  • Redundância geográfica e funcional:
    • Manutenção de servidores e data centers em diferentes locais, configurados para assumir automaticamente as operações em caso de falhas em um dos sites.
  • Gestão de crises e comunicação:
    • Definição de um plano claro de comunicação para informar clientes, parceiros e reguladores sobre qualquer incidente que afete a operação.
    • Criação de um comitê de resposta rápida para gerenciar crises e implementar as ações corretivas necessárias.
  1. Diretrizes Gerais

3.1. Estrutura de Continuidade de TI

  • Todos os sistemas de TI utilizados para operação de apostas e gestão de dados seguirão um plano estruturado de continuidade que inclua:
    1. Planos de Recuperação de Desastres (Disaster Recovery Plan – DRP): Documentação detalhada com medidas de resposta rápida a incidentes.
    2. Planos de Continuidade de Negócios (Business Continuity Plan – BCP): Estratégias para garantir a operação em cenários de crise.

3.2. Garantia de Disponibilidade

  • A infraestrutura de TI deve ser projetada para garantir alta disponibilidade (uptime mínimo de 99,9%) conforme exigido pelo regulamento específico de sistemas de apostas.
  • A empresa adotará tecnologias de failover e redundância geográfica para assegurar a continuidade dos serviços em caso de falhas.

3.3. Segurança da Informação

  • Os sistemas deverão estar protegidos contra acessos não autorizados, ataques cibernéticos e vazamentos de informações.
  • Serão implementados controles de segurança baseados nas normas ISO 27001 e práticas de mercado, como criptografia de dados em repouso e em trânsito, autenticação multifatorial e sistemas de detecção e prevenção de intrusão (IDS/IPS).

3.4. Conformidade Regulatória

  • Todos os sistemas de TI estarão sujeitos a auditorias periódicas, internas e externas, conforme os critérios estabelecidos pela Secretaria de Prêmios e Apostas do Ministério da Fazenda.
  • Logs de transações, falhas e acessos serão armazenados por pelo menos cinco anos, garantindo a rastreabilidade e o atendimento aos requisitos regulatórios.
  1. Gestão de Riscos e Mitigação

4.1. Identificação de Riscos

A identificação de riscos é o primeiro passo para garantir que a empresa esteja preparada para responder a ameaças e minimizar seus impactos. Nesse sentido, a empresa adota:

  • Mapeamento contínuo de vulnerabilidades:
    • Realizar análises periódicas de todos os sistemas e processos de TI para identificar pontos frágeis que possam ser explorados por agentes externos ou causar falhas internas.
    • Utilizar ferramentas de escaneamento de vulnerabilidades, simulando ataques para identificar possíveis falhas em redes, aplicativos e infraestrutura.
  • Identificação de riscos cibernéticos:
    • Monitorar as tendências globais de ameaças cibernéticas (como ransomware, phishing e DDoS) e incorporar medidas preventivas para mitigar esses riscos.
    • Realizar auditorias de segurança regulares, com o objetivo de revisar configurações de acesso, permissões de usuários e protocolos de autenticação.
  • Análise de dependências críticas:
    • Identificar componentes de infraestrutura, fornecedores externos e sistemas interdependentes cujo mau funcionamento poderia impactar os serviços de apostas.

4.2. Monitoramento Contínuo

O monitoramento contínuo é essencial para antecipar falhas, identificar comportamentos anômalos e responder rapidamente a incidentes. As ações incluem:

  • Ferramentas de monitoramento em tempo real:
    • Implantar sistemas de SIEM (Security Information and Event Management) para coletar, correlacionar e analisar eventos em tempo real, identificando padrões que indiquem possíveis incidentes de segurança ou falhas operacionais.
    • Utilizar dashboards integrados para acompanhar o desempenho dos sistemas críticos e detectar indicadores de degradação antes que eles resultem em interrupções.
  • Monitoramento proativo de performance:
    • Verificar regularmente o desempenho de servidores, redes e bancos de dados para garantir que estejam operando dentro de parâmetros aceitáveis.
    • Implementar alertas automáticos que notificam as equipes responsáveis sempre que os níveis de desempenho caírem abaixo dos valores definidos.
  • Monitoramento de ameaças externas:
    • Participar de redes de inteligência de ameaças cibernéticas (cyber threat intelligence), permitindo identificar vulnerabilidades emergentes e tomar medidas antes que elas sejam exploradas.

4.3. Teste de Continuidade e Recuperação

Os testes regulares de continuidade garantem que os planos e medidas documentados sejam eficazes e que as equipes estejam preparadas para executar as ações planejadas. As diretrizes incluem:

  • Simulações regulares de falhas:
    • Realizar testes controlados que simulam falhas em sistemas críticos, como queda de servidores ou ataques DDoS, para validar a resiliência dos planos de recuperação.
    • Envolver todas as partes interessadas, incluindo equipes de TI, operacionais e de suporte, para testar os procedimentos de resposta.
  • Testes de recuperação de dados (disaster recovery tests):
    • Restaurar backups regularmente para verificar a integridade e a eficácia das políticas de recuperação de dados.
    • Garantir que os tempos de recuperação (RTO – Recovery Time Objective) e os limites de perda de dados (RPO – Recovery Point Objective) sejam compatíveis com os requisitos operacionais e regulatórios.
  • Testes de redundância geográfica:
    • Testar a ativação de data centers secundários ou servidores espelhados para garantir que a operação possa ser transferida de forma transparente para o cliente, caso ocorra falha em uma das localizações principais.

