TÍTULO: AVALIAÇÃO DE INTEGRIDADE DE CLIENTES DO SERPRO
TÍTULO: AVALIAÇÃO DE INTEGRIDADE DE CLIENTES DO SERPRO
integridade, contratos, avaliação de integridade, due diligence, diligência prévia,
PALAVRAS – CHAVE: riscos à integridade, checagem de antecedentes, background check, segurança da informação, proteção e privacidade de dados
ANEXO:
1 – Declaração de Integridade para Clientes da Administração Pública (DICAP) 2 – Formulário de Diligência de Integridade de Clientes (DIC)
3 – Formulário de Diligência de Integridade de Clientes Internacionais (DICIS)
12.10.03 – Realizar Due Diligence de Integridade; 12.10.03.03 – Executar Due
PROCESSO:
Diligence de Integridade de Clientes
1.0 FINALIDADE
1.1 Estabelecer critérios e procedimentos para a avaliação de integridade de clientes, de forma a identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto no relacionamento comercial com estes e que venham a lhe causar danos à imagem e/ou à reputação.
1.2 Essa avaliação de integridade também é conhecida como due diligence de integridade ou diligência prévia de integridade e sua aplicação encontra respaldo na Lei Anticorrupção, regulamentada pelo Decreto n.º 11.129, de 11 de julho de 2022, na Lei das Estatais, regulamentada pelo Decreto n.º 8.945, de 27 de dezembro de 2016, e suas alterações, na Política de Integridade e Anticorrupção do Serpro e no Programa Corporativo de Integridade do Serpro (PCINT).
2.0 ÂMBITO DE APLICAÇÃO
Aplica-se a todas as áreas da Empresa afetas ao tema e à pessoa jurídica, pública ou privada, nacional ou estrangeira, que transaciona com o Serpro.
3.0 DEFINIÇÕES
Para efeito desta Norma, entende-se por:
a) administradores: membros do Conselho de Administração e da Diretoria Executiva;
b) agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública;
c) apontamentos: situações que possam configurar potenciais riscos à Integridade, como divergências cadastrais declaradas ou identificadas, processos judiciais em curso, mídia negativa, dentre outros;
d) aspectos de integridade: ações ou condutas caracterizadas pela honra e probidade, em aderência aos valores da empresa e ao seu Código de Ética, Conduta e Integridade, que não compactuam com qualquer desvio de comportamento que possa causar
prejuízo ao Serpro e às partes interessadas, como cliente, fornecedor, parceiros de negócio, colaboradores, Governo e sociedade;
e) avaliação de integridade: procedimento realizado a partir da análise de informações coletadas por meio de questionário específico e de pesquisas diversas sobre o perfil da empresa e dos seus sócios e administradores, relacionamento com agentes públicos e terceiros, reputação, envolvimento em casos de fraude, corrupção e desvios éticos, assim como a adoção pela empresa de mecanismos e procedimentos de prevenção e combate à fraude e à corrupção, como programa de integridade, código de ética, dentre outros, de modo a determinar o Grau de Risco à Integridade (GRI) da contraparte, identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto e subsidiar a tomada de decisão das alçadas competentes;
f) cliente: pessoa física e jurídica, pública ou privada, nacional ou estrangeira, que mantenha ou pretenda manter relação comercial com o Serpro na condição de contratante;
g) checagem de antecedentes ou background check: procedimento integrante da diligência prévia de integridade que objetiva verificar os antecedentes de pessoas físicas e jurídicas que transacionam com o Serpro, de forma a evitar situações que possam configurar conflito de interesses e mitigar possíveis riscos à integridade;
h) corrupção: ação tentada ou consumada, direta ou indiretamente, que consiste em autorizar, oferecer, prometer, obter, dar, solicitar, aceitar, entregar ou receber vantagem indevida, para si ou para terceiros, de natureza econômica ou não, envolvendo agentes públicos ou não, com o objetivo de que se pratique, se mantenha, se retarde ou se deixe de praticar determinado ato;
i) desvios éticos: ato praticado em desacordo com os princípios e condutas estabelecidos no Código de Ética, Conduta e Integridade do Serpro;
j) Diligência Prévia de Integridade ou Due Diligence de Integridade (DDI): análise de integridade de pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, que tenha ou pretenda estabelecer uma relação comercial ou negocial com o Serpro na condição de cliente, fornecedor, parceiro de negócio, conveniado, dentre outros, de forma a identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto na relação comercial e subsidiar a tomada de decisão das alçadas competentes;
k) formulário de Diligência de Integridade de Clientes (nacionais e internacionais): questionário a ser respondido pelo contratante para embasar a avaliação de integridade, além de eventual checagem de antecedentes que permita identificar e avaliar os riscos voltados às dimensões integridade, segurança da informação e privacidade e proteção de dados pessoais;
l) fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança;
m) Grau de Risco à Integridade (GRI): grau de risco à integridade atribuído a um terceiro que mantenha ou pretenda manter relação contratual com o Serpro na condição de cliente, fornecedor, parceiro de negócio, dentre outros;
n) integridade: alinhamento consistente e adesão a valores, princípios e normas éticas de forma a sustentar e priorizar o interesse público sobre os interesses privados,
elevando, assim, os padrões de decência e probidade na gestão dos recursos públicos e subsidiando a tomada de decisão e o processo de prestação de contas;
o) quebra de Integridade: situação caracterizada quase sempre como um ato doloso, praticado por uma pessoa ou grupo de pessoas, e que envolve a afronta aos princípios da administração pública – legalidade, impessoalidade, moralidade, publicidade e eficiência – englobando atos como corrupção, fraude, abuso de poder, conflito de interesses, nepotismo, desvios éticos, dentre outros;
p) riscos à Integridade: ações, omissões ou vulnerabilidades que podem favorecer ou facilitar a ocorrência de práticas de corrupção, fraude, irregularidade e/ou desvio ético e de conduta, podendo comprometer a consecução dos objetivos organizacionais; e
q) transacionar: transigir, comercializar, negociar, firmar parcerias, assim como acordar, através de concessões recíprocas entre as partes, na terminação de litígio.
