Fetranspor

ÍNDICE

1. OBJETIVO

2. ABRANGÊNCIA

3. DOCUMENTOS DE REFERÊNCIA

4. VIGÊNCIA

5. RESPONSABILIDADES

6. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

7. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

8. INSTÂNCIAS CORPORATIVAS DE APROVAÇÕES

1. OBJETIVO

1.1. O desenvolvimento do sistema de gestão de segurança da informação é uma decisão estratégica na Fetranspor, principalmente em função do Sistema de Bilhetagem Eletrônica e outros sistemas de informação de suporte aos negócios previstos em sua atividade-fim. O sistema de gestão de segurança da informação requer melhorias contínuas, que devem ser implementadas com o aval dos agentes de governança e devem estar de acordo com as diretrizes estratégicas e legislações vigentes, maturidade do ambiente de segurança da informação, gestão de riscos e de continuidade dos negócios, quantidade de usuários e porte da empresa ao qual se aplica.

1.2. A Política de Segurança da Informação (“PSI”) orienta e estabelece as diretrizes corporativas de segurança da informação da Fetranspor de forma a preservar a confidencialidade, a integridade e a disponibilidade das informações, bem como atribui a responsabilidade a todas as áreas de negócios por adequar seus processos aos requerimentos da Lei Geral de Proteção de Dados.

2. ABRANGÊNCIA

2.1. Esta PSI aplica-se a todos os usuários dos recursos tecnológicos que tenham acesso às informações de propriedade ou sob custódia da Federação das Empresas de Transportes de Passageiros do Estado do Rio de Janeiro (“Fetranspor”), sejam colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, agentes públicos, pessoas expostas politicamente (“PEP”) e demais partes interessadas nos negócios da Fetranspor. 2.2. Quaisquer diretrizes estabelecidas na PSI não se sobrepõem às legislações em vigor e se complementam às definições previstas no estatuto social da Fetranspor. 2.3. Suas diretrizes estão embasadas na visão, missão, princípios de segurança da informação e mercado de atuação da Federação das Empresas de Transporte de Passageiros do Estado do Rio de Janeiro (“Fetranspor”).

3. DOCUMENTOS DE REFERÊNCIA

• POL001.GP.FET – Código de Conduta da Fetranspor.
• Regimento interno do Comitê de Integridade e Conformidade do Sistema Fetranspor.
• ABNT NBR ISO / IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
• ABNT NBR ISO / IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Controles de Segurança da Informação.
• Lei nº 12.737/2012 (“Lei Carolina Dieckmann”).
• Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados ou LGPD”).
• Portaria nº 93/2019 – Glossário de Segurança da Informação.
• Glossário corporativo, disponibilizado no portal da Fetranspor e intranet do Sistema Fetranspor.

4. VIGÊNCIA

4.1. Esta PSI entra em vigor a partir da data de sua publicação. A revisão deverá ser realizada em até 2 (dois) anos, contados da data de sua efetiva aprovação, ou sempre que o responsável pela área de Segurança da Informação julgar necessário.

5. RESPONSABILIDADES

5.1. Todos os usuários devem cumprir com todas as disposições da PSI, que também inclui a adequação aos requerimentos da LGPD, bem como devem assegurar que todas as partes interessadas sejam informadas sobre seu conteúdo. No entanto, algumas áreas ou órgãos de governança corporativa têm atribuições adicionais perante essas diretrizes, tais como:
a) Administrativo: responsável pela segurança patrimonial do local de trabalho, bem como pelo inventário e gestão dos dispositivos móveis corporativos (celulares) dentro dos padrões de segurança da informação. É a área responsável pela guarda do Termo de Recebimento e Uso desses ativos.

b) Assembleia Geral de Representantes dos Sindicatos: seus representantes 5 são responsáveis pela deliberação de assuntos que não estejam contemplados nas alçadas do Conselho de Gestão.

c) Auditoria Interna: responsável por assessorar o Conselho de Gestão, o Comitê de Integridade e Conformidade e/ou demais órgãos fiscalizadores, quando instituídos, nos processos de identificação, investigação e tratativa de atos ilícitos e em desacordo com as diretrizes desta PSI. Para esse fim, tem por escopo realizar auditorias no ambiente de tecnologia da informação a fim de avaliar a efetividade dos controles de segurança da informação.

d) Comitê de Integridade e Conformidade (“CIC”): este órgão colegiado de governança corporativa deve acompanhar as ações do Programa de Integridade e Conformidade, em todos os seus pilares, desde o diagnóstico de riscos, análise de normativos e avaliação das denúncias, para fins de recomendação de sanções e medidas disciplinares, com o objetivo de prevenir, detectar ou corrigir violações do Código de Conduta, da PSI e demais normativos corporativos e/ou a prática de atos ilícitos.

e) Compliance Officer: deve assumir a responsabilidade pelo planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, propondo ações que o tornem efetivo interna e externamente.

f) Comunicação e Eventos: responsável pela divulgação da PSI em todos os canais de comunicação da Fetranspor para colaboradores, gestores, agentes de governança, sindicatos de ônibus, permissionários e concessionários de transporte público, realizando a interface com as demais áreas de comunicação corporativa.

g) Conselho de Gestão: seus conselheiros prestam conta aos sindicatos de ônibus do estado do Rio de Janeiro, através de representantes destes na Assembleia Geral de Representantes de Sindicatos, bem como às demais partes interessadas nos negócios da Fetranspor, exercendo o papel de guardiões dos valores organizacionais previstos no Código de Conduta, dos princípios e diretrizes da PSI, objeto social e sistema de governança corporativa; portanto, se encarregam de cumprir, disseminar e aprovar as diretrizes desta PSI, bem como assumem a responsabilidade, em conjunto com a Diretoria e Presidência sobre o apetite e tolerância ao risco no ambiente de tecnologia da informação.

h) Controladoria: deve zelar para que o cadastro dos recursos tecnológicos e suas respectivas despesas/receitas associadas estejam adequadamente registrados, atualizados e contabilizados. Deve ser envolvida em processos de registro e/ou descarte dos recursos tecnológicos pela área de Infraestrutura e/ou área Administrativa, uma vez que os registra no sistema de informações contábil e de controle patrimonial através dos números seriais e/ou números de plaquetas de inventário.

i) Controles Internos e Riscos: deve apoiar o compliance officer e a área de Segurança da Informação no planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, atuando na revisão de processos das áreas de negócios de tecnologia e de segurança da informação, padronização de normativos, identificação e monitoramento de ações mitigadoras de riscos, dentre outras atividades necessárias para assegurar a efetividade dos controles internos. Integra o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD e, dentre outras atividades, é responsável pela gestão das melhorias e suporte do sistema de informação contábil da Fetranspor, em consonância com as diretrizes de segurança da informação.

j) Desenvolvimento Organizacional: deve apoiar a área de Segurança da Informação nos treinamentos de conscientização das diretrizes da PSI aos colaboradores, gestores, agentes de governança e demais partes interessadas por meio de um programa de educação continuada.

k) Diretoria Financeira e Gestão de Pessoas: deve avaliar/aprovar todas as operações de aquisição de recursos tecnológicos da Fetranspor, bem como apoiar a disseminação dos preceitos da PSI.

l) Grupo de Trabalho de Dados (“GTD”): grupo permanente responsável por apoiar as áreas de negócios nas ações necessárias para adequarem os seus processos aos requerimentos da LGPD.

m) Infraestrutura: responsável por inventariar e assegurar o adequado funcionamento dos recursos tecnológicos (exceto celulares) dentro dos padrões de segurança da informação. É a área responsável pela guarda do Termo de Recebimento e Uso desses ativos.

n) Jurídico: responsável pelo monitoramento das atualizações da legislação em vigor; pelo suporte legal às diretrizes da PSI e demais normativos; por apoiar os agentes de governança na definição e aplicação das sanções ou medidas disciplinares aos indivíduos que violem o Código de Conduta, a PSI e demais normativos corporativos e/ou pratiquem atos ilícitos; por avaliar qualquer opinião legal que requeira um posicionamento da Fetranspor acerca de riscos, quando demandada por quaisquer partes interessadas; por solicitar a assinatura (eletrônica ou manual) dos Termos de Aceite da Política de Segurança da Informação (ANEXOS I e II) pelos agentes públicos, PEP e agentes de governança (exceto diretores e presidente), quando qualificados como usuários, bem como zelar pela guarda destes e por realizar a inclusão de cláusulas contratuais que prevejam a divulgação, o conhecimento e o aceite pelas partes interessadas sobre os preceitos da PSI nos contratos que especificamente permitam acesso a terceiros aos recursos tecnológicos de propriedade ou sob custódia da Fetranspor. Integra o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD.

o) Operações (da RioCard TI): responsável pela gestão técnica do Sistema de Bilhetagem Eletrônica, incluindo as parametrizações das regras definidas pelas áreas de negócios, monitoramento dos recursos e serviços de infraestrutura, de acordo com os padrões de segurança da informação.

p) Presidência e Diretorias: são responsáveis por administrar os ativos e executar as diretrizes do planejamento estratégico da Fetranspor aprovadas pelo Conselho de Gestão e Assembleia Geral de Representantes dos Sindicatos. Devem assegurar que o conteúdo desta Política alcance a todos que tenham qualquer tipo de relação com a Fetranspor, zelando pelo cumprimento das regras e inserção da cultura de integridade embasada nos valores organizacionais e seus reflexos nos processos das áreas de negócios sob sua estrutura organizacional.

q) Projetos (da RioCard TI): responsável por realizar a gestão dos projetos definidos pelas áreas de negócios e técnicas, providos/adquiridos pela RioCard TI, além de desenhar os requisitos funcionais junto a essas áreas. Também realiza a homologação dos sistemas e aplicações dentro dos padrões de segurança da informação.

r) Relações de Trabalho: responsável por solicitar a assinatura (manual ou 8 eletrônica), guardar os Termos de Aceite da Política de Segurança da Informação dos colaboradores, gestores, diretores e presidente, bem como iniciar a solicitação de bloqueio ou revogação de acessos dos usuários aos recursos tecnológicos em casos de desligamentos e licenças (superior a 15 dias).

s) Segurança da Informação: deve apoiar o compliance officer no planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, no que concerne ao escopo digital da Fetranspor, atuando na revisão de processos das áreas de negócios, identificando e monitorando ações mitigadoras de riscos de segurança da informação, dentre outras atividades necessárias para assegurar a confidencialidade, a integridade e a disponibilidade das informações contidas nos recursos tecnológicos. Em relação à PSI, além de ser a área responsável por elaborar os normativos de segurança da informação, deve:
i. elaborar o planejamento estratégico de segurança da informação da Fetranspor, propor as metodologias e operacionalizar os processos de segurança da informação (ex.: gestão de acessos, classificação da informação, gestão de continuidade dos negócios, etc.);
ii. implantar, monitorar e divulgar aos agentes de governança as métricas de segurança da informação;
iii. identificar e acompanhar as vulnerabilidades sistêmicas e necessidades de investimento em tecnologia para garantir a segurança da informação;
iv. gerir os riscos de segurança da informação e recomendar os requisitos de controle;
v. definir, juntamente com a área de Infraestrutura, as regras para instalação, utilização e remoção de softwares e de hardwares em ambiente de produção corporativo;
vi. definir os padrões de segurança da informação para todos os recursos tecnológicos da Fetranspor;
vii. identificar os requerimentos de segurança para as demandas solicitadas pelas áreas de negócios, inclusive para novos sistemas ou serviços;
viii. promover a conscientização dos colaboradores, gestores, agentes de governança e demais partes interessadas quanto ao tema de segurança da informação, mediante campanhas de endomarketing, palestras e treinamentos;
ix. integrar o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD.
x. analisar, acompanhar os incidentes de segurança da informação e divulgar, principalmente os significativos, aos agentes de governança, ao auditor interno e aos membros do Comitê de Integridade e Conformidade, para fins de acompanhamento destes e atualização da matriz de risco integrada às áreas de negócios de tecnologia e segurança da informação.
xi. estimular os usuários a registrar suas dúvidas sobre as diretrizes da PSI e dos normativos de segurança da informação, bem como denunciar atos ilícitos e/ou condutas que violem as diretrizes do Código de Conduta, da PSI e demais normativos corporativos no canal VOZ ATIVA, com o objetivo de se iniciar um processo investigatório.
xii. apoiar o Comitê de Integridade e Conformidade na apuração das denúncias de atos ilícitos e/ou condutas que violem as diretrizes do Código de Conduta, da PSI e demais normativos corporativos. t) Sistemas (da RioCard TI): área responsável por criar, desenvolver e manter todos os sistemas e aplicações dentro dos padrões de segurança da informação. u) Suprimentos: deve zelar para que os contratos e/ou propostas firmados com fornecedores, que tenham acesso como usuários/custodiantes aos recursos tecnológicos de propriedade ou sob custódia da Fetranspor, assumam o compromisso de aderir às diretrizes desta PSI, da LGPD e demais legislações vigentes.

6. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

6.1. A Fetranspor adota os seguintes princípios de segurança da informação para salvaguardar as informações e os recursos tecnológicos de sua propriedade ou sob sua custódia, tais como:
• Confidencialidade: assegura que a informação não esteja disponível ou não seja revelada a pessoa física, sistema, órgão ou a entidade não autorizada nem credenciada.
• Integridade: assegura que a informação contida nos recursos tecnológicos não foi modificada de forma indevida ou destruída de maneira não autorizada, seja intencional ou acidental.
• Disponibilidade: assegura que a informação esteja acessível, em condições de uso por usuários ou custodiantes autorizados.

7. DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

i. Todos os usuários/custodiantes devem estar atentos à utilização segura e adequada dos recursos tecnológicos corporativos; logo, devem zelar pelo cumprimento da legislação vigente e demais normativos de segurança da informação.

ii. Informações produzidas, mantidas ou obtidas no âmbito da Fetranspor devem ser utilizadas exclusivamente para fins profissionais, visando atender aos interesses corporativos; portanto, não devem ser divulgadas ou compartilhadas sem autorização.

iii. Não é permitido o uso de recursos tecnológicos privados para tratar informações de propriedade ou sob custódia da Fetranspor, que devem circular em ambientes computacionais seguros e sob seu controle. Quaisquer aplicativos, principalmente os conectados com as redes sociais, utilizados nos ativos privados, não devem conter informações de natureza profissional, uma vez que, podem expor a Fetranspor a vulnerabilidades sistêmicas que podem resultar em incidentes de segurança da informação.

iv. É expressamente proibido o uso, acesso, arquivamento e divulgação de material discriminatório, pornográfico, malicioso, obsceno, ofensivo, ilegal ou que viole os preceitos estabelecidos no Código de Conduta, PSI, demais normativos corporativos e legislação vigente.

v. À Fetranspor reserva-se o direito de monitorar ou auditar, sem aviso prévio, o uso dos recursos tecnológicos de sua propriedade ou sob sua custódia, bem 11 como as informações armazenadas em disco local, na rede corporativa e nos drives corporativos em nuvem.

vi. Cabe aos colaboradores, gestores e agentes de governança cooperarem ativamente com quaisquer demandas fiscalizatórias e auditorias, sempre que for necessário. No caso de exigência judicial, requerimento de órgão fiscalizador competente, auditoria e/ou demandas investigatórias endereçadas por meio do canal de denúncia e diálogo VOZ ATIVA, os resultados das inspeções podem ser divulgados aos interessados sem aviso prévio.

vii. Não é permitida a transferência e/ou a divulgação de qualquer software, programa, aplicativo, código, chave criptográfica ou extrações de banco de dados sem a análise e a aprovação do responsável pela área de Segurança da Informação.

viii. Todos os usuários/custodiantes devem zelar pelo uso adequado dos recursos tecnológicos de propriedade ou sob custódia da Fetranspor e pela proteção das informações neles contidas; portanto, devem estar absolutamente seguros quanto à divulgação, tratamento, uso ou descarte destes. Antes de efetuar ações que possam resultar em dano potencial para a Fetranspor, devem consultar o Código de Conduta, PSI, demais normativos corporativos e a legislação em vigor, a fim de certificar-se de que a atividade é lícita e segura. A ausência de normativos não eximirá o usuário/custodiante da culpabilidade por infrações.

ix. Cabe a todos os usuários/custodiantes comunicarem imediatamente à área de Segurança da Informação os riscos de segurança da informação em quaisquer processos sob suas responsabilidades, que se forem significativos, os submeterá, aos agentes de governança para o planejamento e execução das ações necessárias para mitigá-los.

x. Devem ser estabelecidos processos preventivos de monitoramento periódico pela área de Segurança da Informação e/ou auditorias nos recursos tecnológicos, cujos logs devem ser rastreáveis e protegidos para prevenir o uso impróprio ou o comprometimento dos dados.

7.1. CLASSIFICAÇÃO E TRATAMENTO DA INFORMAÇÃO

7.1.1. A informação tratada pela Fetranspor, seja própria ou de demais partes interessadas, deve ser classificada sob a perspectiva de níveis de confidencialidade, de forma a assegurar a sua proteção durante o seu ciclo de 12 vida, desde a criação até o descarte. Quanto maior o nível de confidencialidade, maior necessidade de controles preventivos.

7.1.2. Toda informação criada, recebida ou alterada deve possuir um proprietário que será o responsável por classificá-la conforme o critério apresentado na PSI.

7.1.3. A informação deve ser classificada conforme as seguintes categorias abaixo: Tipo de classificação Característica Sigilosa Informação de interesse da Fetranspor, restrita aos colaboradores, gestores e agentes de governança previamente autorizados. Restrita Informação de interesse exclusivo de uma ou mais áreas de negócios que, pela natureza da função que exercem, são obrigados a conhecê-las. Interna Informação disponibilizada a todas as áreas de negócios do âmbito interno da Fetranspor. Pública Informação que pode ser divulgada a todas as partes interessadas. (*) Todas as informações requerem controle de perfis de acesso, pela área de Segurança da Informação.

7.1.4. A divulgação de informações para as partes interessadas na Fetranspor como por exemplo, consultorias, auditorias, imprensa, governo e por solicitação de ordem judicial, deve estar pautada no interesse da Fetranspor, no exercício de suas atividades e classificada segundo o critério de confidencialidade apropriado.

7.1.5. Cláusulas de confidencialidade devem ser previstas nos contratos firmados com os colaboradores, gestores, agentes de governança e demais partes interessadas na Fetranspor.

7.1.6. Toda informação pública deve ter um tratamento especial quanto à sua apresentação e conteúdo, condicionada à aprovação do presidente ou a quem ele indicar, de modo a não prejudicar a imagem da Fetranspor.

7.1.7. Todas as informações sem a devida classificação devem ser consideradas de uso restrito.

7.1.8. Devem ser realizados os descartes adequados das mídias digitais (através da destruição das informações, de tal forma que se tornem irrecuperáveis) e das mídias impressas (através da fragmentação). CONFIDENCIALIDADE (+) (-) CONTROLE (+) (-)

7.2. DIREITO À PRIVACIDADE E PROTEÇÃO DE DADOS

7.2.1. O direito à privacidade dos colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, agentes públicos, PEP e demais partes interessadas nas atividades da Fetranspor é respeitado, mantendo os dados pessoais (sensíveis ou não) protegidos, em conformidade com a LGPD. Devido a isso, a Fetranspor somente requer, obtém, trata, usa e armazena dados pessoais à medida que são necessários à gestão dos negócios.

7.2.2. Os dados pessoais (sensíveis ou não) ou um conjunto de informações distintas que possam identificar ou discriminar uma pessoa física são sigilosos.

7.2.3. O tratamento dos dados pessoais é permitido somente nas seguintes situações: a) se houver consentimento expresso do titular do dado; b) para execução de contratos; c) se decorrer de exigências legais e/ou regulatórias; d) para proteção da vida ou da incolumidade física do titular ou de terceiros; e) para proteção ao crédito, exceto quando tratar-se de dado pessoal sensível; f) para atender interesse legítimo do controlador do dado ou de terceiros, exceto quando tratar-se de dado pessoal sensível; g) garantia da prevenção à fraude e segurança do titular, quando tratar-se de dado pessoal sensível; h) realização de estudos por órgão de pesquisa; i) exercício regular de direitos em processos judiciais e administrativos; j) tutela da saúde; ou k) pela administração pública, quando da execução de políticas públicas.

7.2.4. Obrigações relativas à proteção de dados pessoais e dados pessoais sensíveis devem ser tratadas com cautela e sigilo por todos os indivíduos no exercício de suas atividades profissionais (independentemente de a quem pertençam, como foram obtidos ou onde são armazenados), em conformidade com os normativos específicos, obrigações contratuais e legislações em vigor.

7.2.5. Para estar em conformidade com a LGPD, a Fetranspor deve: a) considerar questões de proteção de dados pessoais (sensíveis ou não) como parte dos projetos (ex.: biometria, interoperabilidade, implementação de sistemas de informação, etc.);  b) tornar a proteção de dados (sensíveis ou não) um componente essencial da funcionalidade principal dos recursos tecnológicos de forma a proteger as informações de propriedade ou sob custódia da Fetranspor; c) antecipar riscos e eventos invasivos de privacidade antes que eles ocorram e tomar medidas para evitar danos aos usuários/custodiantes e à Fetranspor; d) solicitar e tratar dados pessoais que sejam estritamente essenciais ao(s) objetivo(s) da Fetranspor; e) assegurar que os dados pessoais sejam utilizados exclusivamente para os fins informados previamente ao titular; f) incluir nos contratos firmados com terceiros conceituados como partes interessadas, independentemente de terem ou não acesso a dados pessoais e/ou dados pessoais sensíveis, cláusulas de confidencialidade que protejam a Fetranspor em relação à responsabilidade solidária e subsidiária quanto à divulgação destes, em conformidade com a LGPD.

7.2.6. As principais considerações sobre privacidade de dados pessoais (sensíveis ou não) devem ser incorporadas às ações, metodologias e controles, de acordo com a gestão de riscos de cada área de negócios e/ou projetos visando: a) identificar previamente as vulnerabilidades sistêmicas e os riscos de inconformidades perante à LGPD, através de diagnóstico de inventário de dados, que deve ser atualizado periodicamente pelos gestores das áreas de negócios; b) conscientizar todos os usuários/custodiantes dos recursos tecnológicos sobre as diretrizes da LGPD, visando à proteção de dados pessoais (sensíveis ou não); c) cumprir com as obrigações legais e diretrizes de segurança da informação e demais normativos corporativos que versem sobre a privacidade de dados; d) implantar controles eficazes para mitigar os riscos de incidentes de segurança.

7.2.7. Visando suportar as áreas de negócios na adequação e avaliação dos impactos relativos à LGPD, foi instituído pela Fetranspor um Grupo de Trabalho de Dados, com a participação das áreas: Jurídica, Controles Internos e Riscos e Segurança da Informação.

7.3. SEGURANÇA NAS DEPENDÊNCIAS CORPORATIVAS

7.3.1.O acesso físico às dependências da Fetranspor deve ser controlado e restrito apenas às pessoas físicas autorizadas, de forma a evitar possíveis danos aos recursos tecnológicos e/ou às informações neles contidas. 15

7.3.2.A utilização do crachá por colaboradores, gestores, agentes de governança e demais partes interessadas que transitem pelas dependências da Fetranspor é obrigatória. Caso seja identificada pessoa física sem a devida identificação, deve ser comunicada imediatamente à área Administrativa, responsável pela segurança patrimonial da Fetranspor.

7.3.3.A ocorrência de atos de furto, roubo ou desvio de recursos tecnológicos ou vazamentos de informações, de propriedade ou sob custódia da Fetranspor, deve ser registrada no VOZ ATIVA e imediatamente comunicada à área de Segurança da Informação, para a tomada de medidas emergenciais cabíveis. 7.3.4. Medidas preventivas devem ser estendidas ao ambiente de trabalho de forma a orientar os usuários/custodiantes a zelarem por suas estações de trabalho, uso adequado dos crachás de identificação, utilização de senhas seguras e a responsabilidade socioambiental na baixa de ativos e/ou adequado descarte de suas informações.

7.3.5.Nenhum colaborador, gestor ou agente de governança deve permitir a entrada de pessoas não autorizadas nas dependências da Fetranspor. Em casos de atendimento a agentes públicos, no exercício de suas funções, devidamente amparados por ordem judicial, o acesso às dependências da Fetranspor é permitido, mas devem ser preferencialmente acompanhados pelo responsável da área Jurídica.

7.4. SEGURANÇA NA GESTÃO DE PESSOAS E TERCEIROS

7.4.1.O novo colaborador, gestor, agentes de governança ou demais partes interessadas que utilizarem recursos tecnológicos, devem receber orientação sobre a PSI e demais normativos de segurança da informação, bem como devem estar de acordo com o Termo de Recebimento e Uso. Os treinamentos de conscientização sobre o tema devem ser periodicamente ministrados pela área de Segurança da Informação, com o suporte da área de Desenvolvimento Organizacional.

7.4.2. Em situações onde haja a necessidade de bloqueio e/ou revogação de acesso dos usuários/custodiantes dos recursos tecnológicos (ex.: desligamentos e licenças, (superior 15 dias), cabe ao superior imediato e à área de Relações do Trabalho, definirem previamente o momento de solicitação do bloqueio e/ou revogação junto às áreas de negócios envolvidas neste processo. Esse procedimento precisa 16 ser realizado indistintamente para todos os colaboradores, gestores e agentes de governança, respeitando o valor organizacional da equidade.

7.4.3.Os bloqueios devem ser implementados tempestivamente, evitandose expor a Fetranspor a riscos trabalhistas, criminais, civis, cibernéticos, reputacionais, dentre outros.

7.4.4. Em caso de desligamento, cabe a área de Infraestrutura (no âmbito dos computadores e periféricos) e a área Administrativa (no âmbito dos celulares) assegurarem, no momento de comunicação da dispensa pela área de Relações de Trabalho, a coleta dos recursos tecnológicos e o tratamento das informações neles contidas.

7.4.5. Em relações contratuais com demais partes interessadas externas ao ambiente corporativo (ex.: fornecedores, clientes, etc.), cabe ao responsável pela área contratante solicitar a coleta dos recursos tecnológicos à disposição de terceiros, à área Administrativa e de Infraestrutura para a tomada de medidas necessárias à segurança das informações e proteção destes ativos.

