Política de Segurança da Informação

  • Versão: 1.1
  • Data de atualização: 21 de novembro de 2025

A Xmarts Group LLC, como organização internacional com presença no México, América Latina, Estados Unidos e Canadá, reconhece, por meio da empresa Comercializadora Odoo, S. de R.L. de C.V., que a proteção de dados pessoais e a segurança da informação são elementos críticos para garantir a confiança de seus clientes, colaboradores, parceiros comerciais e demais grupos de interesse. Esse compromisso vai além de uma obrigação técnica: representa uma responsabilidade ética, legal e estratégica que permeia todos os níveis da organização.

A presente política estabelece as diretrizes institucionais para garantir a confidencialidade, integridade, disponibilidade, rastreabilidade e resiliência da informação, bem como o pleno respeito aos direitos dos titulares de dados pessoais, de acordo com a legislação vigente em cada jurisdição em que a Xmarts atua.

Da mesma forma, esta política constitui o marco orientador do Sistema de Gestão de Segurança da Informação (SGSI) implementado pela organização, em conformidade com a norma ISO/IEC 27001:2022, com a legislação mexicana aplicável, especialmente a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP), e com as leis equivalentes vigentes em outros países.

A Xmarts reconhece que os dados pessoais e as informações confidenciais constituem ativos estratégicos cujo tratamento ético, lícito e seguro é essencial para a continuidade do negócio, prevenção de incidentes e consolidação de relações comerciais baseadas na transparência e na responsabilidade proativa.

Escopo

Esta política se aplica a todos os processos, sistemas, serviços, unidades de negócio, colaboradores, fornecedores, contratados, aliados estratégicos e qualquer terceiro que, direta ou indiretamente, participe do tratamento, armazenamento, transmissão, uso, acesso ou guarda de informações geradas, processadas ou controladas pela Xmarts Group LLC.

Também se aplica aos dados pessoais de qualquer pessoa física identificada ou identificável tratados pela Xmarts, em sua condição de controladora, operadora ou corresponsável, independentemente de tais informações estarem em formato físico ou digital, em instalações próprias ou infraestruturas de terceiros, locais ou em nuvem.

O cumprimento desta política é obrigatório para todas as partes envolvidas, sem exceção, e sua observância será supervisionada pelo Comitê do SGSI, pela Diretoria Geral e pelas áreas responsáveis pelo cumprimento normativo.

Marco Legal e Normativo Aplicável

A Xmarts Group se rege, em primeiro lugar, pela legislação mexicana em matéria de proteção de dados pessoais e segurança da informação, especialmente:

  • Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP)
  • Seu Regulamento
  • Diretrizes do Aviso de Privacidade emitidas pelo INAI
  • Código Penal Federal, no que se refere a crimes relacionados a acesso ilícito ou uso indevido de bases de dados pessoais ou informações confidenciais
  • Lei Federal do Trabalho, no que se refere às obrigações do empregador sobre a privacidade dos colaboradores

Dada sua presença regional e internacional, a Xmarts Group também adota como vinculantes ou exigíveis, conforme aplicável:

  • Regulamento Geral de Proteção de Dados (RGPD) – União Europeia
  • California Consumer Privacy Act (CCPA) e sua emenda CPRA – EUA
  • Personal Information Protection and Electronic Documents Act (PIPEDA) – Canadá
  • Lei Geral de Proteção de Dados (LGPD) – Brasil
  • Lei 1581 de 2012 – Colômbia
  • Lei 25.326 – Argentina
  • Lei 19.628 – Chile
  • Lei 18.331 – Uruguai
  • Lei Orgânica de Proteção de Dados Pessoais (2021) – Equador
  • Lei Nº 29733 – Peru
  • Lei 172-13 – República Dominicana
  • Lei 787 – Nicarágua
  • Lei 6534/2020 – Paraguai
  • Normativas vigentes em Honduras, Guatemala, El Salvador e Venezuela, conforme aplicáveis por residência dos titulares ou localização da infraestrutura

Em caso de conflito entre normativas, aplicar-se-á o princípio da maior proteção ao titular, conforme o padrão de responsabilidade proativa e abordagem baseada em riscos adotado pela organização.