4.0 DETERMINAÇÕES
4.1 A avaliação de integridade de clientes será aplicada nas situações em que o Serpro figure como contratado e ocorrerá conforme disposto a seguir.
4.1.1 A avaliação de integridade de clientes será aplicada para a contratação de produtos e serviços que tratem de dados pessoais, inclusive dados pessoais sensíveis.
4.1.1.1 Fica dispensada a avaliação de integridade de clientes para as vendas realizadas via e- commerce (loja), independente do produto ou serviço contratado.
4.1.2 Os órgãos integrantes da Administração Pública Direta e Indireta e do Ministério Público preencherão uma Declaração de Integridade de Clientes da Administração Pública, conforme Anexo 1 desta Norma, não sendo atribuído, portanto, um Grau de Riscos à Integridade (GRI).
4.1.3 As empresas privadas e demais contratantes não enquadrados no item 4.1.2 deverão preencher o Anexo 2 - Formulário de Diligência de Integridade de Clientes (DIC) e os clientes internacionais preencherão o Anexo 3 - Formulário de Diligência de Integridade de Clientes Internacionais (DICIS).
4.1.3.1 As áreas de Relacionamento com Clientes solicitarão o preenchimento do formulário ou da declaração ao cliente, que terá o prazo de 5 (cinco) dias úteis para responder à avaliação de integridade do Serpro.
4.2 A avaliação de integridade de clientes será realizada antes da assinatura do contrato, documento similar ou instrumento congênere, devendo esta ser aplicada também nas seguintes situações:
a) a qualquer tempo, durante a vigência da relação contratual, no caso de denúncia ou mídia negativa envolvendo a contratante; e
b) a qualquer tempo, durante a vigência da relação contratual, quando constatada alteração relevante das informações prestadas ou declaradas pela contratante.
4.3 O formulário DIC coletará informações voltadas às dimensões especificadas a seguir:
a) Dimensão Integridade: ao perfil da empresa e dos sócios e administradores, relacionamento com agentes públicos e terceiros, histórico reputacional, práticas de prevenção e combate à fraude, à corrupção e aos desvios éticos;
b) Dimensão Segurança da Informação: à adoção de medidas efetivas para proteção dos dados contra acessos não autorizados e situações acidentais ou ilícitas, tais como destruição, perda, alteração, comunicação ou difusão de dados/informações, dentre outras; e
c) Dimensão Privacidade e Proteção de Dados Pessoais: à adoção de medidas que assegurem o cumprimento das determinações da Lei Geral de Proteção de Dados Pessoais (LGPD).
4.4 A partir das informações coletadas no formulário DIC será apurado, automaticamente, o Grau de Risco de cada uma das dimensões citadas, sendo classificado como baixo, médio ou alto.
4.4.1 O Grau de Risco à Integridade (GRI) será equivalente ao maior Grau de Risco das dimensões temáticas analisadas.
4.4.2 Nos casos de GRI baixo ou médio, a avaliação de integridade e a contratação serão liberadas automaticamente via sistema, o que não impede uma reavaliação pela área de Integridade Institucional em caso de intercorrências futuras, denúncia ou mídia negativa envolvendo a contratante.
4.4.3 Para as dimensões com Grau de Risco alto, a respectiva área temática ficará responsável por elaborar um parecer técnico, no prazo de 02 (dois) dias úteis do recebimento do formulário DIC, com indicação e análise do risco a que o Serpro poderá estar exposto.
4.4.4 A área de Integridade Institucional consolidará a análise de integridade que apurar GRI alto no prazo de até 03 (três) dias úteis contados da manifestação da área temática ou, na sua ausência, do recebimento do formulário DIC.
4.5 Durante a diligência prévia de integridade e a checagem de antecedentes poderão ser solicitadas informações complementares ou documentos adicionais necessários à conclusão da avaliação de integridade em curso.
4.6 O Grau de Risco à Integridade (GRI) apurado poderá ser reclassificado pela área de Integridade Institucional com base em informações adicionais obtidas durante a avaliação de integridade.
4.7 Nas situações em que entender necessário, a área de Integridade Institucional poderá submeter a avaliação de integridade para manifestação jurídica, ficando suspenso os prazos estabelecidos.
4.8 A avaliação de integridade com GRI alto e a recusa em assinar a Declaração de Integridade serão encaminhadas pela área de Integridade Institucional ao Diretor de Relacionamento com Clientes para conhecimento e análise quanto à conveniência e oportunidade de prosseguir com a transação.
4.9 A avaliação de integridade terá validade de 24 (vinte e quatro) meses contados da data de sua liberação.
4.9.1 Findo o prazo de validade estipulado acima, a área de Relacionamento com Clientes deverá solicitar o preenchimento de novo formulário DIC ou a apresentação de nova Declaração, conforme o caso, para a reavaliação de integridade.
4.10 As minutas contratuais, documentos similares ou instrumentos congêneres deverão conter cláusulas que:
a) informem sobre o tratamento de dados pessoais nos procedimentos de due diligence de integridade adotados pelo Serpro, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD);
b) versem sobre realização da avaliação de integridade e de sua reaplicação a cada 24 (vinte e quatro) meses ou quando solicitado; e
c) informem a obrigatoriedade de o contratante conhecer e agir em conformidade com as diretrizes estabelecidas na Política de Integridade e Anticorrupção do Serpro, no Código de Ética, Conduta e Integridade do Serpro e no Programa Corporativo de Integridade do Serpro.
4.11 Todas as informações e os documentos produzidos, assim como os dados pessoais coletados e tratados no âmbito do processo de due diligence de integridade serão utilizados, exclusivamente, para fins da avaliação de integridade realizada, observada a Lei Geral de Proteção de Dados Pessoais (LGPD).
4.12 Os documentos produzidos durante a due diligence de integridade serão mantidos pela área de Integridade Institucional no sistema de gestão documental da empresa ou, quando for o caso, em repositório institucional utilizado pela empresa, observados o prazo de guarda e a classificação arquivística estabelecida.