7.5. CONTROLE PATRIMONIAL

7.5.1. Os recursos tecnológicos devem ser preservados, protegidos e gerenciados adequadamente, evitando-se o tratamento inadequado e/ou o desperdício destes ativos. Devem ser identificados imediatamente, no momento de entrada nas dependências da Fetranspor, por meio de plaqueta de controle patrimonial ou número serial ou controle equiparável, pelo responsável pela área de negócio ou por solicitação deste, às áreas de Infraestrutura (no âmbito dos computadores e periféricos) e Administrativa (no âmbito dos celulares). As plaquetas de controle patrimonial são disponibilizadas pela área de Controladoria.

7.5.2. Cabe à área de Infraestrutura e à área Administrativa realizarem o controle físico e a guarda do Termo de Recebimento e Uso dos recursos tecnológicos de propriedade ou sob custódia da Fetranspor.

7.5.3. Cabe à área de Controladoria assegurar a contabilização das aquisições, movimentações e baixas dos recursos tecnológicos, bem como manter o registro destes ativos e suas respectivas receitas/despesas associadas no sistema de informação contábil e de controle patrimonial (por meio da plaqueta de controle patrimonial e/ou do número serial).

7.6. CONTROLE DE ACESSO LÓGICO

7.6.1.Os usuários/custodiantes devem ter acesso apenas aos recursos tecnológicos imprescindíveis para o exercício das suas atividades profissionais no ambiente corporativo. Seus acessos devem ser avaliados pela área de Segurança da Informação, que os concederá de acordo com o nível de classificação de confidencialidade das informações que podem ter acesso segundo suas responsabilidades e atividades profissionais.

7.6.2. Cada usuário deve possuir credenciais (username) que permitam acesso lógico somente aos recursos tecnológicos imprescindíveis para o exercício de suas funções.

7.6.3.O acesso lógico deve estar amparado por senhas seguras e fortes, além de ser rastreável, através de logs, a fim de certificar que as ações identifiquem individualmente o usuário e o responsabilize, eventualmente, por possíveis incidentes de segurança.

7.6.4.As senhas não devem ser compartilhadas, tampouco anotadas, de forma que possam tornar-se públicas.

7.6.5.Não é permitido o uso de contas de acesso privilegiadas para as atividades do dia a dia. Devem ser utilizadas somente para a execução de atividades específicas que demandem tal acesso.

7.6.6.Não é permitida a utilização de contas genéricas, uma vez que não é possível identificar os usuários que as utilizam.

7.6.7.As contas sistêmicas devem ser de uso exclusivo das aplicações/sistemas, não podendo ser utilizadas por nenhum usuário.

7.6.8.A área de Segurança da Informação deve estabelecer controles de acesso lógico para todos os usuários dos recursos tecnológicos.

7.6.9. Para elevar o nível de segurança, a criação, concessão e revogação de acessos lógicos de usuários aos recursos tecnológicos de propriedade ou sob custódia da Fetranspor, competem à área de Segurança da Informação e só podem ser realizadas conforme sua orientação.

7.6.10. Os gestores, diretores ou presidente, são responsáveis, em conjunto com a área de Segurança da Informação, pela revisão periódica dos acessos 18 lógicos disponibilizados aos usuários sob sua gestão, podendo responder solidariamente por omissão ou negligência, caso haja danos a Fetranspor decorrente de acessos lógicos indevidos.

7.7. SEGURANÇA NA INFRAESTRUTURA

7.7.1.A área de Infraestrutura deve zelar para que os recursos tecnológicos estejam operando dentro dos princípios e diretrizes da PSI e demais normativos de segurança da informação.

7.7.2.Deve ser aplicado pela área de Infraestrutura controles de monitoramento, minimização de falhas, redundância e cópias de segurança de acordo com o nível de confidencialidade, integridade e disponibilidade da informação.

7.7.3.Com o apoio da área de Segurança da Informação, a área de Infraestrutura deve planejar ações preventivas contra riscos de danos aos dados contidos nos recursos tecnológicos, assegurando a proteção desses ativos (ex.: através de garantias, seguros e/ou outras medidas protetivas, etc.), bem como evitar a interrupção de atividades operacionais significativas (ex.: processamento do Sistema de Bilhetagem Eletrônica, funcionamento do data center, etc.).

7.7.4.As redes corporativas devem estar com a estrutura funcional adequada para a proteção, recuperação, modificação, remoção ou destruição dos dados de propriedade ou sob controle da Fetranspor.

7.7.5. A área de Segurança da Informação deve implementar controles de detecção, prevenção e recuperação contra códigos maliciosos e ataques externos.

7.7.6.Documentos imprescindíveis para as atividades profissionais devem ser salvos pelos usuários em drives de rede ou google drive corporativo, amparados por cópias de segurança. Portanto, os arquivos gravados nos computadores e dispositivos móveis não possuem cópia de segurança e seus dados estão suscetíveis a perdas em caso de falha técnica.

7.7.7.Arquivos privados e/ou não pertinentes ao negócio da Fetranspor (ex.: fotos, músicas, vídeos, etc.) não devem ser copiados/movidos para os recursos tecnológicos de propriedade ou sob custódia da Fetranspor.

7.7.8. Todos os recursos tecnológicos de propriedade ou sob custódia da Fetranspor estão suscetíveis a monitoramentos e/ou inspeções periódicas, sem aviso prévio, ainda que contenham dados privados, pois o propósito é assegurar seu funcionamento dentro dos padrões de segurança da informação.

7.7.9.Os dados contidos em arquivos, extraídos de banco de dados corporativos, cujo tratamento posterior seja manual e suscetível a modificações pelos usuários devem ser salvos na rede corporativa, que deve estar protegida pela adequada gestão de acessos. Adicionalmente, esses arquivos devem possuir controles preventivos (ex.: criptografia, procedimentos de hash, segregação de funções de edição/aprovação de informações contidas nos arquivos, etc.) que protejam seus dados. Essa responsabilidade cabe ao gestor responsável por esta etapa do processo, que deve buscar soluções técnicas junto às áreas de Segurança da Informação e de Infraestrutura.

7.7.10. Os sistemas operacionais e aplicativos devem estar com as últimas atualizações e correções de segurança especificadas pelo fabricante.

7.7.11. Instalação, configuração, remoção ou baixa de recursos tecnológicos ou descarte das informações neles contidas devem ser realizados pelas áreas de Infraestrutura e Administrativa, desde que previamente analisados pela área de Segurança da Informação, com a cautela de proteger ou inutilizar as informações de propriedade ou sob custódia da Fetranspor.

7.7.12. Operações de aquisição de recursos tecnológicos requerem aprovação prévia da Diretoria Financeira e de Gestão de Pessoas. A baixa de recursos tecnológicos deve ser submetida à aprovação do diretor executivo em conjunto com o presidente da Fetranspor.

7.8. SEGURANÇA NO DESENVOLVIMENTO E AQUISIÇÃO DE SISTEMAS

7.8.1.Os sistemas desenvolvidos ou adquiridos pela Fetranspor devem conter os atributos de segurança para proteger as informações. Tais atributos devem ser identificados na concepção do sistema.

7.8.2. Mudanças em sistemas e ambientes devem seguir um procedimento formal de controle. Devem ser estabelecidas sistemáticas para controlar todas as mudanças realizadas, de forma a identificar e registrar as modificações.

7.8.3. Procedimentos de homologação de ambientes e a avaliação criteriosa de mudanças devem ser implementados. Os procedimentos de teste devem ser realizados em ambiente segregado e os dados utilizados devem ser específicos para essa finalidade

7.8.4. Programas de testes de aceitação devem ser estabelecidos para novos sistemas, atualizações e novas versões.

7.8.5. Todas as áreas de negócios e técnicas devem ser envolvidas na validação de todas as etapas de planejamento e testes até a definição da solução. As alterações significativas nos sistemas ou aplicações devem ser testadas e validadas também pela área de Segurança da Informação antes de serem liberadas para produção.

7.8.6.Deve haver controles que previnam erros de operação, perda e vazamento de informações. Todo sistema deve ter especificação técnica e funcional (com detalhes de todas as suas funcionalidades, arquitetura, integrações, etc.).

7.8.7.Deve haver controles criptográficos para proteger a confidencialidade e integridade das informações. É necessária a documentação do uso de chaves criptográficas.

7.8.8.Os códigos-fonte, bibliotecas e artefatos de software devem ser protegidos contra acesso não autorizado, uso impróprio e/ou alteração indevida.

7.8.9. Para casos em que, a realização de mudanças nos sistemas for executada por fornecedores terceirizados, em seus contratos deverão constar cláusulas de confidencialidade que os obriguem a cumprir com as diretrizes do Código de Conduta, PSI e demais normativos corporativos e os requisitos da LGPD.

7.9. CONTINUIDADE DOS NEGÓCIOS

7.9.1.De forma a promover a continuidade do negócio, os processos vitais devem ser conhecidos, suas operações mantidas (mesmo em situações de crise) e seus riscos mensurados e submetidos formalmente pelos gestores aos agentes de governança, para fins de tomada de decisão quanto ao apetite e tolerância ao risco a ser assumido pela Fetranspor. O risco pode ser controlado, transferido ou eliminado, dependendo das ações mitigadoras a serem aprovadas e adequadamente implementadas por cada área de negócios.

7.9.2. Planos de contingência contra ameaças internas e externas em eventual crise devem contemplar a possibilidade de recuperação dos dados e do estado operacional dos recursos tecnológicos. Devem ser implantados e testados, visando reduzir riscos de indisponibilidade destes, principalmente os que forem significativos para os objetivos estratégicos da Fetranspor.

7.9.3. Todos os planos de contingência devem passar por testes anuais e/ou com periodicidade inferior, a fim de verificar sua funcionalidade e correção de eventuais desvios, sendo os mesmos formalmente registrados pela área de Segurança da Informação.

7.10. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

7.10.1. Os usuários/custodiantes dos recursos tecnológicos devem, sempre que tomarem conhecimento de vulnerabilidades sistêmicas, incidentes de segurança e/ou indícios de comprometimento desses ativos, registrar seu relato, com todas as evidências possíveis, no canal de denúncias e diálogo VOZ ATIVA, bem como acompanhar sua evolução até a conclusão das investigações.

7.10.2. Todos os incidentes de segurança da informação devem ser investigados, contidos e tratados pela área de Segurança da Informação, em conjunto com as áreas pertinentes.

7.11. CANAL DE DENÚNCIA E DIÁLOGO

7.11.1. A Fetranspor possui um canal denominado VOZ ATIVA, que constitui um meio de comunicação formal de denúncias e/ou dúvidas relacionadas ao Programa de Integridade e Conformidade, acessível a todas as partes interessadas do Sistema Fetranspor.

7.11.2. O VOZ ATIVA pode ser acessado por meio da intranet (Portal da Mobilidade do Sistema Fetranspor), no site da Fetranspor ou, ainda, através dos seguintes meios de comunicação:
• site: http://www.canalconfidencial.com.br/vozativa;
• telefone: 0800 741 0003 (atendimento de segunda a sábado, das 12h às 22h);
• e-mail: vozativa@canalconfidencial.com.br;
• caixa postal: 521 CEP 06320-971. 22 7.11.3. Estimulamos a denúncia de atitudes contrárias aos preceitos estabelecidos no Código de Conduta, PSI e demais normativos corporativos, bem como atos de corrupção, fraudes (ex.: operacionais, contratuais, financeiras e/ou contábeis), incidentes de segurança, omissões, mau uso de ativos, discriminação de qualquer natureza, entre outros, desde que devidamente fundamentados.

7.11.4. O VOZ ATIVA é administrado por empresa independente e garante o sigilo e confidencialidade de seus denunciantes, permitindo o acompanhamento da evolução da investigação, de forma anônima e imparcial, por meio do número de protocolo.

7.11.5. Tem-se por princípio a proibição de retaliação ao denunciante de boa-fé.

7.11.6. Caso a denúncia seja realizada de má-fé, as medidas disciplinares serão revertidas ao denunciante, por estarem em desacordo com os valores organizacionais. Entretanto, é de suma importância que o denunciante guarde sigilo da própria denúncia, evitando comentá-la com terceiros, uma vez que isso prejudica todo o processo investigatório.

7.11.7. Cabe aos membros do Comitê de Integridade e Conformidade acompanhar o processo investigatório de apuração das denúncias, avaliar as conclusões, recomendar a aplicação de sanções ou medidas disciplinares e demandar ao compliance officer que seja dado ao denunciante ciência sobre a evolução e/ou encerramento das denúncias registradas no canal VOZ ATIVA. As regras de condução, processamento, remediação dos atos ilícitos ou condutas incompatíveis com as diretrizes do Código de Conduta, PSI e demais normativos corporativos e o reporte das denúncias devem estar definidos em normativos específicos, amparados na legislação em vigor.

7.12. SANÇÕES E/OU MEDIDAS DISCIPLINARES

7.12.1. Cabe aos colaboradores, gestores, agentes de governança e demais partes interessadas da Fetranspor cumprirem as disposições previstas no Código de Conduta, PSI e demais normativos corporativos, assim como sugerirem melhorias.

