Quer saber mais informações?
Central de atendimento
Siga a EDP nas redes
Central de Atendimento
Soluções EDP Disponível para te ajudar

Ao interagir você concorda com os termos gerais de uso e política de privacidade, e aceita ser contactado pelo Grupo EDP e parceiros para mais informações de produtos e serviços EDP.

Esses dados serão tratados exclusivamente para as finalidades específicas para as quais foram coletados e serão posteriormente descartados.

Seg. 19 de maio de 2025

O produto mais adequado para sua empresa é o Mercado livre de Energia

Seu potencial de economia anual será de

XX%

Faremos contato em até 24 horas por WhatsApp, telefone ou e-mail para conversar sobre sua adesão.

Apêndice B

Instruções Documentadas: Medidas de Segurança e Obrigações de Informação e Documentação

O presente Apêndice estabelece condições de segurança específicas que devem ser observadas, conforme aplicável no âmbito da execução do Contrato, sem prejuízo as demais disposições já previstas no Anexo.

Para fins do disposto acima, serão considerados como serviços críticos, aqueles cujo tratamento de dados contenha no mínimo, um dos critérios a seguir, independentemente de qual ambiente os dados serão tratados:

  • Dados Pessoais Sensíveis – Conforme conceito disposto no art. 5º, inciso II da LGPD e que constituem dados que podem revelar informações sensíveis sobre o titular e, portanto, devem ser resguardados com proteção ainda maior durante o seu tratamento.
  • Alto volume de Dados Pessoais - Grande quantidade de dados tratados, bem como variedade destes, o número específico dependerá do fluxo e da atividade contratada no cenário concreto.
  • Tecnologias emergentes – Quando a contratação envolver o uso de tecnologia emergente que possa causar danos aos titulares, como por exemplo o uso de reconhecimento facial.
  • Dados de vigilância – Tratamento que envolva o uso dos dados pessoais para vigilância ou controle em ambientes monitorados.
  • Decisões automatizadas – Quando a contratação envolver o uso de decisões automatizadas em relação aos titulares, como por exemplo definição de perfis de consumo, de crédito, dentre outros.
  • Tratamento relevante – Hipótese na qual o tratamento está atrelado à eventuais sistemas da EDP relevantes à execução das atividades desta, como sistemas de folha de pagamento.
  • Transferência internacional de dados – Fornecedores que realizam a transferência internacional de Dados Pessoais sob controle da EDP. 
  • Subcontratação - Quando o fornecedor contratado se utilizar de terceiros no tratamento dos dados, conhecidos como “suboperadores”.

O Operador deverá atender as instruções documentadas na letra D do presente Apêndice, a saber:

Para efeitos da cláusula 5 do Anexo de Tratamento de Dados Pessoais do qual o presente Apêndice faz parte, o Operador deverá assegurar, no âmbito do Tratamento de Dados Pessoais que realizar em nome da EDP, a implementação das seguintes medidas de segurança técnicas e organizativas complementares:

  1. Identificação, divulgação e documentação das funções e obrigações dos colaboradores e terceiros que terão acesso aos Dados Pessoais;
  2. Manutenção de um registro escrito das atividades de Tratamento de Dados Pessoais realizadas em favor da EDP, conforme requisitos da LGPD;
  3. Manutenção de um registro interno escrito que garanta que as pessoas alocadas na prestação de serviços à EDP se comprometeram por escrito a manter a confidencialidade dos Dados Pessoais a que tiveram acesso, que conhecem as regras e procedimentos que devem ser adotados relativamente ao tratamento de dados pessoais e que participaram em ações de conscientização e aprimoramento sobre a matéria.
  4. Manutenção de um registro interno escrito, que garanta que as pessoas alocadas foram informadas e que o compartilhamento dos dados pessoais destas com a EDP foi realizado com a adoção de base legal adequada, para a finalidade específica de gestão de acesso a instalações e sistemas de informação da EDP e para quaisquer outras finalidades de Tratamento relevantes (por exemplo, controle de qualidade etc.) caso aplicável, sempre informado de forma expressa e transparente;
  5. Manutenção de um registro interno escrito que garanta que as pessoas alocadas foram informadas sobre a gravação de chamadas telefônicas que intervêm, caso aplicável;
  6. Definição e implementação de um procedimento de registro escrito de incidentes;
  7. Implementação de um procedimento de inventário e controle da entrada e saída de suportes e documentos;
  8. Definição dos critérios de arquivo de suportes e dos dispositivos para armazenamento desses suportes;
  9. Nomeação de um responsável pela segurança ou de um Encarregado de Proteção de Dados, nos termos previstos na legislação aplicável;
  10. Definição e implementação de controles de acesso físico;
  11. Observância por si e por seus funcionários sobre as políticas e procedimentos de segurança da EDP;
  12. Definição e implementação de um procedimento para a destruição ou devolução de Dados Pessoais e documentos, de forma segura e confidencial (tornando impossível recuperá-los mais tarde e certificando a ausência de cópias), quando a relação contratual termine ressalvada a manutenção por períodos superiores para o cumprimento de obrigação legal ou regulatória.