4.13 Somente o Jurídico, a Auditoria Interna, as áreas de Relacionamento com Clientes, de Privacidade e Proteção de Dados Pessoais, de Segurança da Informação e os membros da Diretoria Executiva, do Comitê de Auditoria e dos Conselhos de Administração e Fiscal terão acesso ao formulário de Diligência de Integridade de Clientes (DIC), ao Grau de Risco à Integridade (GRI) do cliente, ao Relatório de Avaliação de Integridade e demais documentos gerados durante o processo, visto que estes são considerados sigilosos.
4.13.1 O acesso às informações e aos documentos referenciados é restrito aos gestores das áreas referenciadas e à equipe técnica envolvida diretamente no processo.
4.13.2 O referido acesso poderá ser realizado durante o prazo de vigência dos contratos e instrumentos congêneres firmados e suas prorrogações ou, caso necessário, durante o prazo de guarda dos referidos documentos.
4.14 O acesso à Declaração de Integridade para Clientes da Administração Pública (DICAP) será restrito às áreas e aos profissionais especificados no item 4.13 e observadas as demais disposições desta Norma.
4.15 A restrição de acesso aos documentos referenciados não será oponível aos órgãos de controle e fiscalização externos, que terão total e irrestrito acesso ao conteúdo dos documentos referenciados.
5.0 DISPOSIÇÕES FINAIS
5.1 A avaliação de integridade para os demais produtos e serviços que tratam dados pessoais e dados sensíveis será implantada de forma gradativa.
5.2 As áreas afetas ao tema devem adequar os seus processos aos procedimentos ora estabelecidos para a devida aplicação do processo de avaliação de integridade de clientes.
5.3 Os casos omissos e excepcionais serão analisados e tratados pela Superintendência de Controles, Riscos e Conformidade (SUPCR) e, se for o caso, reportados para decisão do Diretor Jurídico, de Gestão e Riscos (DIJUG).
5.4 Ficam convalidados os atos praticados desde o dia 1º de dezembro de 2023 até o início de vigência desta Norma.
5.5 Este documento substituirá a Norma GR 001 - Avaliação de Integridade de Clientes do Serpro, versão 03, de 30 de outubro de 2023.
Diretor Jurídico, de Gestão e Riscos
Superintendente de Controles, Riscos e Conformidade - em exercício
ÓRGÃO/REDATOR: DIJUG/SUPCR/CRCOI/mfd
ANEXO
TÍTULO
NÚMERO
1
VERSÃO
4
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA1
O cliente <Razão Social/nome do órgão>, <CNPJ nº xxx>, neste ato, representado(a) legalmente por <nome do representante legal>, <cargo>, portador do CPF nº <xxxxxx>, DECLARA, sob as penas da lei, que:
a) conhece e cumpre os termos da legislação anticorrupção brasileira e, quando aplicável, da legislação anticorrupção internacional;
b) conhece a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro, comprometendo-se a cumpri-los e a abster-se de qualquer atividade que constitua uma violação das disposições destes instrumentos, por si e por seus agentes públicos2;
c) se obriga a conduzir suas práticas comerciais, durante a relação comercial com o Serpro, de forma ética, transparente e em conformidade com os preceitos legais aplicáveis;
d) durante a relação comercial com o Serpro, nem o órgão nem qualquer de seus agentes públicos, devem dar, oferecer, pagar, prometer pagar, ou autorizar o pagamento, direta ou indiretamente, de qualquer dinheiro ou coisa de valor a qualquer autoridade governamental, consultores, representantes, parceiros ou terceiros, com a finalidade de influenciar qualquer ato ou decisão do agente ou do Governo, ou para assegurar qualquer vantagem indevida, ou direcionar negócios para qualquer pessoa, que violem a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro;
e) concorda que o Serpro poderá realizar procedimento de diligência de integridade para se certificar da conformidade contínua com as declarações e garantias dadas neste ato, mediante notificação prévia, e que deve cooperar plenamente em qualquer diligência realizada nos termos desta Declaração;
f) segue todas as normas aplicáveis à privacidade e proteção de dados pessoais que venham a ser objeto da presente relação comercial, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD);
g) tem ciência que qualquer atividade que viole a Política de Integridade e Anticorrupção do Serpro, o Código de Ética, Conduta e Integridade do Serpro e o Programa Corporativo de Integridade do Serpro, ou que contrarie as normas sobre Privacidade e Proteção de Dados Pessoais, é proibida e que conhece as punições aplicáveis por tal violação,
1 Deverá ser fornecida a documentação que comprove a condição de representante legal do signatário ou delegação de poderes específica, de acordo com o estatuto social ou contrato social da empresa.
2 Documentos disponíveis no endereço eletrônico: xxxxx://xxx.xxxxxxxxxxxxx.xxxxxx.xxx.xx/xxxxx-x- integridade/due-diligence-de-integridade.
ANEXO
TÍTULO
NÚMERO
1
VERSÃO
4
DECLARAÇÃO DE INTEGRIDADE PARA CLIENTES DA ADMINISTRAÇÃO PÚBLICA
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
inclusive a possibilidade de rescisão motivada imediata do Contrato, independentemente de qualquer notificação, além das penalidades devidas; e
h) os dados pessoais fornecidos pelo serviço contratado serão utilizados única e exclusivamente para as seguintes finalidades:
_
Nada mais a declarar e ciente da responsabilidade administrativa, civil e penal pelas informações prestadas, firmo a presente declaração.
[local e data]
[Nome completo e assinatura]
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
1.0 OBJETIVO
Esta Avaliação de Integridade de Clientes, também conhecida como Due Diligence de Integridade (DDI) de Clientes, tem por objetivo identificar e mitigar possíveis riscos à integridade a que o Serpro possa ser exposto no relacionamento comercial com seus clientes e que venham a lhe causar danos à imagem ou à reputação.