7.12.2. Os infratores estão sujeitos às sanções ou medidas disciplinares punitivas previstas em contrato, na Legislação Trabalhista, Código Civil e Penal e/ou normativos específicos, que devem ser aplicadas pelo diretor imediato ou 23 pelo presidente, de forma imparcial, com o suporte das áreas Jurídica e Gestão de Pessoas, podendo incluir: treinamento, advertência verbal ou por escrito, suspensão, demissão, sem prejuízo das medidas judiciais cabíveis. Quando houver necessidade de aplicar advertências verbais, é de suma importância que estas medidas sejam realizadas de forma reservada e construtiva, para não atingir a dignidade e autoestima do infrator.

7.12.3. Caso o infrator seja uma parte interessada externa ao ambiente da Fetranspor, serão aplicadas as sanções cabíveis e proporcionais, conforme previsto em contrato ou na legislação em vigor, podendo acarretar na rescisão imediata do respectivo contrato.

7.12.4. Sempre que houver denúncias registradas no canal VOZ ATIVA, cabe aos membros do Comitê de Integridade e Conformidade deliberarem, de forma independente e neutra, sobre as sanções ou medidas disciplinares cabíveis de acordo com o contrato e seus aditivos, valores organizacionais presentes no Código de Conduta, demais normativos corporativos, estatutos sociais e legislações vigentes. Em situações em que o infrator é o presidente ou diretor ou membro do Comitê de Integridade e Conformidade, a apuração deve ser submetida à aprovação no Conselho de Gestão, órgão responsável por aprovar ou destituir profissionais para esta função. Em situações em que o infrator é um membro do Conselho de Gestão, similar julgamento será realizado em Assembleia Geral de Representantes dos Sindicatos. Em situações em que o infrator é um representante da Assembleia Geral de Representantes dos Sindicatos, similar julgamento será realizado pelos demais representantes.

8. INSTÂNCIAS CORPORATIVAS DE APROVAÇÕES

8.1. Esta PSI requer revisão das Diretorias e Presidência para posterior validação dos membros do Comitê de Integridade e Conformidade.

8.2. Recomenda-se, como boas práticas de governança corporativa, submetêla a todas as instâncias responsáveis por sua aprovação, sempre que houver alterações significativas em seu conteúdo. Caso contrário, poderá ser publicada com o propósito de se realizarem pequenos ajustes, ou seja, como atualização de versões.

8.3. A PSI foi aprovada pelos diretores, presidente, membros do Conselho de Gestão da Fetranspor no dia 26/11/2019 e pelos órgãos de governança corporativa superiores.

GLOSSÁRIO

Agente de governança: indivíduo que ocupa um papel de liderança (ex.: diretor, presidente, compliance officer, conselheiro), auditor e qualquer membro dos órgãos envolvidos no sistema de governança corporativa (ex.: membros do Comitê de Integridade e Conformidade, representantes da Assembleia Geral de Representantes de Sindicatos). Os agentes de governança têm influência significativa sobre as decisões estratégicas da Fetranspor.

Agente público: indivíduo que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função na Administração Pública, conforme previsto na Lei de Improbidade Administrativa nº 8.429/1992.

Assembleia Geral de Representantes dos Sindicatos: órgão máximo da Fetranspor, composto de representantes indicados pelos sindicatos de ônibus filiados à Fetranspor, capaz de decidir soberanamente sobre todas as matérias de seu interesse, aprovar o estatuto social e propostas do Conselho de Gestão em relação ao direcionamento estratégico necessário à consecução do seu objeto social, eleger e destituir integrantes do Conselho de Gestão, dentre outras atribuições não incluídas nas atribuições do Conselho de Gestão.

Ativo: compreende bem e direito tangível ou intangível que possua valores econômicos agregados, tais como: caixa, conta corrente bancária, aplicações financeiras, títulos e valores mobiliários, direitos a receber, participações societárias, móveis, imóveis, recursos tecnológicos, informações, conhecimentos (“know-how”), marcas, patentes e outros tipos de propriedade intelectual. Banco de dados: coleção de dados inter-relacionados, representando informações sobre um domínio específico. São coleções organizadas de dados que se relacionam de forma a criar algum sentido (informação) e a dar mais eficiência durante uma consulta ou a geração de informações ou conhecimento.

Baixa de ativos: trata-se de toda forma de descontinuação do ativo para seu propósito operacional no ambiente corporativo, tais como: desmobilização, 28 alienação, distribuição de brindes, doação, cessão gratuita ou por valor residual imaterial de ativos, sucateamento, cessão não onerosa e operações similares na qual seja transferida a propriedade do ativo, etc.

Comitê de Integridade e Conformidade (“CIC”): órgão colegiado e fiscalizador instituído pelo Conselho de Gestão no sistema de governança da Fetranspor, no intuito de assessorar seus membros na implantação do Programa de Integridade e Conformidade. Seus poderes, escopo e composição estão definidos em normativo específico. Colaborador: indivíduo que exerce atividades laborais, subordinado aos cargos de gestão (ex.: jovens aprendizes, estagiários, empregados, autônomos, especialistas) previstos na Consolidação das Leis de Trabalho.

Conselho de Gestão: órgão colegiado de governança corporativa responsável pelo direcionamento estratégico, por aprovação de regimento, estatuto social, orçamento, contratação e destituição de presidente, diretores e auditores; bem como em suas responsabilidades estatutárias manifestam opinião sobre propostas direcionadas à Assembleia Geral de Representantes dos Sindicatos.

Controlador do dado: pessoa jurídica, a quem compete a decisão referente ao tratamento de dados pessoais, ainda que essa atividade seja realizada por um terceiro, solidariamente responsável pela confidencialidade destes dados pessoais.

Correio eletrônico: conta de e-mail. Cópia de segurança: ato de copiar informações em um meio separado do original, de forma a protegê-las. A cópia de segurança (“backup”) é utilizada em caso de perda ou falha no arquivo original.

Crimes cibernéticos (“crimes eletrônicos”, “crimes digitais”, “crimes da informática”): são fraudes eletrônicas ou delitos computacionais criminosos. Referem-se à prática delituosa no meio digital, conforme definido na Lei nº 12.737/2012, resultando em dano, prejuízo ou transtorno à vítima, que pode ser um indivíduo ou uma empresa.

Criptografia: ação de proteção da informação através da transformação em um texto cifrado, com o uso de uma chave criptográfica mediante uso de algoritmo simétrico ou assimétrico, para substituir sinais de linguagem por outros ininteligíveis por pessoas não autorizadas a terem acesso à informação. Somente o detentor da chave criptográfica consegue reverter o texto criptografado de volta à redação original.

Custódia: consiste na responsabilidade de se guardar um ativo para terceiros. A custódia não permite automaticamente o acesso ao ativo e nem o direito de conceder acesso a outras pessoas físicas. Custodiante: é o responsável pela guarda do ativo que, de alguma forma, zela pelo armazenamento, operação, administração, manutenção ou preservação de um ativo que não lhe pertence.

Dado pessoal: é a informação relacionada a uma pessoa natural identificada ou identificável, ou seja, quando é possível a identificação, direta ou indireta, da pessoa natural por trás do dado, como, por exemplo: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e número do título de eleitor), endereço residencial ou comercial, número de telefone, e-mail, cookies, número de cartão de crédito, números de cartões Riocard Mais e endereço IP.

Dado pessoal sensível: é o dado pessoal que possa, de alguma forma, vir a ter um caráter discriminatório, quando vinculado a uma pessoa natural, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a entidades representativas de caráter religioso, filosófico ou político, dado referente à saúde ou orientação sexual, dado genético ou biométrico, opinião sobre entidades de práticas desportivas.

Descarte: eliminação correta de dados, documentos, mídias, acervos digitais e ativos, observando-se sempre a Lei Geral de Proteção de Dados e a responsabilidade socioambiental.

Diligência periódica de pessoa física (“Background Check”): constitui uma avaliação periódica de pessoas físicas, caracterizadas como colaboradores, gestores, agentes de governança, agentes públicos, PEP e seus respectivos parentes ou aparentados por afinidade, que tenham algum tipo de relação profissional com as empresas do Sistema Fetranspor, ocupando cargos de confiança ou funções em áreas estratégicas, com vistas à prevenção de atos ilícitos (tais como corrupção, fraude e lavagem de dinheiro) e mitigação de riscos trabalhistas, financeiros, ambientais, reputacionais, entre outros.

Diligência periódica de pessoa jurídica (“Due Diligence”): constitui uma 30 avaliação periódica de pessoas jurídicas caraterizadas como fornecedores, clientes, conveniados, permissionários e concessionários de transporte público de passageiros, sindicatos de ônibus e demais partes interessadas do Sistema Fetranspor, com vistas à prevenção de atos ilícitos (tais como: corrupção, fraude e lavagem de dinheiro) e mitigação de riscos trabalhistas, financeiros, ambientais, reputacionais, entre outros.

Diretor: refere-se, no conjunto, ao diretor celetista e/ou diretor estatutário ou seus representantes legais. Quando houver referência ao diretor executivo, significa o diretor estatutário. Dispositivo móvel: equipamento portátil dotado de capacidade computacional ou dispositivo removível de memória para armazenamento, entre os quais incluem, não limitando a estes: notebooks, netbooks, celulares, tablets, pendrives, USB drives, HD Externo e cartões de memória.

Fraude: ato ilícito intencional ou de má-fé que visa à obtenção de vantagens indevidas ou ilegais, para si ou para terceiros, geralmente através de falsificações, omissões, furto, sabotagem, suborno, apropriação indébita, inverdades, abuso de poder, quebra de confiança, burla de regras, dentre outros.

Gestão de continuidade dos negócios: processo abrangente de gestão de crise que identifica ameaças potenciais para uma empresa e os possíveis impactos em suas operações, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional capaz de superar crises, salvaguardando os interesses corporativos, a reputação, a marca e, principalmente, as operações significativas e de valor agregado.

Gestão de mudanças: aplicação de um processo estruturado de gerenciamento de mudanças, de modo a aumentar a probabilidade de sucesso e fazer com que estas transcorram com mínimos impactos no ambiente corporativo, visando viabilizar e assegurar a confidencialidade, a integridade e a disponibilidade da informação.

Gestão de riscos: processo de natureza permanente, estabelecido, direcionado e monitorado pelos agentes de governança com o propósito de fornecer segurança razoável quanto à realização de seus objetivos estratégicos. O gerenciamento de riscos contempla a identificação, avaliação e monitoramento dos riscos que possam afetar a organização, de forma a controlá-los, transferilos ou mitigá-los.

Gestão de segurança da informação: ações e métodos que visam à integração das atividades de gestão de riscos, à gestão de continuidade do negócio, ao tratamento de incidentes, ao tratamento da informação, à conformidade, ao credenciamento, à segurança cibernética, à segurança física, à segurança lógica, à segurança dos processos organizacionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação.

Gestor: dirigente que ocupa cargo de confiança para gerir uma ou mais áreas de negócios (ex.: coordenadores, supervisores, líderes de loja e gerentes), alocado (direta ou indiretamente) sob a estrutura de uma Diretoria ou da Presidência responsável pela definição das diretrizes de sua área de atuação.

Governança corporativa: sistema de gestão pelo qual uma empresa é dirigida estrategicamente e monitorada por seus agentes de governança (ex.: Diretoria, Presidência, Comitês ou Órgãos colegiados de liderança e fiscalização) em seu relacionamento com as partes interessadas.

Grupo de Trabalho de Dados (“GTD”): junta técnica permanente de profissionais especializados nas diretrizes da Lei Geral de Proteção de Dados, objetivando suportar as áreas de negócios na adequação de seus processos aos requerimentos legais. É composta pelos colaboradores e gestores responsáveis pelas áreas: Jurídica, Segurança da Informação e Controles Internos e Riscos.

Hash: é uma impressão digital eletrônica que visa garantir a integridade das informações extraídas de sistemas operacionais. O hash é uma sequência de bits gerada por um algoritmo de dispersão unidirecional, capaz de cifrar uma sequência de dados de qualquer tamanho em uma sequência de dados de tamanho fixo, mas que não permite alcançar os dados de origem a partir de um valor de hash, representado em notação hexadecimal, e visualizado através de letras de (A a Z) e números de (0 a 9). O resultado do procedimento de hash tem o propósito de confirmar a integridade dos dados nele contidos; caso contrário, indicará que foram sujeitos às modificações posteriores.

Incidente de segurança: qualquer ato, omissão, coparticipação, colaboração em ações contrárias às diretrizes de segurança da informação, confirmado ou sob suspeita, causado por fatores humanos, tecnológicos ou do ambiente de segurança da informação, que possa resultar em perdas, danos, ameaças, interrupção de operação e/ou comprometimento da confidencialidade, da integridade e da disponibilidade das informações de propriedade ou sob custódia da Fetranspor. São exemplos de incidentes de segurança: concessão de acesso às pessoas não autorizadas perante as diretrizes de segurança da informação, crimes eletrônicos, violação cibernética, invasão, fraude, sabotagem, deleção e/ou modificação intencional de dados com o intuito de prejudicar auditorias e/ou investigações, etc.

Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato. Internet: sistema constituído do conjunto de protocolos lógicos, estruturado em rede global para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais compostos pela interligação de diferentes redes.

Intranet: rede privada, acessível apenas aos usuários autorizados da organização que atende. Utiliza os mesmos recursos e protocolos da internet, mas é comumente separada desta através de firewalls.

Invasão: ato de invadir recurso tecnológico alheio, conectado ou não à rede de computadores, notebooks ou dispositivos móveis, mediante violação indevida de mecanismo de segurança com o intuito de obter, adulterar ou destruir informações sem autorização expressa ou tácita do titular do ativo ou instalar vulnerabilidades para obter vantagem ilícita.

Lavagem de dinheiro: são práticas econômico-financeiras que têm por finalidade dissimular a origem ilícita de determinados ativos, de forma que tais ativos aparentem ter origem lícita.

Log: registro de eventos relevantes em um recurso tecnológico que permite a identificação e a rastreabilidade do procedimento executado pelo usuário autenticado eletronicamente.

Obsolescência: redução do ciclo de vida do recurso tecnológico definido pelo fabricante, podendo ser causado pela depreciação, amortização, desgaste, sucateamento ou desenvolvimento de novas tecnologias.

Parte interessada: é toda pessoa física ou pessoa jurídica envolvida direta ou indiretamente nos projetos, atividades, negócios e operações de uma empresa, tais como: colaboradores, gestores, agentes de governança, financiadores, clientes, fornecedores, conveniados, agentes intermediários, agentes públicos, comunidades, governo, entidades de classe, organizações não-governamentais e demais partes interessadas no Sistema Fetranspor.

Parte relacionada: é toda pessoa física ou pessoa jurídica relacionada ao Sistema Fetranspor que, direta ou indiretamente, por meio de um ou mais intermediários: a) represente ou controle as empresas do Sistema Fetranspor (ex.: Sindicatos das empresas de ônibus, Fetranspor e RioPar); b) seja representada ou controlada por, ou esteja sob o controle comum das empresas do Sistema Fetranspor (ex.: Fetranspor, RioPar e RioCard TI); c) for coligada ou empreendimento controlado em conjunto das empresas do Sistema Fetranspor (ex.: RioTerp, SPTA Holding Transporte Aquaviário Ltda., Barcas S.A. e concessionária do VLT Carioca); d) for um agente de governança das empresas enquadradas nos itens (a), (b) e (c) acima e/ou seus respectivos parentes ou aparentados por afinidade, por terem influência significativa nas diretrizes de governança do Sistema Fetranspor, considerando o seu mercado de atuação; e) for uma controlada, coligada ou empreendimento controlado em conjunto de empresas em que participem os agentes de governança, seus respectivos parentes ou aparentados por afinidade citados no item (d) acima, na medida em que firme contrato ou acordo, de qualquer natureza, com as empresas do Sistema Fetranspor; f) for uma empresa de transporte público coletivo de passageiros, no modal ônibus, que firme contrato ou acordo comercial com as empresas do Sistema Fetranspor, na qualidade de fornecedores, clientes ou conveniados (excetuadas as operações de ressarcimento das transações às operadoras de transporte processadas no Sistema de Bilhetagem Eletrônica); g) toda parte relacionada é considerada parte interessada. Para mais detalhes, consultar CPC.

Perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso lógico.

Pessoa exposta politicamente (“PEP”): refere-se aos agentes públicos que desempenham ou tenham desempenhado, nos últimos cinco anos, no Brasil ou em países, territórios e dependências estrangeiros, cargos, empregos ou funções públicas relevantes em autarquias, fundações públicas, empresas públicas ou sociedades de economia mista, conforme previsto na Resolução nº 29/2017. O conceito abrange os representantes, parentes e aparentados por afinidade dos agentes públicos considerados PEP. No caso de estrangeiros, são considerados PEP aqueles que exercem ou exerceram, nos últimos cinco anos, importantes funções públicas em um país estrangeiro, tais como: chefes de estado e de governo, políticos 34 de alto nível, altos servidores dos poderes públicos, magistrados ou militares de alto nível, dirigentes de empresas públicas ou dirigentes de partidos políticos.

Política de Segurança da Informação (“PSI”): é o normativo corporativo que regula as diretrizes gerais sobre a segurança das informações perante o uso dos recursos tecnológicos da Fetranspor ou de terceiros sob sua custódia. É a regra guardiã primária dos princípios de segurança da informação.

Presidente: é o nível máximo de gestão executiva da Fetranspor, com responsabilidade estatutária para executar suas diretrizes estratégicas.

Programa de Integridade e Conformidade: conjunto de mecanismos e procedimentos internos baseado na aderência às leis, regulamentos e instrumentos normativos, com o objetivo de disseminar uma cultura baseada nos valores organizacionais, gestão integrada de riscos e melhoria dos controles internos.

Procedimento de hash: o procedimento de hash é o resultado do cálculo aplicado a uma determinada quantidade de dados (sequência de bits gerada por um algoritmo de dispersão unidirecional), muito utilizado como uma garantia de integridade destes (ex.: validação de assinaturas eletrônicas), visto que o resultado é, em tese único, sendo então utilizado como um mecanismo identificador da integridade desta quantidade de dados, representando a unicidade de arquivos digitais ou sequência das informações. Caso tenha algum bit do hash alterado, o valor do hash não coincidirá com o original, denotando manipulação de informações.

Recurso tecnológico: são ativos e direitos tangíveis ou intangíveis, de natureza tecnológica, utilizados como meios de armazenamento, processamento, comunicação, transmissão de dados e/ou voz. Os recursos tecnológicos tangíveis possuem uma forma física, tais como: equipamentos, máquinas, hardwares, notebooks, computadores, acessórios de conectividade, dispositivos móveis, etc. Os recursos tecnológicos intangíveis carecem de forma física, tais como: softwares, patentes, conhecimentos (“know-how”) ou outros tipos de propriedade intelectual. Rede social: estrutura social composta por pessoas ou empresas, conectadas eletronicamente por um ou vários tipos de relações, que compartilham valores e objetivos. Atualmente, as redes sociais mais comuns no Brasil são: Facebook, WhatsApp, YouTube, Instagram, Twitter, LinkedIn, Pinterest, Google+, Snapchat, dentre outras usadas globalmente.

Sabotagem: destruição ou inutilização voluntária de recursos tecnológicos ou de informações de propriedade ou sob custódia da Fetranspor, com o objetivo de prejudicar o curso normal de uma atividade. Significativo/a: refere-se a algo relevante, material em termos de valor, impactante, que traga exposição a riscos médio, alto ou crítico ou que possa influenciar a tomada de decisão pelos gestores e agentes de governança.

Sistema de Bilhetagem Eletrônica: trata-se do sistema que processa todas as transações de mobilidade do estado do Rio de Janeiro, cuja propriedade é da Fetranspor. O processamento da bilhetagem eletrônica é realizado pela RioCard TI. Sistema Fetranspor: abrange a Fetranspor e suas controladas RioPar e RioCard TI. Software: recursos tecnológicos, tais como aplicativos ou programas de computador que funcionam através de um sistema computacional.

Termo de Aceite da Política de Segurança da Informação (“Termo de Aceite da PSI”): acordo assinado pelos usuários/custodiantes dos recursos tecnológicos, pelo qual se comprometem em conhecer e cumprir as diretrizes da PSI e demais normativos corporativos que regulamenta, de forma específica, as melhores práticas de segurança da informação.

Termo de Recebimento e Uso: acordo assinado pelos usuários/custodiantes dos recursos tecnológicos com a lista dos ativos e acessórios disponibilizados para uso em suas atividades profissionais, no qual fica registrado seu compromisso de proteger, manter e conservá-los. Titular do dado: pessoa física a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento de dado/informação: conjunto de ações referentes à produção, recepção, classificação, utilização, modificação, processamento, acesso, reprodução, comunicação, divulgação, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação, transferência, cessão, extração ou controle da informação.

Usuário: é o indivíduo que possui autorização de acesso aos recursos tecnológicos de propriedade ou sob custódia da Fetranspor para execução de suas atividades profissionais.

Violação eletrônica: incidente de segurança intencionalmente causado por um indivíduo, seja interno ou externo. Vulnerabilidade sistêmica: condição de fragilidade sistêmica que quando exposta a um especialista cibernético de má-fé, pode resultar em incidentes de segurança e causar danos significativos à determinada empresa ou a terceiros.

MENSAGEM DO PRESIDENTE

O Código de Conduta da Federação das Empresas de Transportes de Passageiros do Estado do Rio de Janeiro (“Fetranspor”) reflete a nossa responsabilidade com a integridade e a transparência na busca dos objetivos do Sistema Fetranspor. Este Código enquadra-se perfeitamente no compromisso da Fetranspor com a prevenção e o combate à fraude, corrupção e lavagem de dinheiro, bem como com a proteção à privacidade e aos dados pessoais, e encontra-se em consonância com os princípios que norteiam os valores organizacionais: integridade e conformidade, transparência, equidade, responsabilidade corporativa, excelência com agilidade e simplicidade, inovação e representatividade. Nesse sentido, o Código de Conduta apresenta um conjunto de diretrizes que deve nortear a atuação de todos que fazem parte do Sistema Fetranspor: colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público, agentes públicos, pessoas expostas politicamente (“PEP”); enfim, todas as pessoas ou empresas com as quais temos algum tipo de relacionamento. Nossos valores refletem nossos princípios! É um privilégio, portanto, apresentar-lhes o Código de Conduta que constitui a reafirmação do nosso compromisso com os valores e princípios que sustentam a condução dos nossos negócios, mirando um futuro transparente, eficaz e altamente comprometido com a melhoria da mobilidade urbana do estado do Rio de Janeiro. Agradecemos o empenho de todos no pleno entendimento e observância às diretrizes aqui estabelecidas.

Armando Guerra Presidente Executivo da Fetranspor

ÍNDICE

1. OBJETIVO

2. ABRANGÊNCIA

3. DOCUMENTOS DE REFERÊNCIA

4. VIGÊNCIA

5. RESPONSABILIDADES

6. VALORES ORGANIZACIONAIS

7. DIRETRIZES DO CÓDIGO DE CONDUTA

8. INSTÂNCIAS CORPORATIVAS DE APROVAÇÕES

1. OBJETIVO

1.1. A finalidade deste Código de Conduta (“Código”) é servir como um guia prático de conduta pessoal, profissional e demais formas de compromissos e relacionamentos externos, em suas interações e decisões diárias, tornando explícitos os valores organizacionais.

2. ABRANGÊNCIA

2.1. Este Código aplica-se a todos os colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, agentes públicos, pessoas expostas politicamente e demais partes interessadas nos negócios da Federação das Empresas de Transportes de Passageiros do Estado do Rio de Janeiro (“Fetranspor”).

2.2. Suas diretrizes estão embasadas na visão, missão e no mercado de atuação da Fetranspor. Nesse contexto, as diretrizes são:

• VISÃO: ser referência como organização atuante no fortalecimento do sistema de transporte público coletivo de passageiros;

• MISSÃO: promover o uso do transporte público coletivo e o desenvolvimento das empresas associadas em todos os níveis, objetivando a sustentabilidade dos negócios e excelência no atendimento aos clientes;

• ATUAÇÃO: representar os sindicatos das empresas de ônibus do estado do Rio de Janeiro, contribuindo para a melhoria da mobilidade urbana, visando ao aprimoramento do sistema de transporte de passageiros e à prestação de serviços e suporte às empresas de transporte e clientes, facilitando o acesso ao transporte público coletivo de passageiros.

2.3. Quaisquer diretrizes estabelecidas neste Código não se sobrepõem às legislações em vigor e se complementam às definições previstas no estatuto social da Fetranspor.

3. DOCUMENTOS DE REFERÊNCIA
• Estatuto social da Fetranspor.
• Lei nº13.709/2018 (“Lei Geral de Proteção de Dados ou LGPD”).
• Comitê de Pronunciamentos Contábeis CPC 05(R1)/2010 – Divulgação sobre Partes Relacionadas (“CPC 05”).
•Regimento interno do Comitê de Integridade e Conformidade do Sistema Fetranspor.
• Glossário corporativo, disponibilizado no portal da Fetranspor e intranet do Sistema Fetranspor.

4. VIGÊNCIA

4.1. Este Código entra em vigor a partir da data de sua publicação. A revisão deverá ser realizada em até 2 (dois) anos, contado da data de sua efetiva aprovação, ou sempre que o responsável pela área de Gestão de Pessoas julgar necessário.

5. RESPONSABILIDADES

5.1. Todas as partes interessadas nos negócios da Fetranspor são responsáveis por zelar e cumprir com os preceitos deste Código para realização das atividades profissionais, preservando a sua integridade e a de seus colegas, interna e externamente. É importante que todos o compreendam e o utilizem em suas atividades diárias, comunicando, diretamente ao seu superior hierárquico ou através do canal de denúncia e diálogo VOZ ATIVA, situações que possam caracterizar uma violação deste Código ou a prática de atividades ilícitas, zelando pela credibilidade e transparência da sua relação contratual com a Fetranspor. Além disso, o canal VOZ ATIVA pode também ser usado como ferramenta formal de registro de dúvidas de integridade e conformidade, acessível a todas as partes interessadas.