b) Prestadores de serviço não crítico que utilizam os sistemas de tecnologia da informação da EDP

Para efeitos da cláusula 5 do Anexo de Tratamento de Dados Pessoais, o Operador deverá aplicar, no âmbito do Tratamento de Dados Pessoais realizados em nome da EDP, as seguintes medidas de segurança técnicas e organizativas complementares:

  1. Identificação, divulgação e documentação das funções e obrigações dos colaboradores e terceiros com acesso aos Dados Pessoais;
  2. Manutenção por escrito de todas as atividades de Tratamento de Dados Pessoais realizadas em nome da EDP, conforme requisitos da LGPD;
  3. Manutenção de um registro interno que garanta que as pessoas envolvidas se comprometeram por escrito a manter a confidencialidade dos Dados Pessoais que tiveram acesso, que conheçam as regras e procedimentos que devem ser adotados e que o compartilhamento dos dados pessoais destas com a EDP foi realizado com a adoção de base legal adequada , para a finalidade de gestão de acessos a sistemas de informação da EDP, controle de qualidade ou outras finalidades relacionadas com os serviços do Operador;
  4. Definição e implementação de um procedimento de registro de incidentes;
  5. Implementação de um procedimento de inventário e controle da entrada e saída de suportes e documentos;
  6. Definição dos critérios do arquivo de suportes e dos dispositivos para armazenamento desses suportes;
  7. Nomeação de um responsável de segurança ou de um Encarregado de Proteção de Dados (DPO), nos termos previstos na legislação aplicável;
  8. Definição e implementação de controles de acesso físico;
  9. Observância por si e por seus funcionários das políticas e procedimentos de segurança da EDP;

c) Prestadores de serviço crítico que utilizam os sistemas de tecnologia da informação próprios

Para efeitos da cláusula 5 do Anexo de Tratamento de Dados Pessoais, o Operador deverá aplicar, no âmbito do Tratamento de Dados Pessoais em nome da EDP, as seguintes medidas de segurança técnicas e organizacionais complementares:

  1. Identificação, divulgação e documentação das funções e obrigações dos colaboradores e terceiros com acesso a Dados Pessoais;
  2. Manutenção de um registro escrito de todas as atividades de Tratamento realizadas em nome da EDP, conforme requisitos da LGPD;
  3. Manutenção de um registro interno que garantia que as pessoas a seu cargo se comprometeram por escrito a manter a confidencialidade dos Dados Pessoais a que tiverem acesso, que conhecem as regras e procedimentos que devem ser adotados, que participaram em ações de conscientização e aprimoramento sobre a matéria e que foram informadas e que o compartilhamento dos dados pessoais destas com a EDP foi realizado com a adoção de base legal adequada, para a gestão de acessos a sistemas de informação da EDP, controle de qualidade ou outras finalidades relacionadas com os serviços do Operador;
  4. Definição e implementação de um procedimento de identificação e autenticação dos usuários;
  5. Definição e implementação de um procedimento para controlar o acesso aos Dados Pessoais;
  6. Definição e implementação de um procedimento de registro de incidentes;
  7. Definição e implementação de um procedimento de cópia de segurança (backup);
  8. Definição de uma equipe responsável pela gestão de Incidentes para detectar Incidentes e para gerir o impacto e a resolução da ocorrência, com regime de cobertura de 24x7x365;
  9. Adoção de prazo de retenção para os logs pertinentes protegidos e retidos por pelo menos 60 (sessenta) meses para análise forense;
  10. Adoção dos princípios de “Privacy by Design” e “Privacy by Default” durante a execução das atividades, conforme aplicável;
  11. Implementação de um procedimento de inventário e controle de entrada e saída de suportes e documentos;
  12. Definição dos critérios de arquivo de suportes e dos dispositivos para armazenamento desses suportes;
  13. Definição e implementação de controles de segurança periódicos para testar, avaliar e valorizar regularmente a eficácia de medidas técnicas e organizacionais para garantir a segurança do Tratamento;
  14. Nomeação de um responsável pela segurança ou de um Encarregado de Proteção de Dados (DPO), nos termos previstos na legislação aplicável;
  15. Definição e implementação de controle de acesso físico;
  16. Definição e implementação de um plano de continuidade do serviço;
  17. Definição e implementação de um procedimento de pseudoanonimização dos Dados Pessoais nos casos em que seja tecnicamente possível;
  18. Definição e implementação de um procedimento de encriptação de suportes;
  19. Definição e implementação de um procedimento de anonimização de Dados Pessoais nos casos em que seja tecnicamente possível;
  20. Definição e implementação de um procedimento para registrar o acesso aos Dados Pessoais;
  21. Definição e implementação de um procedimento de encriptação das comunicações;
  22. Definição e implementação de um procedimento de cópia de segurança (backup) e recuperação.
  23. Definição e implementação de um procedimento para a destruição ou devolução dos Dados Pessoais e documentos, de forma segura e confidencial (tornando impossível recuperá-los mais tarde e certificando a ausência de cópias), quando a relação contratual termine (exceto quando exista a obrigação de conservar os Dados Pessoais por um período adicional, caso em que os Dados Pessoais e documentos devem ser bloqueados);
  24. Comprovação de que os administradores de sistemas, equipe de operações, gestão e terceiros recebem formação adequada sobre segurança da informação, LGPD e demais Normas aplicáveis, ao menos anualmente;
  25. Realização de avaliações periódicas de segurança de rede que incluam:

    a. Revisão das principais alterações no ambiente, como um novo componente do sistema, topologia de rede, regra de firewall etc.;
    b. Análises de Vulnerabilidade;
    c. Verificação da manutenção dos registos de alterações, informações sobre os motivos das alterações, inclusão de um revisor e aprovador das mudanças.

  26. Comprovação de que todos os ativos de tecnologia utilizados são contabilizados e possuem um proprietário identificado. O Operador é responsável por manter um inventário desses ativos, estabelecer o uso aceitável e autorizado dos ativos, e fornecer um nível adequado de proteção para os ativos ao longo de seu ciclo de vida;

  27. Estabelecimento e manutenção de procedimentos de gerenciamento de acesso lógico definindo perfis e grupos de acessos de acordo com a necessidade, para impedir o acesso não autorizado a qualquer Dado Pessoal e/ou Dado Pessoal Sensível de clientes ou colaboradores da EDP sob controle do Operador;

  28. Definição e implementação de procedimentos de gerenciamento de patches e gestão de vulnerabilidades que priorizem a segurança dos sistemas utilizados para Tratar Dados Pessoais e/ou Dados Pessoais Sensíveis de clientes e/ou colaboradores da EDP. Esses procedimentos devem incluir:  

    a. Abordagem de risco definido para priorizar patches de segurança;
    b.     Capacidade de lidar com e implementar correções de emergência;
    c. Aplicabilidade ao sistema operacional e software de servidor, como servidor de aplicativos e software de banco de dados;
    d. Documentação do risco que o patch mitiga e rastrear quaisquer exceções;
    e. Instalação de software antivírus e antimalware em equipamentos ligados à rede utilizada para processar informações de clientes e/ou colaboradores da EDP, incluindo, entre outros, servidores, computadores de produção e de formação para proteger de vírus potencialmente nocivos e de aplicações de software malicioso;
    f. Atualização das definições de antimalware diariamente ou de acordo com as instruções do fornecedor de antivírus/antimalware;