A aplicação desta avaliação de integridade encontra respaldo na Lei Anticorrupção, regulamentada pelo Decreto n.º 11.129, de 11 de julho de 2022, na Lei das Estatais, regulamentada pelo Decreto n.º 8.945, de 27 de dezembro de 2016, na Política de Integridade e Anticorrupção do Serpro e no Programa Corporativo de Integridade do Serpro (PCINT).
A partir das informações prestadas no formulário de Diligência de Integridade de Clientes (DIC) será estabelecido o Grau de Risco à Integridade (GRI), que será classificado como baixo, médio e alto.
O Grau de Risco à Integridade (GRI) inicialmente apurado poderá ser reclassificado pelo Serpro com base em pesquisas diversas e informações adicionais obtidas durante a avaliação de integridade.
2.0 INSTRUÇÕES DE PREENCHIMENTO DO FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
2.1 O DIC deverá ser respondido pelo representante legal da empresa ou por pessoa formalmente designada que deve declarar, sob as responsabilidades e penas da lei, que possui delegação específica de poderes para representar a Empresa participante do processo.
2.2 Deverá ser fornecida a documentação que comprove a condição de representante legal do signatário ou delegação de poderes específica, de acordo com o estatuto social ou contrato social da empresa.
2.3 Todas as informações da DIC deverão ser preenchidas e, quando solicitado, apresentados os documentos comprobatórios.
3.0 IDENTIFICAÇÃO DA EMPRESA
3.1 Razão Social:
3.2 Nome fantasia:
3.3 CNPJ:
3.4 Ramo de atividade:
3.5 Assinale o porte da Empresa:
(_) Microempreendedor Individual (MEI) (_) Microempresa (ME)
(_) Empresa de Pequeno Porte (EPP) (_) Empresa de Médio Porte
(_) Empresa de Grande Porte
3.6 Informar o endereço da sede, de suas filiais e escritórios de representação em território nacional e no exterior:
_
_
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
3.7. Forneça os dados das pessoas jurídicas vinculadas a sua empresa, inclusive na condição de controladora, controlada, coligada ou consorciada.
# | Razão Social | CNPJ | % de participação |
1 | |||
2 | |||
... | |||
n |
3.8 Forneça a seguir o nome completo, CPF, data de nascimento, cargo, percentual de partici- pação (quando aplicável) de seus proprietários, sócios, conselheiros de administração, presi- dente e diretores:
# | Nome | CPF | Data Nascimento | Cargo/Função | % de participação |
1 | |||||
2 | |||||
... | |||||
n |
4.0 QUESTIONÁRIO
4.1 DIMENSÃO INTEGRIDADE
Questão I01 - A sua empresa conhece a legislação anticorrupção a qual está sujeita? (_) Sim (_) Não
Se a sua resposta for SIM, informe abaixo a quais leis a sua empresa está sujeita: (_) Lei Anticorrupção Brasileira (Lei nº 12.846/2013 e seu decreto regulamentador). (_) Lei Antissuborno do Reino Unido (UK Bribery Act).
(_) Lei dos Estados Unidos sobre a Prática de Corrupção no Exterior (US Foreign Corrupt Practices Act).
(_) Convenção Interamericana Contra a Corrupção (Convenção da OEA), promulgada pelo Decreto nº 4.410/2002.
(_) Convenção das Nações Unidas contra a Corrupção (Convenção das Nações Unidas), promulgada pelo Decreto nº 5.687/2006.
(_) Convenção sobre o Combate a Corrupção de Funcionários Públicos Estrangeiros em Transações Comerciais Internacionais (Convenção da OCDE), promulgada pelo Decreto nº 3.678/2000.
(_) Outras legislações. Especifique:
_
_
Questão I02 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1º Grau ocupa ou é candidato a Cargo Eletivo ou Cargo de Confiança na Administração Pública?
(_) Sim, na esfera Federal
(_) Sim, na esfera Estadual, Distrital ou Municipal (_) Não
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
Se a sua resposta for SIM, forneça detalhes (nome, grau de parentesco, nome do órgão/entidade, cargo exercido, período em que ocupou o cargo):
_
_
Questão I03 - Algum integrante da Alta Administração da empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau mantém negócios pessoais ou relacionamento próximo com algum agente público?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça detalhes (nome, nome do órgão/entidade do agente público, cargo exercido pelo agente público):
_
_
Questão I04 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau constam cadastrado na lista PEP - Pessoa Exposta Politicamente, conforme relação disponível em: xxxx://xxx.xxxxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxxxxx-xx-xxxxx/xxx.
(_) Sim, na esfera Federal
(_) Sim, na esfera Estadual, Distrital ou Municipal (_) Não
Se a sua resposta for SIM, forneça o nome da pessoa, o grau de parentesco, o nome do órgão
/ entidade e o cargo exercido:
_
_
Questão I05 - Algum integrante da Alta Administração da Empresa, seus proprietários, sócios, controladores, representante legal, conselheiros e diretores ou seus familiares de 1o Grau já foi preso, acusado, investigado, processado ou condenado por fraude ou corrupção nos últimos 10 (dez) anos?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I06 - A sua empresa, suas controladoras, controladas, coligadas ou consorciadas está ou já foi avaliada externamente, investigada, acusada, processada ou condenada por fraude ou corrupção nos últimos 10 (dez) anos por órgão ou agência nacional ou internacional?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
Questão I07 - A sua empresa ou algum integrante da Alta Administração, proprietários, sócios, representante legal, conselheiros ou diretores possui histórico de mídias envolvendo corrupção ativa ou passiva (nacional ou estrangeira), improbidade administrativa, fraude, prática anticoncorrencial, lavagem de dinheiro, dentre outros atos ilícitos, nos últimos 5 (cinco) anos?
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I08 - Algum integrante da Alta Administração, empregado, agente ou terceiro representando a sua empresa, suas controladoras, controladas, coligadas ou consorciadas, já entregou, ofertou, autorizou, acordou ou prometeu qualquer tipo de pagamento ou benefício a qualquer autoridade governamental nacional ou estrangeira, para angariar ou manter negócios, ou mesmo obter qualquer vantagem comercial, nos últimos 10 (dez) anos?