4.4. Plano de Comunicação em Crises

A comunicação eficaz durante incidentes é fundamental para reduzir impactos reputacionais e manter a confiança de clientes, parceiros e reguladores. As diretrizes para o plano de comunicação incluem:

  • Definição de um comitê de resposta a crises:
    • Criar uma equipe multidisciplinar responsável por gerenciar a comunicação e a execução dos planos de continuidade durante crises.
    • Delegar responsabilidades específicas, como comunicação interna, atendimento ao cliente e notificação às autoridades reguladoras.
  • Transparência com stakeholders:
    • Estabelecer canais dedicados para informar clientes e parceiros sobre a situação durante um incidente, incluindo medidas tomadas para mitigar impactos.
    • Manter a Secretaria de Prêmios e Apostas do Ministério da Fazenda informada sobre qualquer interrupção significativa que afete a conformidade regulatória ou os dados das operações.
  • Manuais e mensagens pré-aprovadas:
    • Desenvolver modelos de mensagens claras e concisas para diferentes cenários de crise, garantindo que a comunicação seja rápida e consistente.
    • Atualizar regularmente os manuais de crise para incorporar lições aprendidas em testes e incidentes reais.
  1. Requisitos de Infraestrutura

A infraestrutura de Tecnologia da Informação (TI) é a base para garantir a continuidade das operações e o cumprimento das exigências legais e regulatórias no mercado de apostas. A seguir, detalhamos os tópicos relacionados aos Requisitos de Infraestrutura que a LINDAU GAMING BRASIL S.A. deve adotar para operar de forma segura, eficiente e em conformidade.

5.1. Data Centers

Os data centers que suportam as operações da empresa devem atender a padrões elevados de segurança, desempenho e confiabilidade. As diretrizes incluem:

  • Certificação de qualidade:
    • Utilizar data centers com certificação Tier III ou superior, conforme definido pelo Uptime Institute, para garantir alta disponibilidade (uptime de 99,982%) e robustez contra falhas.
    • Certificações adicionais, como ISO 27001 (Segurança da Informação), são recomendadas para validar as práticas de proteção de dados.
  • Redundância física e lógica:
    • Garantir redundância em sistemas essenciais, como energia elétrica, resfriamento, redes e armazenamento, para evitar falhas únicas (single points of failure).
    • Configurar links de internet redundantes para assegurar conectividade contínua, mesmo em caso de interrupções na infraestrutura de telecomunicações.
  • Distribuição geográfica:
    • Operar data centers em localidades distintas (geograficamente separadas) para proteção contra desastres naturais, falhas regionais ou eventos catastróficos.
    • Implementar estratégias de replicação de dados em tempo real entre locais diferentes, garantindo que informações e operações possam ser transferidas sem interrupções.
  • Acesso físico controlado:
    • Implantar sistemas de controle de acesso restrito nos data centers, como biometria, vigilância 24/7 e registros de entrada e saída, para evitar acessos não autorizados.

5.2. Backup e Redundância

A política de backup e redundância é fundamental para proteger dados críticos e assegurar a recuperação rápida em caso de incidentes. As medidas incluem:

  • Backups regulares:
    • Realizar backups diários de todos os dados essenciais, incluindo informações transacionais, registros de clientes e logs de auditoria.
    • Armazenar os backups em locais distintos, preferencialmente utilizando uma combinação de infraestrutura local (on-premises) e serviços na nuvem.
  • Backup incremental e completo:
    • Adotar backups incrementais durante o dia para reduzir o impacto no desempenho dos sistemas e realizar backups completos periodicamente para consolidar os dados.
  • Proteção dos backups:
    • Garantir que todos os backups sejam criptografados e protegidos contra acesso não autorizado, seja durante o armazenamento ou o transporte entre locais.
  • Redundância operacional:
    • Configurar sistemas críticos com alta disponibilidade, como clusters de servidores e bancos de dados espelhados (replicação síncrona), para que uma falha em um sistema não comprometa o funcionamento do outro.
  • Testes de restauração:
    • Realizar testes regulares de restauração de backups para validar a integridade e garantir que os dados possam ser recuperados dentro dos tempos estabelecidos (RTO e RPO).

5.3. Segurança Física e Lógica

A segurança dos sistemas e da infraestrutura de TI deve ser projetada para proteger contra acessos não autorizados, ataques cibernéticos e desastres. As ações incluem:

  • Segurança física nos locais de operação:
    • Garantir que equipamentos críticos sejam armazenados em ambientes com controle de temperatura, proteção contra incêndios e sistemas de energia ininterrupta (UPS).
    • Monitoramento constante por câmeras e alarmes, além de políticas rigorosas para o transporte e descarte seguro de equipamentos antigos ou danificados.
  • Proteção contra ataques cibernéticos:
    • Implementar firewalls de última geração, sistemas de prevenção e detecção de intrusão (IPS/IDS) e criptografia de ponta a ponta para proteger o tráfego de dados.
    • Realizar auditorias regulares de segurança para avaliar a conformidade com padrões de mercado, como PCI DSS, quando aplicável.
  • Planejamento para continuidade em caso de falhas físicas:
    • Instalar equipamentos redundantes, como servidores espelhados e links de comunicação alternativos, para minimizar impactos de falhas ou interrupções inesperadas.

5.4. Escalabilidade e Flexibilidade

A infraestrutura deve ser projetada para atender ao crescimento da operação da empresa e a variações na demanda de usuários. As medidas incluem:

  • Capacidade de escalabilidade vertical e horizontal:
    • Adotar soluções de TI que permitam a adição de recursos (memória, processamento, armazenamento) ou a expansão de serviços em múltiplos servidores sem impacto na operação.
  • Soluções em nuvem:
    • Integrar serviços baseados em nuvem, preferencialmente utilizando provedores com alta confiabilidade e conformidade regulatória, para complementar a infraestrutura física e permitir uma expansão rápida em momentos de pico.
  • Elasticidade para picos de uso:
    • Implementar ferramentas de balanceamento de carga e automação que ajustem os recursos de TI de acordo com a demanda em tempo real, especialmente em períodos de alto volume, como eventos especiais ou promoções.