5.2. Algumas áreas ou órgãos de governança corporativa do Sistema Fetranspor têm atribuições adicionais perante as diretrizes deste Código, tais como: a) Assembleia Geral de Representantes de Sindicatos: seus representantes são responsáveis pela deliberação de assuntos que não estejam contemplados nas alçadas do Conselho de Gestão.

b) Auditoria Interna: é responsável por assessorar o Conselho de Gestão, o Comitê de Integridade e Conformidade e/ou demais órgãos fiscalizadores, quando instituídos, nos processos de identificação, investigação e tratativa de atos ilícitos e em desacordo com as diretrizes deste Código.

c) Canais de Venda: deve zelar para que os contratos de prestação de serviços firmados com os clientes do cartão Riocard Mais, bem como os convênios destinados à concessão de benefícios/descontos vinculados ao cartão Riocard Mais, estejam de acordo com as diretrizes deste Código e normativos específicos. Para esse fim, deve solicitar à área Jurídica a inclusão de cláusulas nos aditivos contratuais ou novos contratos firmados com os clientes ou conveniados do cartão Riocard Mais, para que estes tenham ciência e assumam o compromisso de aderir às diretrizes deste Código.

d) Comitê de Integridade e Conformidade (“CIC”): este órgão colegiado de governança corporativa deve acompanhar as ações do Programa de Integridade e Conformidade, em todos os seus pilares, desde o diagnóstico de riscos, análise de normativos e avaliação das denúncias, para fins de recomendação de sanções e medidas disciplinares, com o objetivo de prevenir, detectar ou corrigir violações deste Código ou a prática de atos ilícitos.

e) Compliance Officer: deve assumir a responsabilidade pelo planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, propondo ações que o tornem efetivo interna e externamente.

f) Comunicação e Eventos: responsável pela divulgação deste Código em todos os canais de comunicação da Fetranspor para colaboradores, gestores, agentes de governança, sindicatos de ônibus, permissionários e concessionários de transporte público, realizando a interface com as demais áreas de comunicação corporativa. g) Conselho de Gestão: seus conselheiros prestam conta aos sindicatos de ônibus do estado do Rio de Janeiro, através de representantes destes na Assembleia Geral de Representantes de Sindicatos, bem como às demais partes interessadas nos negócios da Fetranspor, exercendo o papel de guardiões dos valores organizacionais, objeto social e sistema de governança corporativa; portanto, se encarregam de cumprir, disseminar e aprovar as diretrizes deste Código.

h) Controladoria: deve zelar para que o cadastro dos ativos e suas respectivas despesas/receitas associadas estejam adequadamente registrados, atualizados e contabilizados.

i) Controles Internos e Riscos: deve apoiar o compliance officer no planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, atuando na revisão de processos das áreas de negócios, padronização de normativos, identificação e monitoramento de ações mitigadoras de riscos, dentre outras atividades necessárias para assegurar a efetividade dos controles internos. Integra o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD.

j) Desenvolvimento Organizacional: responsável pela manutenção e disseminação dos preceitos deste Código, zelando pelo cumprimento e conscientização dos colaboradores, gestores, agentes de governança e demais partes interessadas por meio de um programa de educação continuada.

k) Diretoria Financeira e Gestão de Pessoas: deve se encarregar de submeter ao Conselho de Gestão e, quando necessário, à Assembleia Geral de Representantes de Sindicatos, todos os contratos que amparem obrigações financeiras de alto risco quando, em função de regras estatutárias e/ou normativos específicos, a eles caibam as respectivas aprovações. Deve avaliar/ aprovar todas as operações de aquisição de ativos da Fetranspor, bem como apoiar a disseminação dos preceitos deste Código.

l) Grupo de Trabalho de Dados (“GTD”): grupo permanente responsável por apoiar as áreas de negócios nas ações necessárias para adequarem seus processos aos requerimentos da LGPD.

m) Jurídico: responsável pelo monitoramento das atualizações da legislação em vigor; pelo suporte legal às diretrizes deste Código e demais normativos; por apoiar os agentes de governança na definição e aplicação das sanções e medidas disciplinares aos indivíduos que violem este Código, demais normativos corporativos e/ou pratiquem atos ilícitos; por avaliar qualquer opinião legal que requeira um posicionamento da Fetranspor acerca de riscos, quando demandada por quaisquer partes interessadas; por solicitar a assinatura (eletrônica ou manual) dos Termos de Aceite do Código de Conduta (ANEXOS I e II) pelos agentes públicos, PEP e agentes de governança (exceto 8 diretores e presidente), bem como zelar pela guarda destes e por realizar a inclusão de cláusulas contratuais que prevejam a divulgação, o conhecimento e o aceite pelas partes interessadas sobre os preceitos deste Código. Integra o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD.

n) Mobilidade: deve zelar para que os contratos de delegação firmados pela Fetranspor com os permissionários e concessionários de transporte coletivo de passageiros do estado do Rio de Janeiro (exceto vans) relativos ao processamento das transações de mobilidade registradas no Sistema de Bilhetagem Eletrônica, gerido pela RioCard TI, estejam de acordo com as diretrizes deste Código. Para esse fim, deve solicitar à área Jurídica a inclusão de cláusulas nos aditivos contratuais ou novos contratos de delegação firmados com os permissionários e os concessionários para que estes tenham ciência e assumam o compromisso de aderir às diretrizes deste Código.

o) Operações (da RioCard TI): deve zelar para que o cadastro dos permissionários (vans municipais e intermunicipais) e seus respectivos contratos de delegação firmados com a Fetranspor, relativos ao processamento das transações de mobilidade registradas no Sistema de Bilhetagem Eletrônica, gerido pela RioCard TI, estejam de acordo com as diretrizes deste Código e normativos específicos. Para esse fim, deve solicitar à área Jurídica a inclusão de cláusulas nos aditivos ao contrato de delegação, ou novos contratos firmados com os permissionários, para que estes tenham ciência e assumam o compromisso de aderir às diretrizes deste Código.

p) Presidência e Diretorias: são responsáveis por administrar os ativos e executar as diretrizes do planejamento estratégico da Fetranspor aprovadas pelo Conselho de Gestão e Assembleia Geral de Representantes de Sindicatos. Devem assegurar que o conteúdo deste Código alcance a todos que tenham qualquer tipo de relação com a Fetranspor, zelando pelo cumprimento das regras e inserção da cultura de integridade embasada nos valores organizacionais e seus reflexos nos processos das áreas de negócios sob sua estrutura organizacional.

q) Relações com a Mídia: responsável pela divulgação do conteúdo deste Código em canais externos de comunicação à imprensa, além de dar suporte à Presidência e demais Diretorias sobre assuntos institucionais a serem divulgados externamente.

r) Relações do Trabalho: responsável por solicitar assinatura (manual ou eletrônica) e guardar os Termos de Aceite do Código de Conduta dos colaboradores, gestores, diretores e presidente (ANEXO I).

s) Segurança da Informação: deve apoiar o compliance officer no planejamento, desenvolvimento e monitoramento do Programa de Integridade e Conformidade, no que concerne ao escopo digital, atuando na revisão de processos das áreas de negócios, identificando e monitorando ações mitigadoras de riscos de segurança da informação, dentre outras atividades necessárias para assegurar a confidencialidade, integridade e disponibilidade das informações. Integra o Grupo de Trabalho de Dados com o propósito de apoiar as áreas de negócios na adequação dos seus processos à LGPD.

t) Suprimentos: deve zelar para que os contratos e/ou propostas firmados com fornecedores disponham sobre o compromisso destes de aderir às diretrizes deste Código, da LGPD e demais legislações vigentes.

6. VALORES ORGANIZACIONAIS

6.1. A Fetranspor adota os seguintes valores organizacionais como princípios norteadores deste Código:
a) Integridade e conformidade: significa agir de acordo com os valores morais e os princípios que norteiam a conduta humana na sociedade, possibilitando que ninguém seja prejudicado. Todos devem refletir esse comportamento em suas atividades profissionais e relacionamentos, assumindo o compromisso de respeitar os normativos corporativos e as normas legais, repudiando e combatendo qualquer forma de ilicitude. Conduta e discurso deverão estar sempre alinhados.
b) Transparência: significa esclarecer e disponibilizar as informações requeridas pelas partes interessadas, de modo completo, preciso, tempestivo e compreensível no âmbito de suas responsabilidades, atuando com diligência e clareza.
c) Equidade: significa tomar decisões e agir de forma imparcial, justa e objetiva, de forma que o interesse próprio não leve a uma conduta em detrimento dos direitos e deveres das demais partes interessadas.
d) Responsabilidade corporativa: é o dever de cumprir com os objetivos do Sistema Fetranspor no âmbito de suas funções. A conduta deve ser ética e sustentável, alinhada com a cultura de gestão de riscos, desenvolvimento social, econômico e ambiental.
e) Excelência com agilidade e simplicidade: refere-se à busca das melhores práticas nas atividades sindicais e de bilhetagem eletrônica, inclusive atraindo e desenvolvendo profissionais motivados e comprometidos em fazer a diferença, de forma simples, qualitativa e correta.
f) Inovação: significa ser criativo, eficiente e renovador. Identificar novas oportunidades, agindo de forma íntegra e transparente.
g) Representatividade: engajar no papel de representante dos sindicatos dos permissionários e dos concessionários de transporte público coletivo de passageiros do estado do Rio de Janeiro, na gestão do Sistema de Bilhetagem Eletrônica e disseminação da marca Riocard Mais.

7. DIRETRIZES DO CÓDIGO DE CONDUTA
i. As diretrizes aqui apresentadas não esgotam os desdobramentos e questões decorrentes. Este Código é uma ferramenta que visa orientar a conduta pessoal e profissional, sendo uma declaração formal do compromisso dos colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, agentes públicos, PEP e demais partes interessadas, de inserir os valores organizacionais nas relações que possuem com o Sistema Fetranspor.
ii. A Fetranspor não compactua com qualquer ato, interesse, tentativa ou omissão associados a atos de corrupção, fraude, práticas ilícitas ou crimes de lavagem de dinheiro, financiamento ao terrorismo e organizações criminosas e, caso identificados, serão adequadamente denunciados às autoridades competentes.

7.1.ATENDIMENTO A REQUERIMENTOS REGULATÓRIOS, LEGAIS E GOVERNAMENTAIS

7.1.1. A Fetranspor deve respeitar a legislação, as normas regulatórias de sua atividade-fim, bem como deve se comprometer a atender com integridade e transparência as autoridades fiscalizadoras governamentais e as auditorias independentes.

7.1.2.As deliberações, assim como todas as atividades devem ser realizadas em alinhamento com suas diretrizes, preservando prioritariamente o atendimento às normas legais e regulatórias em conjunto com as disposições previstas no estatuto social e nos normativos vigentes.

7.1.3.A Fetranspor deve adotar práticas de prevenção e combate à corrupção, fraude e lavagem de dinheiro estabelecidas pelos instrumentos normativos, legislações e convenções internacionais vigentes.

7.1.4.O fornecimento de informações aos Poderes Executivo, Legislativo ou Judiciário, quando devidamente amparado por atos normativos ou determinação emanada do agente público competente, deve ser efetuado somente de duas maneiras:
a) De forma rotineira: quando envolver procedimentos e tarefas relacionados ao escopo de trabalho de determinada área de negócios, a qual o colaborador ou gestor está autorizado e tem por função disponibilizar informações aos agentes públicos dos Poderes Executivo, Legislativo e Judiciário nas competências Federal, Estadual ou Municipal. Neste caso, a comunicação deve ser formal, em conformidade com os instrumentos normativos vigentes.
b) De forma específica: quando envolver solicitações do Poder Público, que requeiram um posicionamento formal da Fetranspor acerca de possíveis riscos. Neste caso, a comunicação deve ser realizada por escrito, mediante protocolo e com a devida avaliação da área Jurídica, em conformidade com os normativos vigentes.

7.1.5.Os colaboradores, gestores, agentes de governança e demais partes interessadas não devem utilizar o nome da Fetranspor em seu relacionamento pessoal com o governo. 7.1.6.Qualquer reunião (presencial ou remota) com agentes públicos competentes na qual seja requerido um posicionamento formal da Fetranspor, conforme item

7.1.4 (b), deve ser realizada somente pelo presidente, diretores e/ou gestores autorizados, mediante consulta prévia à área Jurídica, tendo como 12 propósito orientar e/ou emitir opinião formal sobre assuntos relacionados aos requerimentos regulatórios, legais e institucionais do Sistema Fetranspor.

7.2. USO DOS ATIVOS

7.2.1.Os ativos devem ser preservados, protegidos e gerenciados adequadamente, evitando-se qualquer tipo de uso indevido, desperdício de bens e/ou recursos.

7.2.2. Recomenda-se a contratação de consultorias independentes para laudos de avaliação de ativos; contudo, é permitida a realização de laudos por áreas de negócios internas, desde que o respectivo gestor se responsabilize pela integridade e credibilidade da avaliação comparada com similares no mercado. Em casos de operações entre partes relacionadas ou situações de conflito de interesses, é necessário que o laudo seja emitido por consultorias independentes e renomadas no mercado.