(_) Sim (_) Não
Se a sua resposta for SIM, explique as circunstâncias do fato ocorrido e forneça a documentação pertinente:
_
_
Questão I09 - A sua empresa possui Programa de Integridade, nos termos do Decreto nº 11.129/2022?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I10 - A sua empresa possui um Código de Ética, Guia de Conduta ou documentos correlatos que descrevem as condutas éticas que devem ser observadas pelos integrantes da Alta Administração, empregados próprios e/ou terceirizados?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I11 - A sua empresa possui Política de Gestão de Riscos e controles internos? (_) Sim (_) Não
Questão I12 - A sua empresa realiza avaliação de integridade (ou due diligence de integridade) para identificar e avaliar possíveis riscos à integridade a que possa estar exposta no relacionamento comercial com terceiros – clientes, fornecedores, parceiros de negócio, consultores, empregados, dentre outros –, assim como as práticas de prevenção e combate à fraude e à corrupção adotadas por estes?
(_) Sim (_) Não
Questão I13 - A sua empresa possui normativos internos que determinam a proibição ou restrição, quanto ao oferecimento de presentes, brindes e hospitalidade a agentes públicos, clientes e parceiros comerciais?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I14 - A sua empresa possui normativos internos que disponham sobre doação e/ou contribuição a instituições, programas sociais ou a partidos políticos?
(_) Sim (_) Não
Se a sua resposta for SIM, forneça documentação pertinente.
Questão I15 - A sua empresa disponibiliza canais de denúncias, abertos e amplamente divulgados a todos os empregados próprios e/ou terceirizados, e mecanismos destinados à proteção de denunciantes?
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
(_) Sim (_) Não
Se a sua resposta for SIM, forneça o link do Canal de Denúncias.
_
_
Questão I16 - Nos contratos firmados com terceiros – clientes, fornecedores, parceiros de negócio, consultores, empregados, dentre outros – há previsão de cláusulas que os obrigue a respeitar o Programa de Integridade e o Código de Ética e Conduta da sua empresa, bem como a manter conformidade com as leis anticorrupção aplicáveis e vigentes?
(_) Sim (_) Não
Questão I17 - A sua empresa promove ações de conscientização periódicas sobre o seu Programa de Integridade destinadas a Alta Administração e a todos os empregados próprios e/ou terceirizados?
(_) Sim (_) Não
Questão I18 - A sua empresa possui mecanismos de investigação de indícios de fraude e/ou corrupção e de aplicação de sanções?
(_) Sim (_) Não
4.2 DIMENSÃO PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
Questão P01 - A sua empresa possui Política de Privacidade e Proteção de Dados Pessoais? (_) Sim (_) Não
(_) Não se aplica, pois minha empresa se beneficia do tratamento jurídico diferenciado previsto da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, observado o disposto no art. 3º.
Questão P02 - A sua empresa possui DPO - Data Protection Officer ou Encarregado pelo Tratamento de Dados Pessoais formalmente designado?
(_) Sim (_) Não
(_) Não se aplica, pois minha empresa se beneficia do tratamento jurídico diferenciado previsto da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, observado o disposto no art. 3º.
Questão P03 - Na sua empresa há algum programa de treinamento e/ou conscientização para seus colaboradores e fornecedores sobre privacidade de dados pessoais?
(_) Sim (_) Não
Questão P04 - A sua empresa divulga em seu site informações claras e relevantes para o público interno e externo sobre a forma dos tratamentos, seus direitos e como exercê-los (Avisos ou Políticas de Privacidade)?
(_) Sim (_) Não
Questão P05 - A sua empresa revisa regularmente as atividades de tratamento e os tipos de dados tratados para fins de minimização de dados pessoais?
(_) Sim (_) Não
Questão P06 - A sua empresa possui políticas, procedimentos e medidas apropriadas para identificar, registrar e gerenciar os riscos relacionados à privacidade e proteção de dados pessoais?
(_) Sim (_) Não
Questão P07 - A sua empresa busca identificar e formalizar em contrato as finalidades e as hipóteses autorizativas (bases legais) para tratamento dos dados pessoais?
(_) Sim (_) Não
Se sua resposta for SIM, informe as finalidades e hipóteses autorizativas (bases legais) para
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
tratamento dos dados pessoais que serão consumidos através da solução contratada:
_
_
Questão P08 - Na sua empresa existem medidas de segurança adicionais no tratamento de dados pessoais sensíveis?
(_) Sim (_) Não
Questão P09 - A sua empresa utiliza serviços de outros operadores para tratamento dos dados pessoais oriundos do Serpro?
(_) Sim (_) Não
Questão P10 - A sua empresa possui um processo que visa solicitar autorização prévia do Controlador antes de contratar os serviços de um suboperador?
(_) Sim (_) Não
Se a sua resposta for SIM, esta ação está prevista em contrato?
_
_
Questão P11 - Ao término do tratamento dos dados pessoais para a finalidade definida, a sua empresa elimina estes dados ou, quando pertinente, formaliza as justificativas para conservação destes dados?
(_) Sim (_) Não
Questão P12 - Existe transferência internacional de dados pessoais? (_) Sim (_) Não
Questão P13 - Caso exista transferência internacional, foi avaliado se a empresa que recebe os dados oferece garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados equivalentes aos previstos na LGPD – Lei Geral de Proteção de Dados Pessoais?
(_) Sim (_) Não
(_) Não se aplica, caso a resposta tenha sido NÃO para a questão P12.
Questão P14 - A sua empresa já recebeu sanção ou é parte em processo administrativo sancionatório movido pela ANPD - Autoridade Nacional de Proteção de Dados?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
_
_
Questão P15 - A sua empresa já comunicou algum incidente de segurança com dados pessoais aos controladores, ANPD - Autoridade Nacional de Proteção de Dados e/ou aos titulares de dados pessoais?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
_
_
Questão P16 - A sua empresa já sofreu alguma condenação judicial ou é ré em processo judicial em demanda que envolva algum incidente no tratamento de dados pessoais?