  29. Estabelecimento e teste dos planos de continuidade do negócio e recuperação após desastres;

  30. Garantia de que os Dados Pessoais, quando estão em tráfego entre sistemas ou bases de dados utilizam mecanismos de segurança. Por exemplo: protocolo Https;

  31. Confirmação de que todos os dispositivos (portáteis, estações de trabalho, etc.) que irão acessar ou processar Dados Pessoais ou confidenciais de clientes e/ou colaboradores da EDP têm aplicado criptografia em disco, incluindo, quando for o caso, equipamentos BYOD;

  32. Manutenção de arquivos físicos com Dados Pessoais de clientes e/ou colaboradores da EDP em um ambiente de acesso controlado;

  33. Anonimização de todos os Dados Pessoais da EDP usados em um ambiente de desenvolvimento ou teste;

  34. Inclusão dos serviços em nuvem em um inventário de ativos;

  35. Manutenção de registro em vigor na hipótese de o Operador fazer uso de serviço em nuvem. O registro deve:

    a.     identificar todos os serviços em nuvem em uso;
    b.     detalhar o perfil de segurança das informações do serviço;
    c.     detalhar os recursos de proteção de informações do serviço.

  36. Cumprimento dos requisitos de disponibilidade no design da solução em nuvem e aplicados no contrato;
  37. Garantia de que os Subcontratados atendam aos mesmos requisitos de segurança aplicados ao Operador pela EDP.

d) Prestadores de serviço não crítico que utilizam os sistemas de tecnologia da informação próprios

Para efeitos da cláusula 5 do Anexo de Tratamento de Dados Pessoais, o Operador deverá aplicar, no âmbito do Tratamento de Dados Pessoais realizados em nome da EDP, as seguintes medidas de segurança técnicas e organizativas complementares:

  1. Identificação, divulgação e documentação das funções e obrigações dos colaboradores e terceiros com acesso aos Dados Pessoais;
  2. Manutenção por escrito de todas as atividades de Tratamento de Dados Pessoais realizadas em nome da EDP, conforme requisitos da LGPD;
  3. Manutenção de um registro interno que garanta que as pessoas envolvidas se comprometeram por escrito a manter a confidencialidade dos Dados Pessoais que tiveram acesso, que conheçam as regras e procedimentos que devem ser adotados, e que o compartilhamento dos dados pessoais destas com a EDP foi realizado com a adoção de base legal adequada, = para gestão de acessos a sistemas de informação da EDP, controle de qualidade ou outras finalidades relacionadas com os serviços do Operador;
  4. Definição e implementação de um procedimento de identificação e autenticação dos usuários;
  5. Definição e implementação de um procedimento para controlar o acesso aos Dados Pessoais;
  6. Definição de um procedimento de registro de incidentes;
  7. Definição e implementação de um procedimento de cópia de segurança (backup);
  8. Implementação de um procedimento de inventário e controle da entrada e saída de suportes e documentos;
  9. Definição dos critérios de arquivo de suportes e dos dispositivos para armazenamento desses suportes;
  10. Obtenção de relatórios de execução de análise de vulnerabilidades e testes de intrusão (pentest);
  11. Garantia de que os Subcontratados atendam aos mesmos requisitos de segurança aplicados ao Operador pela EDP.
  12. Definição e implementação de controles de segurança periódicos para testar, avaliar e valorizar regularmente a eficácia de medidas técnicas e organizativas para garantir a segurança do Tratamento;
  13. Nomeação de um responsável pela segurança ou de um Encarregado de Proteção de Dados (DPO), nos termos previstos na legislação aplicável.
  14. Definição e implementação de controles de acesso físico;
  15. Definição e implementação de um plano de continuidade do serviço;
  16. Definição e implementação de um procedimento de pseudoanonimização dos Dados Pessoais nos casos em que seja tecnicamente possível.
  17. Comprovação de que os administradores de sistemas, equipe de operações, gestão e terceiros receberam formação sobre segurança da informação e LGPD, ao menos anualmente;
  18. Realização de avaliações periódicas de segurança de rede que incluam:

    a.     Revisão das principais alterações no ambiente, como um novo componente do sistema, topologia de rede, regra de firewall, etc;
    b. Realização de análises de vulnerabilidade;
    c.     Manutenção de registos de alterações, informações sobre os motivos das alterações, inclusão der um revisor e aprovador das mudanças.