Princípios Norteadores do Tratamento de Dados Pessoais e da Segurança da Informação

A Xmarts Group LLC adota de maneira obrigatória e transversal os princípios estabelecidos pela LFPDPPP, RGPD e demais legislações internacionais aplicáveis, reconhecendo que o respeito a esses princípios não é apenas uma obrigação legal, mas uma condição indispensável para gerar confiança, proteger direitos fundamentais e preservar a reputação institucional.

Licitude

Todo tratamento de dados pessoais deve estar fundamentado em uma base jurídica válida e reconhecida pela lei. É proibido o uso de dados obtidos por meios enganosos, fraudulentos ou que contrariem os direitos dos titulares.

Consentimento

O tratamento requer o consentimento prévio, informado, específico e inequívoco do titular, salvo quando a lei estabelecer uma exceção expressa. O consentimento pode ser concedido verbalmente, por escrito, eletronicamente ou por condutas inequívocas, devendo ser mantida evidência documental de sua concessão.

Finalidade

Os dados pessoais só poderão ser tratados para finalidades determinadas, explícitas e legítimas, comunicadas ao titular no aviso de privacidade correspondente. É proibido o uso posterior para fins incompatíveis ou não autorizados.

Proporcionalidade e Minimização

Somente serão coletados os dados estritamente necessários, pertinentes e adequados em relação à finalidade perseguida. Não será solicitada informação excessiva, irrelevante ou desproporcional.

Qualidade

A Xmarts garantirá que os dados pessoais sejam exatos, completos e atualizados. Serão adotados mecanismos para que os titulares possam solicitar a retificação ou atualização de suas informações sempre que necessário.

Segurança

Serão implementadas medidas técnicas, organizacionais, administrativas e físicas para proteger os dados pessoais e a informação institucional contra danos, perdas, destruição, alteração, uso, acesso ou divulgação não autorizada.

Transparência

A Xmarts compromete-se a fornecer informações claras, acessíveis e verídicas sobre o tratamento de dados pessoais, por meio de avisos de privacidade e outros mecanismos complementares.

Responsabilidade Proativa

A empresa adota o princípio da responsabilidade demonstrada, que implica a implementação de medidas que permitam verificar, auditar e documentar o cumprimento normativo de maneira contínua.

Conservação Temporária e Eliminação

Os dados serão conservados apenas pelo tempo necessário para cumprir as finalidades do tratamento, de acordo com os prazos estabelecidos pela legislação aplicável. Após esse período, os dados serão eliminados ou anonimizados.

Governança do SGSI e Estrutura de Responsabilidades

A alta direção da Xmarts estabeleceu um modelo de governança que garante liderança, alocação de recursos, prestação de contas e melhoria contínua do Sistema de Gestão de Segurança da Informação (SGSI). Esse modelo se articula por meio do Comitê do SGSI e das responsabilidades formais atribuídas a cada nível organizacional.

Comitê do SGSI

O Comitê do SGSI é o órgão responsável por projetar, coordenar, supervisionar e aprimorar a estratégia de segurança da informação. Sua função é assegurar o cumprimento normativo, monitorar riscos, atender incidentes e manter a vigência da certificação conforme a norma ISO/IEC 27001:2022.

Composição do Comitê

  • Diretor Geral
  • Responsável pelo SGSI
  • Oficial de Conformidade do SGSI (podendo ser externo)
  • Sete membros designados pela Diretoria, líderes de processo

Os nomes e cargos específicos são documentados em um Anexo Interno, sujeito a atualização sem necessidade de reformulação desta política, conforme critérios de controle documental e privacidade.

Responsabilidades do Comitê

  • Aprovar e atualizar esta política de segurança
  • Coordenar as ações do SGSI em cada processo
  • Supervisionar a execução do plano anual de segurança
  • Participar de revisões, auditorias e decisões estratégicas
  • Garantir comunicação eficaz com as áreas operacionais e com o encarregado de proteção de dados pessoais

Reuniões e Tomada de Decisões

  • O Comitê se reunirá pelo menos uma vez por trimestre
  • Todas as reuniões serão documentadas (agenda, atas, acordos, responsáveis)
  • A presença do Diretor Geral ou seu delegado e do Responsável pelo SGSI é obrigatória
  • As decisões serão tomadas por consenso e, na ausência deste, por maioria simples
  • Reuniões extraordinárias poderão ser convocadas diante de incidentes críticos ou mudanças regulatórias relevantes