5.5. Conectividade e Comunicação

A conectividade é essencial para o funcionamento contínuo dos sistemas de apostas e o acesso do consumidor. A política de infraestrutura contempla:

  • Links redundantes de internet:
    • Contratar múltiplos provedores de conectividade para garantir que uma interrupção em um fornecedor não afete a operação.
    • Configurar sistemas de failover automático, que alternam entre os links disponíveis sem impacto perceptível ao usuário.
  • Banda larga dimensionada:
    • Garantir que a largura de banda da empresa seja suficiente para suportar o tráfego esperado, com margem adicional para lidar com picos.
  • Comunicação segura:
    • Utilizar protocolos de criptografia como TLS (Transport Layer Security) para proteger o tráfego de dados entre servidores e clientes.

5.6. Gestão e Monitoramento de Infraestrutura

A gestão da infraestrutura é essencial para garantir sua operação eficiente e prevenir falhas. As ações incluem:

  • Central de operações de TI (NOC – Network Operations Center):
    • Estabelecer uma equipe dedicada para monitorar e gerenciar a infraestrutura 24/7, com ferramentas avançadas para detectar e corrigir problemas rapidamente.
  • Automação de processos:
    • Utilizar ferramentas de automação para tarefas repetitivas, como aplicação de patches de segurança, backups e alocação de recursos.
  • Indicadores de desempenho (KPIs):
    • Monitorar métricas chave, como taxa de utilização de servidores, tempo de resposta do sistema e taxas de erro, para identificar tendências e agir preventivamente.
  1. Política de Proteção de Dados e Privacidade

6.1. Conformidade com a Lei Geral de Proteção de Dados (LGPD)

Lindau LINDAU GAMING BRASIL S.A. se compromete a proteger os dados pessoais de seus clientes, parceiros e funcionários de acordo com a Lei nº 13.709/2018 (LGPD). Para isso, a empresa adota as seguintes práticas:

  • Tratamento de dados de forma legal e transparente:
    • Garantir que todos os dados pessoais sejam coletados, processados e armazenados apenas para fins legítimos e de forma clara, com consentimento explícito do titular, quando necessário.
    • Disponibilizar informações detalhadas sobre o tratamento de dados pessoais, incluindo finalidades específicas, nos termos de consentimento e na política de privacidade.
  • Finalidade específica para o tratamento dos dados:
    • Utilizar os dados pessoais apenas para as finalidades específicas e legítimas declaradas no momento da coleta, como a gestão de contas de usuário, transações de apostas e marketing, quando autorizado.
  • Minimização de dados:
    • Coletar apenas os dados necessários para o cumprimento das finalidades e não armazenar dados pessoais além do prazo necessário, conforme exigido pela legislação.
  • Direitos dos titulares:
    • Garantir que os titulares dos dados possam exercer seus direitos de acesso, retificação, exclusão, anonimização e portabilidade dos dados de forma fácil e acessível, conforme previsto pela LGPD.
  • Treinamento contínuo sobre LGPD:
    • Capacitar regularmente as equipes de TI, atendimento ao cliente e outras áreas relevantes sobre os princípios da LGPD e as melhores práticas para proteger os dados pessoais.

6.2. Consentimento e Transparência no Tratamento de Dados

A transparência no tratamento de dados pessoais é um princípio central da LGPD. A empresa garante que os dados são coletados e processados de maneira transparente e com consentimento adequado. As práticas incluem:

  • Obtenção do consentimento explícito:
    • Informar claramente aos clientes e parceiros sobre a coleta de dados, as finalidades do tratamento e a forma como esses dados serão utilizados, solicitando consentimento explícito quando necessário.
    • Garantir que o consentimento seja livre, informado e inequívoco, com a opção clara de revogação a qualquer momento, conforme estipulado pela LGPD.
  • Política de Privacidade:
    • Manter uma política de privacidade acessível a todos os usuários, detalhando os tipos de dados coletados, as finalidades, os direitos dos titulares e os procedimentos para acessar e corrigir informações pessoais.
    • Atualizar periodicamente a política de privacidade para refletir mudanças nas práticas de tratamento ou novas regulamentações.
  • Notificação de alterações no tratamento de dados:
    • Informar os clientes sobre qualquer alteração substancial na política de privacidade ou nas práticas de tratamento de dados, incluindo a introdução de novos tipos de dados coletados ou alterações nas finalidades de uso.

6.3. Segurança e Proteção de Dados Pessoais

Lindau LINDAU GAMING BRASIL S.A. adota uma abordagem robusta para garantir a segurança dos dados pessoais durante o seu ciclo de vida, desde a coleta até a eliminação. As medidas incluem:

  • Criptografia de dados:
    • Implementação de criptografia de dados sensíveis, tanto em repouso (bancos de dados, arquivos) quanto em trânsito (comunicação entre sistemas e usuários), para garantir que os dados pessoais não sejam acessados indevidamente.
  • Controle de acesso rigoroso:
    • Definição de políticas de controle de acesso baseadas em funções (RBAC – Role-Based Access Control), permitindo que apenas funcionários e prestadores de serviço autorizados tenham acesso a dados pessoais.
    • Utilização de autenticação multifatorial (MFA) para reforçar a segurança no acesso aos sistemas que processam dados pessoais.
  • Monitoramento e auditoria:
    • Monitoramento contínuo dos sistemas de TI para detectar qualquer tentativa de acesso não autorizado ou violação de dados.
    • Implementação de registros de auditoria para rastrear acessos a dados sensíveis, facilitando a investigação de incidentes de segurança.
  • Treinamento em segurança de dados:
    • Capacitação contínua das equipes para que estejam cientes dos riscos associados ao tratamento de dados pessoais e saibam como agir em caso de incidentes de segurança.