  19. Comprovação de que todos os ativos de tecnologia utilizados são contabilizados e possuem um proprietário identificado. O Operador é responsável por manter um inventário desses ativos, estabelecer o uso aceitável e autorizado dos ativos, e fornecer um nível adequado de proteção para os ativos ao longo de seu ciclo de vida;

  20. Estabelecimento e manutenção de procedimentos de gerenciamento de acesso lógico definindo perfis e grupos de acessos de acordo com a necessidade (segregação de funções), para impedir o acesso não autorizado a qualquer Dado Pessoal e/ou Dado Pessoal Sensível de clientes e/ou colaboradores da EDP sob controle do Operador;

  21. Definição e implementação de procedimentos de gerenciamento de patches e vulnerabilidade que priorizem a segurança dos sistemas utilizados para processar Dados Pessoais e/ou Dados Pessoais Sensíveis de clientes ou colaboradores da EDP. Esses procedimentos devem incluir:

    a.     Abordagem de risco definido para priorizar patches de segurança;
    b.     Capacidade de lidar com e implementar correções de emergência;
    c.     Aplicabilidade ao sistema operacional e software de servidor, como servidor de aplicativos e software de banco de dados;
    d.     Documentação do risco que o patch mitiga e rastrear quaisquer exceções;
    e.     Instalação de software antivírus e antimalware em equipamentos ligados à rede utilizada para processar informações de clientes ou colaboradores da EDP, incluindo, entre outros, servidores, computadores de produção e de formação para proteger de vírus potencialmente nocivos e de aplicações de software malicioso;
    f.     Atualização das definições de antimalware diariamente ou de acordo com as instruções do fornecedor de antivírus/antimalware;

  22. Garantia da existência de processos de planejamento de cópia de segurança que protejam os Dados Pessoais da EDP contra a utilização, acesso, divulgação, alteração e destruição não autorizadas;

  23. Estabelecimento e teste dos planos de continuidade do negócio e recuperação após desastres;

  24. Garantia de que os Dados Pessoais quando estão em tráfego entre sistemas ou bases de dados utilizam mecanismos de segurança. Por exemplo: protocolo Https;Confirmação de que todos os dispositivos (portáteis, estações de trabalho, etc.) incluindo, quando for o caso, equipamentos BYOD que irão acessar ou processar Dados Pessoais ou confidenciais de clientes ou colaboradores da EDP têm aplicado criptografia em disco;

  25. Confirmação de que todos os dispositivos (portáteis, estações de trabalho, etc.) incluindo, quando for o caso, equipamentos BYOD que irão acessar ou processar Dados Pessoais ou confidenciais de clientes ou colaboradores da EDP têm aplicado criptografia em disco;

  26. Manutenção de arquivos físicos com Dados Pessoais de clientes ou colaboradores da EDP em um ambiente de acesso controlado;Manutenção de arquivos físicos com Dados Pessoais de clientes ou colaboradores da EDP em um ambiente de acesso controlado;

  27. Anonimização de todos os dados da EDP usados em um ambiente de desenvolvimento ou teste;

  28. Inclusão dos serviços em nuvem em um inventário de ativos;

  29. Manutenção de um registro em vigor, na hipótese de o Operador fazer uso de serviço em nuvem. O registro deve:

    a. i    dentificar todos os serviços em nuvem em uso;
    b.     detalhar o perfil de segurança das informações do serviço;
    c.     detalhar os recursos de proteção de informações do serviço.

  30. Cumprimento dos requisitos de disponibilidade no design da solução em nuvem e aplicados no contrato;

 

Apêndice C

Template de Reporte de Incidente

Este Apêndice destina-se a ser usado quando ocorrer algum tipo de incidente que afete a segurança da informação do Grupo EDP, incluindo aqueles que potencialmente afetam os dados pessoais compartilhados.

Todo e qualquer incidente deverá ser endereçado para: incidente.privacidade@edpbr.com.br, contendo as informações necessárias neste arquivo.

Logo EDP
Siga a EDP nas redes sociais
Política de privacidade
Termos gerais de uso
Central de atendimento
Siga a EDP nas redes
Logo EDP