(_) Sim (_) Não
Se a sua resposta for SIM, informar as circunstâncias do fato ocorrido e qual é a situação atual.
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
_
_
4.3 DIMENSÃO SEGURANÇA DA INFORMAÇÃO
Questão S01 - A sua empresa possui alguma certificação vigente na área de Segurança da Informação?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de certificação e período de validade.
_
_
Questão S02 - Os Datacenters da sua empresa ficam hospedados apenas em território nacional? (_) Sim (_) Não
Se a sua resposta for NÃO, informe o país:
Questão S03 - O armazenamento e o tratamento dos dados são realizados apenas em território nacional?
(_) Sim (_) Não
Se a sua resposta for NÃO, informe o país:
Questão S04 - Os dispositivos móveis de uso pessoal são utilizados na rede corporativa? (_) Sim (_) Não
Questão S05 - A sua empresa utiliza algum tipo de criptografia para proteger os dados em trânsito?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de criptografia.
_
_
Questão S06 - A sua empresa utiliza algum tipo de criptografia para proteger os dados em repouso?
(_) Sim (_) Não
Se a sua resposta for SIM, informe o tipo de criptografia.
_
_
Questão S07 - Existe um processo definido para a gestão de acesso lógico? (_) Sim (_) Não
Questão S08 - Os sistemas são configurados para utilizar senhas fortes? (_) Sim (_) Não
Questão S09 - Existe algum mecanismo que permita o acesso remoto seguro ao ambiente corporativo?
(_) Sim (_) Não
Questão S10 - Os sistemas e equipamentos são configurados para gerar logs de evento e de auditoria?
(_) Sim (_) Não
Questão S11 - A sua empresa desenvolve software ou contrata serviço de desenvolvimento de software?
(_) Sim (_) Não
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
Questão S12 - Caso sua resposta tenha sido SIM para a questão S11 deste formulário, existe algum padrão de desenvolvimento seguro de software em uso, seja pela própria empresa ou pela prestadora de serviço contratada?
(_) Sim (_) Não
(_) Não se aplica, caso a resposta tenha sido NÃO para a questão S11.
Questão S13 - Existe algum padrão de desenvolvimento seguro de software em uso? (_) Sim (_) Não
Se a sua resposta for SIM, cite o padrão adotado ou a referência.
_
_
Questão S14 - Existe normativo de tratamento e uso aceitável de dados que direcione segurança física e lógica nos seus ambientes?
(_) Sim (_) Não
Questão S15 - Existe algum processo formal para tratamento dos incidentes de segurança da informação?
(_) Sim (_) Não
Questão S16 – Há um processo ou serviço implementado voltado para resposta à incidente de segurança?
(_) Sim (_) Não
Questão S17 - A sua empresa possui Política de Segurança da Informação? (_) Sim (_) Não
Se a sua resposta for SIM, forneça a documentação pertinente.
Questão S18 - Caso a sua resposta tenha sido SIM para a questão S17 deste formulário, a Política de Segurança da Informação é amplamente divulgada para os empregados, gestores, administradores, terceirizados, dentre outros?
(_) Sim (_) Não
(_) Não se aplica, caso a resposta tenha sido NÃO para a questão S17.
Questão S19 - Existe uma pessoa e/ou área responsável pela segurança da informação e pelas iniciativas de segurança da informação na sua empresa?
(_) Sim (_) Não
Questão S20 - A sua empresa possui cláusulas de confidencialidade nos contratos com seus empregados?
(_) Sim (_) Não
Questão S21 - A sua empresa possui plano de continuidade de negócios e/ou plano de recuperação de desastres implementado?
(_) Sim (_) Não
5.0 IDENTIFICAÇÃO DO REPRESENTANTE LEGAL OU PESSOA FORMALMENTE DESIGNADA PARA RESPONDER O QUESTIONÁRIO1:
Nome: CPF:
Cargo:
1 Vide item 2.1 deste formulário.
ANEXO
TÍTULO
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES (DIC)
NÚMERO
2
VERSÃO
4
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
E-mail: Telefone:
6.0 DECLARAÇÃO DE VERACIDADE DAS INFORMAÇÕES
Na qualidade de representante legal da empresa avaliada:
a) declaro que, após as devidas consultas, as informações fornecidas neste formulário, incluindo quaisquer documentos anexos, são verdadeiras, completas e atualizadas;
b) declaro estar ciente de que o Serpro poderá solicitar informações adicionais ou efetuar investigações para reunir provas que sustentem as respostas fornecidas; e
c) comprometo-me a manter as informações prestadas atualizadas junto ao Serpro em caso de alterações futuras.
[local e data]
[Nome completo e assinatura]
ANEXO
TÍTULO
NÚMERO
3
VERSÃO
1
FORMULÁRIO DE DILIGÊNCIA DE INTEGRIDADE DE CLIENTES INTERNACIONAIS (DICIS)
CÓDIGO DE CLASSIFICAÇÃO ARQUIVÍSTICA: 010.01 CLASSIFICAÇÃO DA INFORMAÇÃO: Ostensivo
INTEGRITY DILIGENCE OF INTERNATIONAL CUSTOMERS (DICIS)
1.0 OBJECTIVE
Serpro’s Customer Integrity Assessment, also known as Integrity Due Diligence (DDI), aims to identify and mitigate possible integrity risks that Serpro may be exposed in the business relationship with its customers and that may cause damage to its image or reputation.
The application of this integrity assessment is supported by the Brazilian Anti-Corruption Law, regulated by Decree 11.129, of July 11, 2022, in the Integrity and Anti-Corruption Policy of Serpro and in the Corporate Integrity Program of Serpro (PCINT).
From the information provided in the Integrity Diligence of International Customers (DICIS) form, we will establish the client's Degree of Integrity Risk (GRI), which will be classified as low, medium, or high.
The Degree of Integrity Risk (GRI) determined may be reclassified by Serpro based on various research and additional information obtained during the integrity assessment.