6.4. Compartilhamento de Dados com Terceiros

Lindau LINDAU GAMING BRASIL S.A. compartilha dados pessoais com terceiros, como fornecedores, prestadores de serviços e parceiros de negócios, apenas quando necessário e de acordo com a legislação vigente. Para garantir a proteção desses dados, a empresa adota as seguintes práticas:

  • Acordos contratuais com terceiros:
    • Estabelecimento de acordos contratuais com fornecedores e prestadores de serviços que garantam a conformidade com a LGPD e outras regulamentações de proteção de dados.
    • Garantia de que os terceiros que processam dados em nome da empresa adotem medidas adequadas de segurança e privacidade, bem como se comprometam a não utilizar os dados para finalidades não autorizadas.
  • Avaliação de riscos ao compartilhar dados:
    • Realização de avaliações de impacto à privacidade (DPIA – Data Protection Impact Assessment) antes de compartilhar dados pessoais com terceiros, especialmente em casos de alto risco para os titulares dos dados.
  • Transferência internacional de dados:
    • Garantir que qualquer transferência de dados pessoais para fora do Brasil seja realizada de acordo com as disposições da LGPD e apenas para países que garantam um nível adequado de proteção de dados.

6.5. Retenção e Eliminação de Dados

A empresa se compromete a reter dados pessoais apenas pelo tempo necessário para cumprir suas finalidades legais e contratuais. As diretrizes incluem:

  • Prazos de retenção:
    • Estabelecer prazos claros para a retenção de diferentes tipos de dados pessoais, de acordo com a legislação aplicável e as necessidades operacionais.
    • Garantir que os dados não sejam mantidos por mais tempo do que o necessário, conforme a política de retenção de dados.
  • Eliminação segura de dados:
    • Adotar métodos seguros de eliminação de dados, como a destruição física de mídias e a destruição de dados eletrônicos, para garantir que informações pessoais não sejam recuperadas indevidamente.
  • Anonimização de dados:
    • Quando possível, adotar práticas de anonimização ou pseudonimização para reduzir o risco associado ao tratamento de dados pessoais, garantindo que as informações sejam processadas de forma segura e sem identificação de indivíduos.

6.6. Resposta a Incidentes de Segurança

Em caso de violação de dados pessoais, a LINDAU GAMING BRASIL S.A. adota um plano de resposta eficaz para proteger os direitos dos titulares e minimizar os danos. As práticas incluem:

  • Plano de resposta a incidentes:
    • Estabelecimento de um plano de resposta estruturado para lidar com violações de dados, incluindo a identificação da natureza do incidente, a contenção dos danos, a comunicação interna e externa, e a correção das falhas de segurança.
  • Notificação de incidentes aos titulares e à ANPD:
    • Notificar os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas após a confirmação de uma violação de dados, conforme exigido pela LGPD.
    • Informar os titulares sobre os riscos que possam ter ocorrido e as medidas tomadas para mitigar os danos.
  • Monitoramento de incidentes:
    • Implementar sistemas de monitoramento contínuo para detectar e responder rapidamente a qualquer atividade suspeita nos sistemas que tratam dados pessoais.

 

 

  1. Monitoramento e Auditoria

Lindau LINDAU GAMING BRASIL S.A. adota uma abordagem robusta de monitoramento e auditoria para garantir que suas operações de TI, segurança e proteção de dados estejam sempre em conformidade com as regulamentações aplicáveis e operem de maneira eficiente e segura. Este processo é crucial para detectar, prevenir e corrigir incidentes de segurança, garantir a continuidade operacional e assegurar que todos os dados e transações sejam tratados de acordo com as políticas internas e exigências legais.

7.1. Monitoramento Contínuo de Sistemas

O monitoramento contínuo dos sistemas de TI da empresa é essencial para detectar falhas, vulnerabilidades e quaisquer atividades suspeitas que possam comprometer a segurança ou a integridade das operações. As práticas incluem:

  • Monitoramento de redes e servidores:
    • Utilizar ferramentas de monitoramento de rede em tempo real para rastrear o tráfego de dados e identificar comportamentos anômalos ou potenciais tentativas de acesso não autorizado. Isso inclui monitoramento de firewalls, servidores, dispositivos de armazenamento e sistemas de comunicação.
    • Empregar tecnologias de monitoramento de desempenho (como Nagios, Zabbix, ou Prometheus) para garantir que os sistemas funcionem dentro dos parâmetros definidos e para detectar falhas de hardware, latência ou degradação de desempenho.
  • Monitoramento de eventos de segurança:
    • Implementar ferramentas de Gestão de Eventos e Informações de Segurança (SIEM – Security Information and Event Management), como Splunk ou ELK Stack, para analisar logs de segurança em tempo real e gerar alertas sobre comportamentos suspeitos, como tentativas de invasão ou uso indevido de privilégios.
    • Detectar padrões de ataque (como ataques DDoS, tentativas de acesso não autorizado ou malware) e aplicar respostas automáticas para bloquear ou mitigar os riscos identificados.
  • Monitoramento de dados pessoais:
    • Monitorar o acesso a dados pessoais e sensíveis para garantir que esses dados sejam utilizados apenas por usuários autorizados e para fins legítimos. Isso inclui o rastreamento de atividades em bancos de dados e sistemas que processam essas informações.
    • Implementar políticas de “least privilege” (menor privilégio), garantindo que apenas os indivíduos com necessidade de acesso aos dados possam visualizá-los ou manipulá-los.

7.2. Auditoria de Conformidade e Operacional

A auditoria de conformidade e operacional visa garantir que as práticas de tratamento de dados, segurança de sistemas e operações estejam em conformidade com as políticas internas, regulamentos de proteção de dados (como a LGPD) e outras leis aplicáveis. A auditoria abrange:

  • Auditorias internas periódicas:
    • Conduzir auditorias internas regulares, tanto programadas quanto esporádicas, para garantir que todos os sistemas e processos estejam em conformidade com a legislação vigente, incluindo a Lei Geral de Proteção de Dados (LGPD) e as normas específicas do mercado de apostas no Brasil.
    • Avaliar se os dados pessoais estão sendo tratados corretamente e se as medidas de segurança estão adequadas, incluindo o cumprimento de requisitos de armazenamento, acesso e eliminação de dados.
  • Auditorias externas independentes:
    • Realizar auditorias externas, por meio de empresas especializadas em segurança de TI e proteção de dados, para obter uma avaliação imparcial sobre a eficácia das políticas e práticas implementadas.
    • Obter certificações de conformidade, como ISO 27001 ou SOC 2, para validar a maturidade dos controles de segurança e privacidade adotados pela empresa.
  • Avaliação de riscos de segurança e privacidade:
    • Realizar periodicamente avaliações de impacto de privacidade (DPIA – Data Protection Impact Assessment) para identificar e mitigar riscos associados ao tratamento de dados pessoais, especialmente quando novas tecnologias ou processos forem introduzidos.
  • Conformidade com regulamentações específicas do setor de apostas:
    • Auditorias de conformidade com as regulamentações da Secretaria de Prêmios e Apostas do Ministério da Fazenda, garantindo que as práticas de segurança, privacidade e transparência estejam alinhadas com as exigências regulatórias para o setor de apostas no Brasil.