Diretoria Geral

  • Garantir o compromisso institucional com a segurança da informação
  • Aprovar recursos para a implementação e manutenção do SGSI
  • Aprovar políticas e planos estratégicos de segurança
  • Revisar e validar anualmente o desempenho do sistema

Responsável pelo SGSI

  • Coordenar a implementação e manutenção do SGSI
  • Garantir conformidade com a norma ISO/IEC 27001:2022
  • Informar o Comitê e a Diretoria sobre resultados, avanços e riscos
  • Coordenar auditorias internas e planos de melhoria
  • Manter a integridade do sistema diante de mudanças organizacionais ou tecnológicas

Oficial de Conformidade do SGSI

  • Monitorar a implementação efetiva das políticas e controles
  • Supervisionar riscos, incidentes e auditorias
  • Coordenar treinamentos e ações de conscientização
  • Representar a Xmarts perante auditorias externas ou autoridades regulatórias
  • Manter atualizado o inventário de dados e atividades de tratamento

Líderes de Processo e Membros do Comitê

  • Difundir esta política ao pessoal sob sua supervisão
  • Cumprir e fazer cumprir os planos do SGSI em sua área
  • Propor ações de melhoria, mitigação de riscos ou fortalecimento de controles
  • Participar de revisões e auditorias internas
  • Garantir que documentos, ativos e acessos estejam sob controle permanente

A seguir inicia automaticamente a PARTE 3:

  • Análise e Gestão de Riscos
  • Identificação de ameaças e vulnerabilidades
  • Avaliação de riscos
  • Tratamento de riscos
  • Controles e monitoramento
  • Medidas administrativas, técnicas e físicas

Análise e Gestão de Riscos de Segurança da Informação

A Xmarts Group LLC adota uma abordagem preventiva e baseada em riscos como eixo central de seu SGSI, em conformidade com a ISO/IEC 27001:2022, ISO 27005:2018 e o artigo 18 da LFPDPPP. Isso implica identificar sistematicamente riscos que possam afetar a confidencialidade, integridade ou disponibilidade da informação, bem como os direitos dos titulares de dados pessoais.

Metodologia de Análise de Riscos

A gestão de riscos é desenvolvida em três etapas:

Identificação de Ameaças e Vulnerabilidades

Identificam-se eventos ou condições que possam representar ameaça aos ativos de informação ou aos dados pessoais, incluindo eventos naturais, falhas técnicas, erros humanos, acessos não autorizados, ciberataques, perda ou extravio de dispositivos, entre outros.

Avaliação de Riscos

Cada risco é avaliado considerando sua probabilidade de ocorrência (alta, média ou baixa) e seu impacto potencial (crítico, significativo, moderado ou menor), o que permite atribuir um nível de risco (baixo, médio ou alto). Utiliza-se uma matriz de riscos conforme o padrão institucional da Xmarts.

Tratamento dos Riscos

Os riscos identificados são gerenciados por meio de uma ou mais das seguintes ações:

  • Mitigação (redução do nível de risco mediante controles)
  • Transferência (uso de seguros ou contratos com terceiros)
  • Aceitação (quando o risco é tolerável e documentado)
  • Eliminação (suspensão ou alteração do processo de risco)

Controles e Monitoramento

Para cada risco estabelecem-se controles adequados (administrativos, técnicos ou físicos), responsáveis e mecanismos de monitoramento contínuo. O Comitê do SGSI revisa semestralmente o mapa de riscos e sua evolução.

Medidas de Segurança para Proteção da Informação

A Xmarts implementou um conjunto abrangente de medidas de segurança, conforme o artigo 19 da LFPDPPP, o RGPD (artigo 32), a LGPD (artigo 46) e o Anexo A da ISO/IEC 27001:2022. As medidas classificam-se em administrativas, técnicas e físicas.

Medidas Administrativas

  • Controle de acessos por perfis e funções
  • Política de mínimo privilégio
  • Gestão do ciclo de vida de usuários (criação, alterações e desligamentos)
  • Capacitação anual obrigatória
  • Controle documental interno

Medidas Técnicas

  • Autenticação multifator (MFA)
  • Criptografia de dados em trânsito e em repouso
  • Backups regulares com verificação de integridade
  • Monitoramento e detecção de incidentes via EDR, SIEM e logs
  • Antivírus e proteção perimetral atualizados
  • Bloqueio de sessões inativas e políticas robustas de senha

Medidas Físicas

  • Acesso restrito a áreas sensíveis
  • Documentos físicos protegidos em armários trancados
  • Destruição segura de documentos obsoletos
  • Videomonitoramento conforme exigências legais

Gestão de Incidentes e Violações de Segurança

A Xmarts possui um procedimento formal para gerenciar incidentes de segurança, tanto internos quanto externos, conforme estabelecido na ISO/IEC 27035 e no artigo 20 da LFPDPPP.