2.0 INSTRUCTIONS FOR COMPLETING THE INTEGRITY DILIGENCE OF INTERNATIONAL CUSTOMERS (DICIS)
2.1 The Integrity Diligence of International Customers (DICIS) form must be answered by the company's legal representative or by a formally designated person who must declare, under the responsibilities and penalties of the law, that they have specific delegation of powers to represent the Company participating in the process.
2.2 Documentation proving the signatory's capacity as legal representative or specific delegation of powers must be submitted, in accordance with the company's bylaws, articles of association, power of attorney or other private instrument.
2.3 It is compulsory to fill in all the information on the form and submit the requested documents.
3.0 COMPANY IDENTIFICATION
3.1 Corporate Name:
3.2 Industry:
3.3 Provide the name and address of the head office, branches or representations in the country of origin, in other countries and even in Brazil:
# | Corporate Name | Complete address | Country |
1 |
2 | |||
... | |||
n |
3.4. Provide information on other companies linked to your company, including as a parent company, subsidiary, associate or consortium:
# | Corporate Name | % stake |
1 | ||
2 | ||
.. | ||
n |
3.5 Provide the information of the people linked to your company as owners, partners, board members, president, vice-president and directors:
# | Name | National Id | Date of Birth | Position/Function | % stake |
1 | |||||
2 | |||||
... | |||||
n |
4.0 QUESTIONNAIRE
4.1 INTEGRITY DIMENSION
Question I01 - Does your company know the anti-corruption legislation to which it is subject? (_) Yes (_) No
If your answer is YES, please state below which laws your company is subject to: (_) Brazilian Anti-Corruption Law1 (Law nº 12.846/2013 and its regulatory decree). (_) UK Bribery Act.
(_) US Foreign Corrupt Practices Act.
(_) Inter-American Convention Against Corruption (OAS Convention).
_
_
Question I02 - Does any member of your company's senior management, including owners, partners, controlling shareholders, legal representatives, board members, directors or their first-degree relatives2, have personal business dealings or a close relationship with any Brazilian public official?
1 The provisions of Law nº 12.846/2013, regulated by Decree No. 11.129/2022, apply to foreign companies or corporations that have their headquarters, branch or representation in Brazilian territory, incorporated in fact or in law, even temporarily.
(_) Yes (_) No
If your answer is YES, please provide the name and position of the person from your company, the name of the body or entity and the position held by the Brazilian public official.
_
_
Question I03 - Has any member of your company's senior management, including owners, partners, legal representative, board members, directors, controlling shareholders or their first- degree relatives3, ever been arrested, charged, investigated, prosecuted or convicted of fraud or corruption in the last ten years?
(_) Yes (_) No
If your answer is YES, please explain the circumstances of the incident and provide the relevant documentation:
_
_
Question I04 - Is your company, its parent companies, subsidiaries, affiliates or consortia being or have they been investigated, charged, prosecuted or convicted of fraud or corruption in the last ten years?
(_) Yes (_) No
If your answer is YES, please explain the circumstances of the incident and provide the relevant documentation:
_
_
Question I05 - Does your company or any member of senior management, including owners, partners, legal representatives, board members or directors, have a history of negative media involving active or passive corruption, administrative impropriety, fraud, anti-competitive practices, money laundering, terrorist financing or other illicit acts in the last five years?
(_) Yes (_) No
If your answer is YES, please explain the circumstances of the incident and provide the relevant documentation:
_
_
Question I06 - Has any employee or member of senior management, including owners, partners, board members, directors, agents, or third parties representing your company, its parent companies, subsidiaries, affiliates, or consortiums, made any payment or offered any type of advantage or benefit to a brazilian or foreign government authority within the last ten years, in order to obtain or maintain business or gain any commercial advantage?
(_) Yes (_) No
If your answer is YES, please explain the circumstances of the incident and provide the relevant documentation:
_
_
Question I07 - Does your company have an Integrity Program4 or similar document? (_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I08 - Does your company have a Code of Ethics, Conduct and Integrity or other similar document that describes the standards of ethical conduct that should be observed by employees and members of senior management, including owners, partners, legal representatives, board members or directors?
(_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I09. Does your company promote training and communication actions about its Integrity Program or standards of ethical conduct, policies and procedures for combating fraud and corruption for employees and senior management, including owners, partners, legal representative, board members or directors?
(_) Yes (_) No
Question I10 - Does your company have a Risk Management Policy and internal controls? (_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I11 - Does your company carry out integrity due diligence to identify and assess any integrity risks5 it may be exposed to in its business relationships with customers, suppliers, business partners, consultants, employees, among others? This includes examining the practices they employ to prevent and combat acts of fraud and corruption.
(_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I12 - Does your company have regulations governing the offering of gifts, presents and hospitality to public officials, clients and business partners?
(_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I13 - Does your company have regulations governing donations and/or contributions to institutions, social programs or political parties?
(_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question I14 - Does your company provide whistleblowing channels6 that are open and widely publicized to employees and third parties, as well as mechanisms for dealing with the
4 Set of integrity mechanisms and procedures with the aim of:
a) preventing, detecting and punishing ethical deviations, fraud, corruption or any unlawful acts practiced by employees or members of senior management, including owners, partners, directors, officers, agents or third parties representing their company;
b) foster and maintain a culture of integrity in the organizational environment.
5 Integrity risks derive from actions, omissions or vulnerabilities that may favor or facilitate the occurrence of practices of corruption, fraud, irregularity, ethical deviation and/ or conduct, compromising the achievement of organizational objectives.
6 Whistleblowing channels are tools that people in general can use to report acts or facts involving irregularities, illicit acts, fraud, corruption or ethical and integrity deviations practiced by third parties.
complaints received and protecting whistleblowers? (_) Yes (_) No
If your answer is YES, please provide the e-mail address of the whistleblowing channel or the relevant documentation.
_
_
Question I15 - Are there any integrity clauses in the contracts signed with clients, suppliers, business partners, consultants and employees that oblige them to comply with your company's Integrity Program, Code of Ethics and Conduct or similar document and to act in accordance with applicable and current anti-corruption laws?