7.3. Resposta a Incidentes de Segurança

Quando um incidente de segurança é detectado, a empresa deve ter um processo bem definido para lidar com a situação de forma rápida e eficaz. As práticas incluem:

  • Plano de resposta a incidentes:
    • Desenvolvimento de um plano de resposta a incidentes que inclua procedimentos claros para a detecção, contenção, erradicação e recuperação de falhas de segurança. O plano deve abranger todos os tipos de incidentes, incluindo violações de dados, ataques cibernéticos e falhas de sistema.
    • O plano deve ser revisado periodicamente para garantir que os procedimentos estejam atualizados de acordo com as ameaças mais recentes e com as mudanças nas regulamentações de segurança.
  • Notificação e comunicação:
    • Estabelecer uma política de notificação de incidentes a autoridades, como a Autoridade Nacional de Proteção de Dados (ANPD), quando houver violação de dados pessoais. De acordo com a LGPD, a empresa deve notificar a ANPD e os titulares afetados em até 72 horas após a detecção do incidente.
    • Implementar um processo claro para comunicar os incidentes aos clientes e partes interessadas, garantindo a transparência e minimizando os danos à reputação da empresa.
  • Investigação e análise forense:
    • Utilizar equipes de resposta a incidentes treinadas para conduzir investigações e análises forenses após a ocorrência de um incidente de segurança. O objetivo é entender a origem do ataque, como ele ocorreu e quais vulnerabilidades foram exploradas.
    • Gerar relatórios detalhados sobre as lições aprendidas e implementar medidas corretivas para evitar a repetição de incidentes semelhantes.
  • Recuperação e continuidade operacional:
    • Estabelecer processos de recuperação que envolvam a restauração de sistemas críticos e a continuidade das operações de maneira eficiente após um incidente. Isso inclui a utilização de backups e redundâncias de infraestrutura para garantir que os dados possam ser recuperados rapidamente.

7.4. Auditoria de Acessos e Atividades de Usuários

A auditoria de acessos e atividades de usuários é essencial para garantir que apenas indivíduos autorizados possam acessar e interagir com sistemas críticos e dados sensíveis. As práticas incluem:

  • Monitoramento de acessos privilegiados:
    • Implementar um sistema de monitoramento que registre e audite todos os acessos a sistemas e dados sensíveis, especialmente os acessos administrativos e de alto privilégio. Isso inclui a criação de logs de auditoria detalhados que permitem rastrear as ações dos usuários em sistemas críticos.
    • Verificar regularmente se os acessos estão em conformidade com as permissões atribuídas e garantir que os acessos sejam revogados prontamente quando um usuário deixar de ter a necessidade de acesso.
  • Análise de logs de auditoria:
    • Realizar análises periódicas dos logs de auditoria para identificar qualquer atividade anômala ou suspeita. Isso pode incluir tentativas de acesso não autorizadas, acessos fora do horário normal de expediente ou modificações em dados críticos sem justificativa.
    • Integrar a análise de logs com ferramentas SIEM para automatizar a detecção de padrões suspeitos e gerar alertas em tempo real.
  • Controle de privilégios e segregação de funções:
    • Adotar o princípio da segregação de funções (SoD – Segregation of Duties) para garantir que um único usuário não tenha autoridade para realizar atividades críticas sem supervisão. Isso ajuda a evitar fraudes e abusos de poder.
    • Controlar os privilégios de acesso aos dados e sistemas, garantindo que as permissões sejam limitadas ao mínimo necessário para o desempenho das funções do usuário.

7.5. Melhoria Contínua e Feedback

O processo de monitoramento e auditoria deve ser contínuo e evoluir com o tempo para atender às novas ameaças, mudanças tecnológicas e regulamentações. A melhoria contínua envolve:

  • Avaliação de eficácia dos controles:
    • Revisar regularmente a eficácia dos controles de segurança e privacidade em vigor, garantindo que eles sejam adequados para mitigar os riscos atuais e futuros.
    • Implementar feedback das auditorias e incidentes anteriores para aprimorar as políticas, procedimentos e tecnologias de segurança.
  • Cultura organizacional de segurança:
    • Promover uma cultura organizacional voltada para a segurança e a conformidade, incentivando os funcionários a se envolverem no processo de monitoramento e a reportarem qualquer irregularidade ou risco potencial.
  • Ajustes conforme novas regulamentações:
    • Atualizar os procedimentos e sistemas para garantir que a empresa esteja sempre em conformidade com mudanças nas leis e regulamentações do setor de apostas, proteção de dados e segurança cibernética.

 

 

  1. Gestão de Incidentes

A gestão de incidentes é uma parte crucial da política de continuidade de TI e da segurança operacional da LINDAU GAMING BRASIL S.A., especialmente considerando a natureza sensível e regulada do mercado de apostas. A rápida identificação, resposta e resolução de incidentes garantem que a empresa minimize os impactos em seus usuários, dados e operações, enquanto mantém a conformidade com a legislação aplicável, como a Lei Geral de Proteção de Dados (LGPD) e as normas do Ministério da Fazenda. A seguir, detalharemos cada um dos tópicos dessa seção.