7.2.3. Todos os ativos devem ser registrados de acordo com os princípios de contabilidade geralmente aceitos no Brasil, legislação vigente e normativos específicos.

7.2.4. Operações de aquisição de ativos requerem aprovação prévia da Diretoria Financeira e Gestão de Pessoas. A baixa de ativos (exceto bens imóveis) deve ser submetida à aprovação do diretor executivo em conjunto com o presidente da Fetranspor. No caso de aquisição e baixa de bens imóveis, tais operações também devem ser submetidas à aprovação do Conselho de Gestão e da Assembleia Geral de Representantes de Sindicatos, em função do estatuto social.

7.2.5. Similarmente, deve ser submetida à aprovação do Conselho de Gestão e da Assembleia Geral de Representantes de Sindicatos a oferta de ativos, sob forma de meios de pagamento ou contrapartidas, que sirvam para securitizar obrigações firmadas com partes interessadas, tais como: gravames, ônus reais, hipoteca, penhor, propriedade fiduciária, fiança e aval, vinculação em garantia ou cessão de ativos ou direitos concedidos em garantia.

7.2.6.À Fetranspor reserva-se o direito de monitorar o uso de ativos de sua propriedade ou sob sua custódia, com o intuito de proteger a privacidade e a confidencialidade de seus dados e/ou de terceiros, em conformidade com os normativos de segurança da informação e lei vigente. 1

7.3. DOAÇÕES E PATROCÍNIOS

7.3.1. Doações (exceto aquelas realizadas em dinheiro ou qualquer outra forma equivalente e/ou similar) e patrocínios são permitidos, desde que estejam alinhados aos objetivos da Fetranspor e baseados nos princípios da integridade e transparência, sem vínculo negocial de qualquer espécie entre as partes, ou que possam resultar em favorecimentos ou vantagens indevidas concedidas a terceiros.

7.3.2.A adequada destinação das doações e/ou patrocínios a pessoas jurídicas, independentemente do ônus ser incorrido pela Fetranspor, depende de diligência prévia do beneficiário (“Due Diligence”), seguida da avaliação prévia do Comitê de Integridade e Conformidade. Após, deverá ser submetida à aprovação do Conselho de Gestão.

7.3.3. A Fetranspor proíbe a realização de doações e patrocínios a pessoas físicas.

7.4. CAPTAÇÃO DE RECURSOS FINANCEIROS

7.4.1.As obrigações financeiras, desde que destinadas ao cumprimento dos objetivos da Fetranspor perante as diretrizes estratégicas dos agentes de governança, devem ser gerenciadas adequadamente, evitando-se qualquer tipo de desperdício e falta de controle nas prestações de contas aos credores. Devem ser amparadas pela licitude contratual, observando-se os valores organizacionais que embasam este Código, bem como os demais normativos e legislações em vigor.

7.4.2.Qualquer assunção de empréstimos ou financiamentos, emissão de debêntures ou contratação de obrigações financeiras de alto risco, relacionadas à “hedge”, mercado futuro, mercado de opções, seguros ou securitização de ativos, em contrapartida de obrigações financeiras, deve ser submetida ao Conselho de Gestão e obrigatoriamente aprovada pela Assembleia Geral de Representantes de Sindicatos.

7.5. INFORMAÇÃO PRIVILEGIADA

7.5.1. Informação privilegiada é aquela que pode trazer algum tipo de vantagem ao seu conhecedor. A utilização indevida de informação privilegiada 14 também pode representar riscos de imagem, financeiros, regulatórios, de continuidade dos negócios da Fetranspor e/ou prejudicar suas respectivas partes interessadas.

7.5.2.O acesso, manuseio ou uso da informação privilegiada deve ser pautado nos valores organizacionais deste Código, devendo o conhecedor utilizá-las exclusivamente para atender suas atribuições profissionais em conformidade com os normativos, estatuto social e legislação em vigor. Todos devem zelar pelo sigilo das informações.

7.6. DIREITO À PRIVACIDADE E PROTEÇÃO DE DADOS

7.6.1. O direito à privacidade dos colaboradores, gestores, agentes de governança, fornecedores, clientes, conveniados, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, agentes públicos, PEP e demais partes interessadas nas atividades da Fetranspor é respeitado, mantendo os dados pessoais (sensíveis ou não) protegidos, em conformidade com a LGPD. Devido a isso, a Fetranspor somente requer, obtêm, trata, usa e armazena dados pessoais à medida que são necessários à gestão dos negócios.

7.6.2.Os dados pessoais (sensíveis ou não) ou um conjunto de informações distintas que possam identificar ou discriminar uma pessoa física são sigilosos.

7.6.3. O tratamento dos dados pessoais é permitido somente nas seguintes situações: a) se houver consentimento expresso do titular do dado; b) para execução de contratos; c) se decorrer de exigências legais e/ou regulatórias; d) para proteção da vida ou da incolumidade física do titular ou de terceiros; e) para proteção ao crédito, exceto quando tratar-se de dado pessoal sensível; f) para atender interesse legítimo do controlador do dado ou de terceiros, exceto quando tratar-se de dado pessoal sensível; g) garantia da prevenção à fraude e segurança do titular, quando tratar-se de dado pessoal sensível; h) realização de estudos por órgão de pesquisa; i) exercício regular de direitos em processos judiciais e administrativos; j) tutela da saúde; ou k) pela administração pública, quando da execução de políticas públicas.

7.6.4.Obrigações relativas à proteção de dados pessoais e dados pessoais sensíveis devem ser tratadas com cautela e sigilo por todos os indivíduos no exercício de suas atividades profissionais (independentemente de a quem pertençam, como foram obtidos ou onde são armazenados), em conformidade com os normativos específicos, obrigações contratuais e legislações em vigor.

7.6.5. Os contratos estabelecidos pela Fetranspor com terceiros conceituados como partes interessadas, independentemente de terem ou não acesso a dados pessoais e/ou dados pessoais sensíveis, devem prever cláusulas de confidencialidade que protejam a Fetranspor em relação à responsabilidade solidária e subsidiária quanto à divulgação destes, em conformidade com a LGPD.

7.6.6. Visando suportar as áreas de negócios na adequação e avaliação dos impactos relativos à LGPD, foi instituído pela Fetranspor um Grupo de Trabalho de Dados, com a participação das áreas: Jurídica, Controles Internos e Riscos e Segurança da Informação.

7.7. SEGURANÇA DA INFORMAÇÃO

7.7.1.A Fetranspor declara seu compromisso com a segurança da informação por meio de normativos específicos, nos quais estão estabelecidas as diretrizes gerais para a proteção da informação.

7.7.2. A informação contida nos recursos tecnológicos, de propriedade ou sob custódia da Fetranspor, em qualquer formato ou estado, deve ser restrita aos colaboradores, gestores e agentes de governança com atribuições funcionais compatíveis, e somente deve ser utilizada para fins de atividades profissionais. Também pode ser concedida a terceiros devidamente autorizados, desde que seja previamente submetida à autorização da área de Segurança da Informação, respeitando suas diretrizes de proteção da informação manifestadas em normativos específicos.

7.7.3. Todos os recursos tecnológicos de propriedade ou sob custódia da Fetranspor estão suscetíveis a monitoramentos e/ou inspeções periódicas, sem aviso prévio, ainda que contenham dados privados, pois o propósito é assegurar seu funcionamento dentro dos padrões de segurança da informação.

7.7.4.A utilização dos recursos tecnológicos, assim como o uso das informações relacionadas ao seu negócio, devem seguir os padrões e melhores práticas de segurança da informação, que devem ser acatadas por todos.

7.7.5.Não é permitido o uso de recursos tecnológicos privados para armazenar ou transportar informações dos negócios da Fetranspor, que devem circular em ambientes computacionais seguros.

7.8. CONFLITO DE INTERESSES

7.8.1. Os colaboradores, gestores, agentes de governança e demais partes interessadas devem declarar em tempo hábil, via preenchimento de formulário de conflito de interesses ou formulário de integridade e conformidade, seus interesses pessoais, profissionais, relações contratuais, societárias ou de parentesco (parentes ou aparentados por afinidade) firmados com partes interessadas (principalmente se forem partes relacionadas) e/ou qualquer atividade ou compromisso que seja contrário aos objetivos da Fetranspor ou que possam afetar adversamente a integridade, transparência e credibilidade de suas atividades profissionais. A contratação de pessoa física ou pessoa jurídica com atividades conflitantes com os interesses da Fetranspor é proibida.

7.8.2. É vedada a contratação de pessoas físicas ou pessoas jurídicas caracterizadas como partes relacionadas à Fetranspor e/ou seus respectivos parentes ou aparentados por afinidade sem o amparo de um processo seletivo e/ou concorrencial que garanta a integridade da contratação e o valor justo do serviço contratado (inclusive em casos de empréstimos/ financiamentos) e do ativo ou produto comprado. Caso isso aconteça, tal situação deverá ser declarada a Controles Internos e Riscos, para fins de análise desta relação contratual junto ao Comitê de Integridade e Conformidade e, na sequência, com o suporte da área Jurídica, proposta para aprovação do Conselho de Gestão.

7.8.3.Os colaboradores, gestores e agentes de governança que tenham declarado conflito de interesses em relação à Fetranspor estão proibidos de atuar, decidir, influenciar a negociação, gerir contratos ou exercer atividades conflitantes com os interesses da Fetranspor.

7.8.4. É facultado aos colaboradores, gestores e agentes de governança indicarem candidatos a colaboradores e/ou potenciais prestadores de serviço da Fetranspor, desde que a indicação seja considerada em processo concorrencial justo, com equidade de tratamento assegurado a todos os concorrentes.

7.8.5. É proibido ao colaborador, gestor ou agente de governança exercer atividade com subordinação àquele com quem tenha qualquer grau de parentesco, seja parente ou aparentado por afinidade (inclusive nos casos em que essa subordinação seja indireta, ou seja, ocorra através da contratação de pessoas jurídicas).

7.8.6. Qualquer tipo de relação, conforme definido no conceito de parente ou aparentado por afinidade, entre colaboradores, gestores e agentes de governança deve ser comunicada, via preenchimento do formulário de conflito de interesses, que será submetido ao Comitê de Integridade e Conformidade, o qual avaliará potencial conflito de interesses.

7.8.7. Situações já existentes que configurem conflito de interesses devem ser declaradas a Controles Internos e Riscos, via preenchimento do formulário de conflito de interesses, a ser avaliado pelos membros do Comitê de Integridade e Conformidade, com o intuito de delimitar suas responsabilidades no ambiente de negócios, principalmente em situações que dependam de decisões estratégicas, sem prejudicar os direitos reais do contratado, mas visando proteger o patrimônio da Fetranspor.

7.9. RELAÇÃO COM PARTES INTERESSADAS

7.9.1. A Fetranspor deve representar os interesses dos sindicatos dos permissionários e dos concessionários de transporte público coletivo de passageiros do estado do Rio de Janeiro e deve atuar, em conjunto com a RioPar e RioCard TI, na gestão do Sistema de Bilhetagem Eletrônica e disseminação da marca Riocard Mais, expondo e defendendo os interesses comuns de forma justa, íntegra e transparente.

7.9.2.A integridade, conformidade com as legislações e regulamentos vigentes e a transparência devem orientar as relações com as partes interessadas, independentemente de porte, disposição geográfica ou vínculo com demais colaboradores, gestores e agentes de governança.

7.9.3. Todas as partes interessadas podem sofrer, sem prejuízo do direito à privacidade, diligências periódicas em processos de contratação ou renovação contratual, com o objetivo de proteger o patrimônio da Fetranspor perante riscos reais ou potenciais, principalmente os de envolvimento em atos ilícitos. Esses procedimentos são denominados “Due Diligence” e “Background Check” e são objetos de normativo específico.

7.10. OPERAÇÃO COM PARTE RELACIONADA

7.10.1. O presidente e os diretores devem monitorar e administrar potenciais conflitos de interesses entre as partes relacionadas, de forma a zelar para que essas transações não contrariem os objetivos estratégicos da Fetranspor.

7.10.2. Relações profissionais com colaboradores, gestores ou agentes de governança e seus respectivos parentes ou aparentados por afinidade, considerados no conceito de partes relacionadas à Fetranspor, podem gerar conflito de interesses. Nesses casos, seu diretor imediato deve assegurar que as decisões estratégicas sejam imparciais, sem influência do cargo ou função ocupada por esses indivíduos no ambiente de negócios. Portanto, caso ocupem cargos de gestão, as referidas decisões devem ser tomadas em conjunto com o presidente.

7.10.3. Relações contratuais comerciais e financeiras com partes relacionadas à Fetranspor (ex.: clientes, fornecedores, conveniados, agentes, credores, etc.) podem gerar conflito de interesses. Nesses casos, o presidente e o diretor executivo contratante devem analisar o escopo de trabalho, prazo, taxas, garantias, penalidades e assegurar que sejam precificadas ao valor justo, apresentando os principais riscos e estratégias ao Conselho de Gestão, para fins de deliberação sobre o apetite ao risco pertinente a cada contratação.