(_) Yes (_) No
Question I16 - Does your company have mechanisms in place to investigate evidence of fraud and/or corruption and to apply sanctions when such cases arise?
(_) Yes (_) No
If your answer is YES, please provide relevant documentation.
4.2 PRIVACY DIMENSION AND PROTECTION OF PERSONAL DATA
Question P01 - Does your company have a Privacy and Personal Data Protection Policy? (_) Yes (_) No
If your answer is YES, please provide relevant documentation.
Question P02 - Does your company have a formally designated DPO - Data Protection Officer? (_) Yes (_) No
Question P03 - Is there a training and/or awareness program in place for your employees and suppliers regarding personal data privacy?
(_) Yes (_) No
Question P04 - Does your company provide clear and relevant information on its website to both internal and external audiences regarding the processing of personal data, data subject rights, and how to exercise those rights (through Notices or Privacy Policies)?
(_) Yes (_) No
Question P05 - Does your company regularly review its processing activities and the types of data processed to minimize the processing of personal data?
(_) Yes (_) No
Question P06 - Does your company have appropriate policies, procedures and measures to identify, record and manage privacy and personal data protection risks?
(_) Yes (_) No
Question P07 - Does your company identifies and documents the purposes and lawful basis for processing of personal data in a contract?
(_) Yes (_) No
If your answer is YES, please inform the purposes and (lawful basis) for the processing of the personal data that will be consumed through the contracted solution:
_
_
Question P08 - Are there additional security measures in your company in the processing of
sensitive personal data? (_) Yes (_) No
Question P09 - Does your company use the services of other processors or subprocessors to process personal data from Serpro?
(_) Yes (_) No
Question P10 - Does your company has procedures to identify personal information that is retained for longer than necessary to fulfil the stated purposes and dispose, destroy or anonymize those data in a manner that prevents loss, theft, misuse, or unauthorized access? (_) Yes (_) No
Question P11 - Requests for the contracted service will be made from outside Brazilian territory configuring international transfer of personal data?
(_) Yes (_) No
Question P12 - Is your company currently subject to a sanction or involved in an administrative proceeding initiated by Data Protection Competent Authority?
(_) Yes (_) No
If your answer is YES, please provide the details of the event that occurred and describe the current situation.
_
_
Question P13 - Has your company reported any security incidents involving personal data to the Data Protection Competent Authority, or to the data subjects themselves?
(_) Yes (_) No
If your answer is YES, please provide the details of the event that occurred and describe the current situation.
_
_
Question P14 - Are there any ongoing legal cases or past convictions against your company related to mishandling or ilegal use of personal data?
(_) Yes (_) No
If your answer is YES, please provide the details of the event that occurred and describe the current situation.
_
_
4.3 INFORMATION SECURITY DIMENSION
Question S01 - Does your company have any current certification in Information Security? (_) Yes (_) No
If your answer is YES, enter the type of certification and validity period.
_
_
Question S02 - Are your company's data centers hosted exclusively in Brazil? (_) Yes (_) No
If your answer is NO, please inform the country:
Question S03 - Are the storage and processing of data carried out only in Brazil? (_) Yes (_) No
If your answer is NO, please inform the country:
Question S04 - Are mobile devices for personal use used on the corporate network? (_) Yes (_) No
Question S05 - Does your company employ any form of encryption to safeguard data while it is being transmitted?
(_) Yes (_) No
If your answer is YES, enter the encryption type.
_
_
Question S06 - Does your company use any kind of encryption to protect data at rest? (_) Yes (_) No
If your answer is YES, enter the encryption type.
_
_ Question S07 - Is there a defined process for managing logical access? (_) Yes (_) No
Question S08 - Are the systems configured to use strong passwords? (_) Yes (_) No
Question S09 - Is there a mechanism in place for secure remote access to the corporate environment?
(_) Yes (_) No
Question S10 - Are systems and equipment configured to generate event and audit logs? (_) Yes (_) No
Question S11 - Does your company develop software or hire software development services? (_) Yes (_) No
Question S12 - If your answer to question S11 of this form was YES, please indicate whether the company or contracted service provider follows any secure software development standard? (_) Yes (_) No
(_) It does not apply (if the answer was NO to question S11).
Question S13 - Is there a secure software development standard currently being used? (_) Yes (_) No
If your answer is YES, name the adopted standard or reference.
_
_
Question S14 - Is there a regulation that governs the treatment and acceptable use of data, directing the implementation of both physical and logical security measures in their environments?
(_) Yes (_) No
Question S15 - Is there a formal process for managing information security incidents? (_) Yes (_) No
Question S16 – Is there a process or service available for security incident response? (_) Yes (_) No
Question S17 - Does your company have an Information Security Policy? (_) Yes (_) No
If your answer is YES, please provide the relevant documentation.
Question S18 - If you answered YES to question S17, has the Information Security Policy been widely distributed to employees, managers, administrators, contractors, and others?
(_) Yes (_) No
(_) It does not apply (if the answer was NO to question S17).
Question S19 - Is there someone in your company responsible for information security and overseeing information security initiatives?
(_) Yes (_) No
Question S20 - Does your company have confidentiality clauses in its contracts with its employees?
(_) Yes (_) No
Question S21 - Does your company have a business continuity plan and/or a disaster recovery plan in place?
(_) Yes (_) No
5.0 IDENTIFICATION OF THE LEGAL REPRESENTATIVE OR THE PERSON FORMALLY DESIGNATED TO REPLY TO THE FORM
Name:
Telephone:
Country:
Position:
Email:
6.0 DECLARATION OF VERACITY OF INFORMATION
In my capacity as legal representative of the company being assessed:
a) I declare that, after due inquiries, the information provided in this form, including any attached documents, is true, complete and up-to-date;
b) I declare that I am aware that Serpro may request additional information or carry out investigations to gather evidence to support the answers provided; and
c) I undertake to keep the information provided up to date with Serpro in the event of future changes.
[place and date]
[Full name and signature]