8.1. Definição de Incidentes

Lindau LINDAU GAMING BRASIL S.A. define um incidente como qualquer evento, seja intencional ou não, que comprometa a segurança, a confidencialidade, a integridade ou a disponibilidade dos sistemas, dados ou recursos tecnológicos da empresa. Os tipos de incidentes que a empresa pode enfrentar incluem, mas não se limitam a:

  • Violação de dados: Acesso não autorizado ou divulgação de dados pessoais ou sensíveis.
  • Ataques cibernéticos: Ataques de negação de serviço (DDoS), malware, ransomware ou outras tentativas de intrusão em sistemas.
  • Falhas operacionais: Quebras ou falhas em sistemas essenciais para a operação das apostas, como servidores, redes ou bases de dados.
  • Erros humanos: Ações inadvertidas por funcionários que resultam em problemas de segurança ou operação.
  • Acessos não autorizados: Tentativas de acesso aos sistemas ou dados por indivíduos não autorizados ou mal-intencionados.
  • Problemas de conformidade: Falhas no cumprimento das regulamentações de privacidade, como a LGPD ou as normas do setor de apostas.

8.2. Preparação para Incidentes

A preparação para incidentes é uma etapa fundamental para garantir que a empresa esteja pronta para responder de forma eficaz e rápida. A preparação inclui:

  • Plano de resposta a incidentes (PRI):
    • A empresa mantém um Plano de Resposta a Incidentes (PRI) detalhado, que define os procedimentos para responder a diferentes tipos de incidentes. O PRI inclui:
      • Atribuição de responsabilidades para cada tipo de incidente.
      • Ação imediata para mitigar os impactos do incidente.
      • Comunicação interna e externa durante e após o incidente.
      • Recuperação e restaurar as operações afetadas.
    • O plano deve ser revisado periodicamente e atualizado conforme novas ameaças ou mudanças nas operações da empresa.
  • Treinamento de equipes:
    • Realizar treinamentos periódicos para as equipes responsáveis pela resposta a incidentes, incluindo TI, segurança, jurídico e comunicação. Esses treinamentos devem envolver simulações de incidentes, para garantir que todos saibam como reagir de forma rápida e coordenada.
    • Incluir no treinamento como lidar com incidentes relacionados à segurança de dados pessoais, conforme exigido pela LGPD.
  • Ferramentas e tecnologias de monitoramento:
    • Implementar ferramentas e tecnologias de monitoramento que ajudem a identificar incidentes de forma precoce, como SIEM (Security Information and Event Management), antivírus, firewalls e sistemas de detecção de intrusão (IDS/IPS).
    • Garantir que os sistemas de monitoramento sejam capazes de gerar alertas em tempo real para qualquer atividade suspeita, como acessos não autorizados ou comportamentos anômalos.

8.3. Identificação e Detecção de Incidentes

A detecção rápida de incidentes é crucial para reduzir o impacto de qualquer falha de segurança ou operação. A empresa adota as seguintes práticas para identificar e detectar incidentes:

  • Monitoramento proativo:
    • Realizar monitoramento contínuo de sistemas e redes para detectar atividades anômalas ou fora do padrão. Isso inclui o uso de ferramentas de monitoramento de rede, logs de servidores, monitoramento de tráfego de dados e acessos a dados sensíveis.
    • Implementar sistemas automáticos de alerta para notificar a equipe de TI e segurança sobre qualquer evento que possa indicar um incidente, como tentativas de invasão ou falhas em sistemas críticos.
  • Análise de riscos contínua:
    • Realizar análises periódicas de riscos para identificar vulnerabilidades e possíveis pontos de falha antes que se tornem incidentes. Essa análise deve ser dinâmica, considerando as mudanças nas operações e as novas ameaças externas.
    • Monitorar continuamente as fontes de inteligência sobre ameaças, como bancos de dados de vulnerabilidades e alertas sobre novas ameaças cibernéticas.
  • Auditoria de sistemas e acessos:
    • Conduzir auditorias regulares de sistemas críticos e acessos para identificar comportamentos suspeitos ou violações de políticas de segurança. Logs de auditoria devem ser mantidos e analisados periodicamente para detectar padrões incomuns, como acessos fora do horário de expediente ou por usuários não autorizados.

8.4. Contenção e Mitigação de Incidentes

Uma vez que um incidente é identificado, a LINDAU GAMING BRASIL S.A. adota medidas para limitar seu impacto e impedir que o problema se espalhe. As práticas incluem:

  • Isolamento do incidente:
    • Isolar imediatamente o sistema ou a rede afetada para evitar que o incidente se espalhe para outros sistemas ou áreas da empresa. Isso pode envolver a desconexão de servidores comprometidos ou a suspensão temporária de serviços de apostas afetados.
    • No caso de ataques cibernéticos, como malware ou ransomware, a contenção inclui a remoção ou neutralização da ameaça de forma controlada.
  • Mitigação de danos:
    • Tomar medidas para reduzir os danos causados pelo incidente, como restaurar dados a partir de backups seguros ou corrigir vulnerabilidades exploradas. Isso também pode incluir o bloqueio de acessos não autorizados e a alteração de credenciais comprometidas.
    • Se o incidente envolver a violação de dados pessoais, a empresa deve aplicar medidas imediatas para proteger os dados expostos e minimizar os riscos para os titulares, como a alteração de senhas ou a implementação de controles adicionais.
  • Notificação interna e externa:
    • Informar rapidamente as equipes relevantes dentro da empresa sobre o incidente e as ações que estão sendo tomadas para mitigá-lo. Isso inclui notificar o setor jurídico, comunicação, TI e os gestores responsáveis.
    • Se o incidente afetar dados pessoais ou comprometer a conformidade com as regulamentações, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados, conforme exigido pela LGPD.