Definições

Incidente de segurança: Evento que compromete a segurança da informação.

Violação de segurança de dados pessoais: Perda, destruição, alteração, uso, acesso ou divulgação não autorizada de dados pessoais, acidental ou intencional.

Plano de Atuação

Detecção

Todo colaborador é obrigado a reportar imediatamente qualquer anomalia ao Responsável do SGSI.

Classificação e Análise

O incidente é avaliado segundo sua gravidade, ativos afetados, impacto legal e probabilidade de recorrência.

Contenção e Erradicação

Medidas imediatas são aplicadas para limitar o dano, como isolar sistemas, revogar acessos, restaurar backups e outras ações necessárias.

Notificação a Titulares e Autoridades

  • México: Os titulares serão notificados quando houver impacto significativo em seus direitos.
  • Europa (RGPD): A autoridade deve ser notificada em até 72 horas e os afetados, quando houver alto risco.
  • Brasil (LGPD): A ANPD será notificada em prazo razoável.
  • Demais países: Segue-se a legislação aplicável de cada jurisdição.

Acompanhamento e Encerramento

O incidente será documentado, incluindo todas as ações realizadas. Os controles serão revisados para prevenir reincidências.

Direitos dos Titulares de Dados Pessoais

A Xmarts reconhece e garante o pleno exercício dos direitos de proteção de dados pessoais a todos os titulares cujas informações trata, sejam colaboradores, clientes, fornecedores ou qualquer outra pessoa física identificada ou identificável.

No México, tais direitos são conhecidos como direitos ARCO: Acesso, Retificação, Cancelamento e Oposição. Em outras jurisdições, podem existir direitos adicionais, todos igualmente protegidos por esta política.

Direitos no México (LFPDPPP)

  • Acesso: Saber quais dados a Xmarts possui, sua finalidade, origem e com quem foram compartilhados.
  • Retificação: Corrigir dados quando inexatos, incompletos ou desatualizados.
  • Cancelamento: Solicitar a eliminação dos dados, salvo exceções legais.
  • Oposição: Opor-se ao tratamento por motivo legítimo ou quando os fins não forem essenciais para a relação jurídica.

O procedimento para exercer esses direitos está disponível no aviso de privacidade integral da Xmarts. A empresa responderá em até 20 dias úteis e executará a solicitação aprovada em até 15 dias adicionais, conforme o artigo 32 da LFPDPPP.

Direitos Adicionais em Outras Jurisdições

Europa (RGPD)

Inclui portabilidade, exclusão (direito ao esquecimento), limitação de tratamento e oposição a decisões automatizadas.

Brasil (LGPD)

Direitos semelhantes ao RGPD, incluindo informação sobre critérios de tratamento e revogação do consentimento.

Canadá (PIPEDA)

Direito de acesso, correção e apresentação de reclamações ao Office of the Privacy Commissioner.

Califórnia (CPRA)

Direito de saber, excluir, optar por não compartilhar informações e proteção contra discriminação pelo exercício dos direitos.

A Xmarts garante que tais direitos serão respeitados independentemente do país de residência, mediante mecanismos eletrônicos seguros e rastreáveis.

Transferências de Dados Pessoais

A Xmarts poderá realizar transferências de dados pessoais apenas quando houver base legal que o permita e sempre garantindo que o destinatário assuma as mesmas obrigações da controladora, conforme a legislação do país de origem dos dados.

Transferências Nacionais

Exigem consentimento do titular, salvo quando houver exceção legal (artigo 37 da LFPDPPP).

São documentadas contratualmente por meio de cláusulas de confidencialidade ou contratos de operador.

Transferências Internacionais

Intragrupo

Transferências entre Xmarts México e suas filiais na América Latina, Europa e América do Norte são realizadas com base em regras corporativas vinculantes, acordos de nível de serviço e cláusulas contratuais modelo.