8.5. Recuperação e Restabelecimento

Após conter o incidente, a próxima etapa é a recuperação dos sistemas e a restauração das operações. As práticas incluem:

  • Restaurar operações afetadas:
    • Implementar processos de recuperação de desastres para restaurar os sistemas e serviços afetados o mais rapidamente possível. Isso pode incluir o uso de backups regulares, redundância de sistemas e a utilização de ambientes de recuperação de dados.
    • Priorizar a recuperação de sistemas críticos, como aqueles que processam apostas em tempo real ou gerenciam informações financeiras e dados pessoais de clientes.
  • Revisão e reforço de medidas de segurança:
    • Após a recuperação dos sistemas, realizar uma análise completa para identificar as falhas que permitiram o incidente e implementar melhorias nos controles de segurança, como a atualização de sistemas, a aplicação de patches de segurança e a adoção de novas tecnologias de defesa.
    • Melhorar as práticas de gestão de risco e a implementação de segurança, com foco em evitar a recorrência de incidentes semelhantes.
  • Verificação de conformidade:
    • Garantir que todos os sistemas e processos recuperados estejam em conformidade com a LGPD e com as regulamentações do mercado de apostas, além de validar que os dados pessoais e sensíveis foram protegidos adequadamente.

8.6. Comunicação Pós-Incidente

A comunicação eficaz após um incidente é crucial para minimizar o impacto sobre a reputação da empresa e para garantir que as partes interessadas sejam devidamente informadas. As práticas incluem:

  • Relatório de incidentes:
    • Preparar um relatório detalhado sobre o incidente, incluindo suas causas, a extensão do impacto, as ações de contenção e mitigação, e os planos para evitar a recorrência. O relatório deve ser enviado para as partes internas responsáveis, como a alta administração, o comitê de governança e o setor jurídico.
  • Notificação a autoridades regulatórias e clientes:
    • Caso o incidente envolva a violação de dados pessoais ou afete a conformidade com regulamentos do setor de apostas, a empresa deve notificar as autoridades competentes, como a ANPD e o Ministério da Fazenda, além de informar os clientes afetados, conforme exigido por lei.
  • Análise de impacto e lições aprendidas:
    • Após o incidente, realizar uma análise de impacto completa e organizar sessões de “lições aprendidas” com as equipes envolvidas. Esse processo ajudará a melhorar os processos de resposta e a prevenir falhas futuras.

8.7. Melhoria Contínua

Lindau LINDAU GAMING BRASIL S.A. adota uma abordagem de melhoria contínua para aprender com cada incidente e aprimorar suas práticas de gestão de incidentes. As ações incluem:

  • Revisão e ajuste de procedimentos:
    • Após cada incidente, a empresa revisa seus procedimentos de resposta para identificar áreas de melhoria, seja na detecção precoce, na contenção ou na comunicação do incidente.
  • Treinamento contínuo:
    • A empresa atualiza regularmente o treinamento de suas equipes para garantir que estejam preparadas para lidar com incidentes futuros de forma mais eficaz e eficiente.
  1. Responsabilidades

A seção de Responsabilidades define claramente as obrigações e papéis de todas as partes envolvidas na gestão de incidentes, continuidade dos serviços de TI e proteção da integridade das operações da LINDAU GAMING BRASIL S.A.. A definição precisa de responsabilidades é essencial para garantir uma resposta eficiente e coordenada, além de cumprir os requisitos legais e regulatórios. Abaixo, detalharemos cada um dos tópicos descritos nessa seção.

9.1. Alta Administração

A alta administração tem um papel essencial na supervisão e suporte da política de continuidade de TI. Suas responsabilidades incluem:

  • Aprovação e revisão da política:
    • A alta administração deve aprovar a política de continuidade de TI e revisá-la periodicamente para garantir que esteja alinhada com as necessidades da empresa, as mudanças no mercado de apostas e as regulamentações vigentes.
    • É responsabilidade da administração garantir que a política seja implementada corretamente e que todos os departamentos sigam as diretrizes estabelecidas.
  • Alocação de recursos:
    • A alta administração deve assegurar que haja recursos financeiros, tecnológicos e humanos adequados para a implementação das estratégias de continuidade de TI, incluindo a contratação de ferramentas de monitoramento, sistemas de backup e a formação de equipes especializadas.
  • Gestão de riscos estratégicos:
    • A alta administração é responsável por avaliar os riscos estratégicos para a empresa, garantindo que a política de continuidade de TI esteja alinhada com a gestão de riscos corporativos e as regulamentações do setor.
  • Garantir conformidade regulatória:
    • A alta administração deve garantir que a LINDAU GAMING BRASIL S.A. esteja em conformidade com as regulamentações locais, como as normas da Secretaria de Prêmios e Apostas do Ministério da Fazenda e a Lei Geral de Proteção de Dados (LGPD), além de quaisquer requisitos adicionais relacionados ao setor de apostas.

9.2. Gerente de TI e Equipe de Segurança

O gerente de TI e a equipe de segurança têm a responsabilidade direta de implementar e executar as ações relacionadas à continuidade de TI, gestão de incidentes e segurança da informação. Suas responsabilidades incluem:

  • Implementação e manutenção da infraestrutura tecnológica:
    • O gerente de TI é responsável por garantir que a infraestrutura de TI (servidores, redes, sistemas) esteja sempre disponível, eficiente e protegida contra falhas. A equipe de segurança deve monitorar continuamente os sistemas para identificar ameaças e vulnerabilidades.
  • Gerenciamento de incidentes de segurança:
    • Em caso de incidentes, a equipe de segurança deve ser a primeira a identificar, responder e mitigar ameaças, como invasões, malware ou falhas no sistema. O gerente de TI coordena a resposta técnica ao incidente e garante que as medidas corretivas sejam implementadas de forma eficaz.
  • Backup e recuperação de dados:
    • A equipe de TI deve garantir que backups regulares de todos os dados críticos sejam feitos e armazenados de forma segura. Em caso de incidente, a equipe é responsável pela recuperação dos dados e a restauração dos sistemas afetados.
  • Adoção de medidas preventivas:
    • A equipe de TI deve estar atenta à adoção de tecnologias de segurança de ponta e à atualização constante dos sistemas e softwares para proteger a empresa contra novos tipos de ataques e vulnerabilidades.
  • Conformidade com regulamentos de proteção de dados:
    • A equipe de segurança deve garantir que todas as operações de TI, como o processamento e armazenamento de dados pessoais, estejam em conformidade com a LGPD e outros regulamentos relacionados à privacidade e proteção de dados.

9.3. Equipe Jurídica

A equipe jurídica tem a responsabilidade de assegurar que todas as atividades relacionadas à continuidade de TI estejam alinhadas com as leis e regulamentos aplicáveis, bem como de fornecer suporte jurídico em casos de incidentes. As principais responsabilidades incluem:

  • Garantir conformidade regulatória:
    • A equipe jurídica deve garantir que a LINDAU GAMING BRASIL S.A. esteja em conformidade com todas as regulamentações pertinentes, incluindo a LGPD, regulamentações do Ministério da Fazenda, e quaisquer normas específicas do setor de apostas.
    • A equipe jurídica também deve monitorar mudanças nas leis e regulamentos que possam impactar as operações de TI ou os serviços de apostas, e garantir que a empresa se adapte a essas mudanças.
  • Gestão de contratos e parceiros:
    • A equipe jurídica deve revisar e garantir que todos os contratos com fornecedores e parceiros de tecnologia (como provedores de serviços de nuvem ou sistemas de segurança) incluam cláusulas de continuidade de TI, segurança da informação e proteção de dados, de acordo com as exigências regulatórias.
  • Gestão de incidentes de dados pessoais:
    • Em caso de incidente envolvendo a violação de dados pessoais, a equipe jurídica deve ser responsável por assegurar que os procedimentos legais sejam seguidos, incluindo notificações à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados, conforme a LGPD.
    • A equipe também deve auxiliar na preparação de relatórios e na comunicação com autoridades reguladoras e entidades externas em caso de incidentes críticos.

9.4. Equipe de Comunicação e Relações Públicas

A equipe de comunicação e relações públicas tem um papel crucial em situações de incidentes e na gestão de crises. Suas responsabilidades incluem:

  • Gestão de comunicação interna e externa:
    • Em caso de incidentes que impactem as operações ou envolvam violação de dados, a equipe de comunicação deve ser responsável por redigir comunicados internos e externos, garantindo que as partes interessadas, como funcionários, clientes e autoridades, recebam informações precisas e oportunas.
    • A equipe deve agir rapidamente para manter a transparência com os clientes e outras partes interessadas, minimizando danos à reputação da empresa.
  • Comunicação com autoridades regulatórias:
    • A equipe de comunicação é responsável por coordenar com as autoridades regulatórias, como a ANPD e o Ministério da Fazenda, para fornecer informações claras e conforme necessário sobre o incidente, as ações corretivas tomadas e o impacto do incidente.
  • Monitoramento da reputação:
    • Monitorar a reação do público e da mídia após um incidente e gerenciar as mensagens de forma proativa para proteger a imagem e reputação da LINDAU GAMING BRASIL S.A.. Isso pode incluir estratégias de gerenciamento de crise e a implementação de planos de resposta a incidentes na mídia.

9.5. Colaboradores e Parceiros Externos

Todos os colaboradores e parceiros externos da empresa devem estar cientes de suas responsabilidades em relação à continuidade de TI, segurança e conformidade regulatória. Suas responsabilidades incluem:

  • Cumprimento das políticas internas:
    • Colaboradores e parceiros devem seguir as políticas e procedimentos estabelecidos pela empresa, especialmente aqueles relacionados à segurança da informação, proteção de dados e continuidade das operações. Isso inclui seguir as orientações sobre o uso seguro dos sistemas da empresa e a não divulgação de informações confidenciais.
  • Treinamento e conscientização:
    • Os colaboradores e parceiros devem participar de programas de treinamento sobre segurança cibernética e proteção de dados. A empresa deve garantir que todos os envolvidos estejam cientes das ameaças cibernéticas, da importância da proteção dos dados pessoais e das melhores práticas para evitar incidentes.
  • Reportar incidentes de segurança:
    • Colaboradores e parceiros devem imediatamente relatar qualquer incidente ou comportamento suspeito que possa representar uma ameaça à segurança ou à continuidade das operações. Isso inclui relatar falhas de segurança, tentativas de invasão ou comportamento incomum nos sistemas.

9.6. Provedores de Serviços e Fornecedores

Os provedores de serviços e fornecedores desempenham um papel importante na garantia da continuidade de TI e da segurança da informação. As responsabilidades incluem:

  • Conformidade com requisitos de segurança e continuidade:
    • Fornecedores de serviços essenciais, como infraestrutura de TI, cloud computing, sistemas de backup e segurança cibernética, devem garantir que seus serviços estejam em conformidade com as exigências de segurança e continuidade de TI da LINDAU GAMING BRASIL S.A., incluindo a implementação de práticas robustas de segurança e backup.
  • Disponibilidade e suporte de serviços críticos:
    • Os fornecedores devem garantir que seus serviços essenciais sejam disponibilizados de forma contínua e que haja planos de contingência para garantir a continuidade em caso de falhas. Isso inclui acordos de nível de serviço (SLAs) que estabelecem responsabilidades claras em termos de uptime e suporte técnico.
  • Notificação de incidentes e falhas:
    • Os fornecedores devem notificar imediatamente a LINDAU GAMING BRASIL S.A. sobre qualquer incidente de segurança ou falha que possa impactar a continuidade dos serviços ou a segurança dos dados.
  1. Revisão e Atualização da Política

Esta política será revisada anualmente ou sempre que houver alterações significativas na legislação ou nos regulamentos aplicáveis, garantindo que a LINDAU GAMING BRASIL S.A. permaneça em conformidade e alinhada às melhores práticas do mercado.

  1. Conclusão

Com essa política, a LINDAU GAMING BRASIL S.A. reforça seu compromisso com a continuidade de suas operações tecnológicas, atendendo aos regulamentos vigentes e promovendo confiança e segurança para cons