A Fornecedores

Quando os dados são transferidos para um fornecedor localizado em outro país, exige-se que o destinatário ofereça nível adequado de proteção ou assine contrato que garanta tal nível.

Casos em que não se requer consentimento (LFPDPPP, art. 37)

  • Quando previsto em lei ou tratado
  • Quando necessário para atendimento médico ou de saúde
  • Entre empresas do mesmo grupo corporativo
  • Para cumprir obrigações contratuais
  • Quando solicitado por autoridades judiciais ou administrativas

A Xmarts mantém registro atualizado de todas as transferências realizadas, bem como evidências documentais do cumprimento dos princípios descritos.

Conservação, Bloqueio e Eliminação de Dados Pessoais

Os dados pessoais serão conservados somente pelo tempo necessário para cumprir a finalidade da coleta. Após isso, e sem prejuízo de obrigações legais de conservação, a Xmarts procederá ao bloqueio e posterior eliminação segura.

Bloqueio:

Suspensão de acesso ou uso ativo durante período legal ou contratual.

Eliminação:

Destruição irreversível dos dados, tornando impossível sua recuperação.

Métodos incluem:

  • Apagamento lógico certificado
  • Destruição física
  • Sobrescrita
  • Anonimização
  • Outros métodos que garantam irreversibilidade

Regime Sancionatório

O descumprimento desta política, das obrigações legais ou das instruções da Diretoria Geral ou do Comitê do SGSI poderá resultar em sanções internas, civis, administrativas ou penais.

Sanções Internas

Colaboradores que violarem esta política poderão sofrer:

  • Advertência verbal ou escrita
  • Suspensão temporária
  • Rescisão contratual por justa causa

Tudo conforme o Código de Conduta e legislação trabalhista aplicável.

Sanções Legais no México

Conforme artigos 63 a 73 da LFPDPPP:

Infrações Administrativas

  • Advertência pelo INAI
  • Multas de 100 até 320.000 vezes a UMA por:
    • Manter dados inexatos
    • Coletar dados mediante engano
    • Transferir sem consentimento
    • Quebrar confidencialidade

Penalidades Criminais

  • 3 meses a 3 anos de prisão por violação com fins lucrativos
  • 6 meses a 5 anos por tratamento indevido
  • Penas dobradas para dados sensíveis

Sanções em Outras Jurisdições

  • UE (RGPD): Multas até 20 milhões de euros ou 4% do faturamento global
  • Brasil (LGPD): Multas até 50 milhões de reais por infração
  • EUA (CPRA): Ações coletivas e penalidades econômicas
  • Canadá (PIPEDA): Investigações federais, multas e ações civis

A Xmarts cooperará integralmente com autoridades de proteção de dados de todos os países onde opera.

Revisão, Melhoria e Vigência

Esta política será revisada, no mínimo, uma vez por ano ou quando:

  • Houver mudanças significativas na legislação aplicável
  • Uma deficiência for identificada após incidente ou auditoria
  • Novos serviços, tecnologias ou tratamentos forem incorporados

Atualizações serão aprovadas pelo Comitê do SGSI e publicadas nos meios institucionais oficiais. Esta versão entra em vigor a partir de outubro de 2025, substituindo qualquer versão anterior.

Referências Legais e Normativas

  • ISO/IEC 27001:2022
  • ISO/IEC 27005:2018
  • ISO/IEC 27035:2023
  • LFPDPPP – México
  • Regulamento da LFPDPPP
  • Código Penal Federal – México
  • RGPD – União Europeia
  • CCPA / CPRA – EUA
  • LGPD – Brasil
  • PIPEDA – Canadá
  • Lei 29733 – Peru
  • Lei de Proteção de Dados – Equador
  • Lei 25.326 – Argentina
  • Lei 1581 – Colômbia
  • Lei 18.331 – Uruguai
  • Lei 19.628 – Chile
  • Lei 172-13 – República Dominicana
  • Lei 787 – Nicarágua
  • Lei 6534/2020 – Paraguai
  • Normativas equivalentes ou em desenvolvimento em Guatemala, El Salvador, Venezuela e Honduras

VIGÊNCIA

Este documento terá vigência por tempo indeterminado. Caso haja alteração, deverá ser atualizada a data de vigência. Isso não impede que revisões anuais sejam realizadas.