7.10.4. Essas operações com partes relacionadas devem ser embasadas por cotações de empresas concorrentes, para evidenciar que o preço cobrado pela contratação esteja de acordo com os parâmetros de mercado. Também estão sujeitas às diligências periódicas, denominadas “Due Diligence” e “Background Check”, regulamentadas por normativos específicos.

7.10.5. Toda operação com parte relacionada deve ser aprovada pelo Conselho de Gestão, de forma a proteger o patrimônio da Fetranspor.

7.11. COMUNICAÇÃO INSTITUCIONAL E INTERNA

7.11.1. O relacionamento com a imprensa deve ser pautado pela integridade, transparência e consistência no diálogo. Contudo, somente profissionais autorizados pelo presidente ou a quem ele indicar podem falar em nome da Fetranspor, devidamente orientados pela área de Relações de Mídia, com o suporte da área Jurídica.

7.11.2. Todos devem ter cautela ao se referir à Fetranspor e suas partes relacionadas em qualquer meio de comunicação, ainda que as abordagens sejam realizadas por pessoas físicas ou empresas sem aviso prévio ou de forma espontânea, tais como pesquisas de opinião, reportagens e entrevistas de rua ou contatos diretos por telefone/e-mail, etc.

7.11.3. Toda comunicação institucional a ser veiculada externamente deve ser submetida previamente ao presidente ou a quem ele indicar.

7.11.4. Toda comunicação interna, ou seja, direcionada aos colaboradores, gestores, agentes de governança, sindicatos de ônibus, permissionários e concessionários de transporte público de passageiros, deve ser avaliada por Comunicação e Eventos e divulgada após a autorização do presidente.

7.12. RELAÇÃO COM AS REDES SOCIAIS

7.12.1. Todo colaborador, gestor, agentes de governança e demais partes interessadas devem usar as redes sociais de forma consciente, zelando pela imagem e reputação da Fetranspor e de suas partes relacionadas.

7.12.2. É permitida a liberdade de expressão, respeitada a veracidade da informação, bem como os princípios de integridade, moral e social do que se pretende veicular nas redes sociais; contudo, certifique-se de que suas publicações e comentários pessoais não violam as diretrizes de confidencialidade, privacidade, missão, valores organizacionais previstos neste Código e demais normativos corporativos, bem como as melhores práticas de segurança da informação, tanto em relação à Fetranspor quanto às suas partes relacionadas.

7.12.3. Somente profissionais autorizados pelo presidente podem falar em nome da Fetranspor. Conteúdos publicados nas redes sociais que exponham a Fetranspor à calúnia, injúria e difamação, são crimes contra a honra previstos no Código Penal e podem denegrir a imagem, reputação e/ou prejudicar os negócios da Fetranspor, portanto são passíveis de monitoramentos e podem acarretar aplicação ao infrator de medidas disciplinares, agravadas de acordo com o dolo, culpa ou dano causado à Fetranspor e suas partes relacionadas.

7.13. ATIVIDADE POLÍTICA E RELIGIOSA

7.13.1. A Fetranspor respeita o direito individual das pessoas participarem do cenário político nacional ou internacional, bem como as convicções religiosas e crenças. Entretanto, é vedada toda e qualquer manifestação político-partidária ou religiosa no ambiente de trabalho ou em qualquer ocasião que possa associá-la à Fetranspor.

7.13.2. É proibida a doação ou a utilização de recursos da Fetranspor, de quaisquer naturezas, para custeio de estabelecimentos religiosos ou campanhas políticas, bem como é vedado conceder contribuições a afiliados a partidos políticos e/ou candidatos a cargos eletivos, PEP, aos membros de seitas, igrejas e/ou estabelecimentos religiosos similares, bem como aos seus parentes ou aparentados por afinidade.

7.14. RESPONSABILIDADE SOCIOAMBIENTAL

7.14.1. A Fetranspor tem compromisso com a proteção e conservação do meio ambiente, valoriza a pesquisa e a aplicação de programas socioambientais que contribuam para o desenvolvimento sustentável (econômico, social e ambiental), levando em consideração as expectativas das partes interessadas e os requerimentos regulatórios vigentes; apoia e incentiva as comunidades no desenvolvimento e aplicação dos conceitos de gestão socioambiental.

7.14.2. Quaisquer informações sobre os programas socioambientais promovidos pelo Sistema Fetranspor só podem ser divulgadas por profissionais autorizados pelo presidente.

7.15. SAÚDE E SEGURANÇA NO TRABALHO

7.15.1. A Fetranspor preza pela manutenção de um ambiente de trabalho com condições adequadas, que estimule a produtividade e previna a ocorrência de doenças ocupacionais, zelando pela integridade dos colaboradores, gestores, diretores e presidente.

7.15.2. Cabe a cada um a execução de seu trabalho de acordo com as regras de saúde e segurança, devendo ser comunicados imediatamente à área de 21 Relações do Trabalho quaisquer acidentes, reportando também situações preocupantes ou de desrespeito às normas de segurança. O compromisso com o ambiente de trabalho seguro deve ser assumido por todos.

7.15.3. É vedado adotar qualquer comportamento abusivo ou que possa representar risco para a integridade física e psicológica dos colaboradores, gestores e agentes de governança.

7.16. OFERTA E RECEBIMENTO DE VALORES, PRESENTES E/OU FAVORECIMENTOS

7.16.1. As relações contratuais devem ser estabelecidas levando-se em consideração os critérios formalmente definidos por meio de normativo específico, não sendo permitidos favorecimento e discriminação de qualquer natureza.

7.16.2. A Fetranspor adota práticas de prevenção e combate à corrupção, fraude e lavagem de dinheiro estabelecidas por meio de normativos, legislações e convenções internacionais vigentes que, dentre outras previsões restritivas, proíbem a oferta, o pagamento (ou recebimento), a promessa de pagamento (ou promessa de recebimento) ou a autorização para pagamento (ou aceite no recebimento) de dinheiro ou vantagens, conforme as condições a seguir: a) são consideradas vantagens indevidas as gratificações, comissões, brindes, presentes (ex.: joias, relógios, vale-compra, vale-brinde, etc.), hospitalidades (ex.: refeições, viagens, hospedagem, passagens aéreas e entretenimento) e/ ou quaisquer benefícios ou favorecimentos a fornecedor, cliente, conveniado, auditor, agente público, PEP, despachante e/ou consultor intermediário, sindicato de ônibus, permissionário e/ou concessionário de transporte público de passageiros, instituição financeira e equiparáveis e demais partes interessadas, com valores unitários superiores a R$ 100,00 (cem reais); b) independentemente do valor e do motivo, é vedado prometer, pagar ou autorizar o pagamento, bem como receber dinheiro ou qualquer outra forma equivalente e/ou similar (ex.: moedas digitais, títulos financeiros, direitos a receber discricionários, etc.) que não estejam devidamente amparados por contrato ou proposta de prestação de serviços (ex.: cliente, conveniado ou fornecedor), aquisição de bens, produtos ou direitos, elaborados com base na legislação vigente e amparados por normativos específicos.

7.16.3. Nos casos estabelecidos no item 7.16.2 (a), é importante ressaltar que, sob a ótica do recebimento (ou promessa de recebimento) de vantagem indevida, favorecimento ou beneficiário de quaisquer partes interessadas em valor superior a R$ 100,00 (cem reais), cabe ao colaborador, gestor ou agente de governança não aceitar e/ou realizar a sua pronta devolução. Caso contrário, deve comunicar, imediatamente, à área de Controles Internos e Riscos, para submissão ao Comitê de Integridade e Conformidade, que será responsável por julgar e definir sua adequada destinação.

7.16.4. Para fins de aplicação de sanções e medidas disciplinares cabíveis, serão avaliadas as ocorrências segundo o critério de habitualidade e se o propósito relacionado à vantagem indevida tem a finalidade de influenciar qualquer ato ou decisão no âmbito comercial/contratual que traga benefícios próprios ao colaborador, gestor ou agente de governança ou a seus respectivos parentes ou aparentados por afinidade ou favoreça, direta ou indiretamente, a Fetranspor em suas relações contratuais prejudicando, assim, os processos concorrenciais de fornecedores, clientes ou qualquer tipo de contrato, acordo ou convênio celebrados com órgãos reguladores, governamentais ou fiscalizadores. 7.16.5. Considera-se habitual a ocorrência do evento mais de uma vez, em um prazo inferior a 12 (doze) meses do mesmo fornecedor, cliente, conveniado e/ ou demais partes interessadas.

7.17. RESPONSABILIDADE PROFISSIONAL E LABORAL

7.17.1. A Fetranspor busca manter a imparcialidade na oferta de oportunidades, sem protecionismos, garantindo ao colaborador, ao gestor, ao diretor ou ao candidato a emprego tratamento igualitário nos processos sob responsabilidade das áreas de Desenvolvimento Organizacional e Relações do Trabalho, tais como: promoção, demissão, recrutamento e seleção, treinamentos, benefícios, dentre outros, independentemente de raça, crença, religião, idade, origem geográfica, orientação sexual, condição social, deficiências, porte de doenças.

7.17.2. No ambiente de trabalho, independentemente do cargo ou função assumida, a Fetranspor não tolera as seguintes práticas, indistintamente: a) envolvimento ativo ou passivo em situações que caracterizem o trabalho infantil ou forçado. 23 b) atitude discriminatória envolvendo questões de origem racial ou étnica, idade, origem geográfica, orientação sexual, condição social, deficiências, porte de doenças, convicção filosófica, política e religiosa, assim como quaisquer outras ações que gerem constrangimento ou humilhação. c) prática de assédio moral ou sexual, comportamento abusivo, ofensivo ou intimidatório. d) uso de ativos e informações da Fetranspor para fins particulares não autorizados. e) tratamento ou divulgação de dados pessoais, sem consentimento do titular dos dados, salvo em situações permitidas na legislação em vigor. f) envolvimento em atividades particulares não autorizadas, que interfiram no tempo destinado às atividades laborais. g) utilização do cargo ou da função para solicitação de favorecimentos ou serviços pessoais. h) prática de furtos, roubos, omissões, fraudes, corrupções e qualquer tipo de ação delituosa contra o patrimônio ou imagem da Fetranspor. i) uso de armas de qualquer espécie nas dependências da Fetranspor, salvo para profissionais de segurança, formalmente contratados ou autorizados pelo presidente ou diretores, com base nos requerimentos regulatórios e institucionais. j) uso de cigarros (inclusive os eletrônicos) nas dependências da Fetranspor. k) uso, distribuição ou comercialização de álcool e substâncias ilegais no local de trabalho, assim como trabalhar sob influência dos mesmos, tendo em vista que podem prejudicar as atividades laborais. l) Qualquer ato que possa ser interpretado como injúria, calúnia ou difamação. 7.17.3. As relações no ambiente de trabalho devem ser pautadas pela valorização do ser humano, pelo respeito ao indivíduo, pela integridade, pela transparência e pela colaboração, tendo sempre em vista o desenvolvimento de todos.

7.18. CANAL DE DENÚNCIA E DIÁLOGO

7.18.1. A Fetranspor possui um canal denominado VOZ ATIVA, que constitui um meio de comunicação formal de denúncias e/ou dúvidas relacionadas ao Programa de Integridade e Conformidade, acessível a todas as partes interessadas nas atividades do Sistema Fetranspor.

7.18.2. O VOZ ATIVA pode ser acessado por meio da intranet (Portal da Mobilidade do Sistema Fetranspor), no site da Fetranspor ou ainda através dos seguintes meios de comunicação: • site: http://www.canalconfidencial.com.br/vozativa; • telefone: 0800 741 0003 (atendimento de segunda a sábado, das 12h às 22h); • e-mail: vozativa@canalconfidencial.com.br; • caixa postal: 521 CEP 06320-971. 7.18.3. Estimulamos a denúncia de atitudes contrárias aos preceitos estabelecidos neste Código de Conduta e demais normativos corporativos, bem como atos de corrupção, fraudes (ex.: operacionais, contratuais, financeiras e/ou contábeis), incidentes de segurança, omissões, mau uso de ativos, discriminação de qualquer natureza, entre outros, desde que devidamente fundamentada.

7.18.4. O VOZ ATIVA é administrado por empresa independente e garante o sigilo e confidencialidade de seus denunciantes, permitindo o acompanhamento da evolução da investigação, de forma anônima e imparcial, por meio do número de protocolo. Entretanto, é de suma importância que o denunciante guarde sigilo da própria denúncia, evitando comentá-la com terceiros, uma vez que isso prejudica todo o processo investigatório.

7.18.5. Tem-se por princípio a proibição de retaliação ao denunciante de boa-fé. 7.18.6. Caso a denúncia seja realizada de má-fé, as medidas disciplinares serão revertidas ao denunciante, por estarem em desacordo com os valores organizacionais.

7.18.7. Cabe aos membros do Comitê de Integridade e Conformidade acompanhar o processo investigatório de apuração das denúncias, avaliar as conclusões, recomendar a aplicação de sanções e/ou medidas disciplinares e demandar ao compliance officer que seja dado ao denunciante ciência sobre a evolução e/ou encerramento das denúncias registradas no canal VOZ ATIVA. As 25 regras de condução, processamento, remediação dos atos ilícitos ou condutas incompatíveis com as diretrizes deste Código e reporte das denúncias devem estar definidos em normativos específicos, amparados na legislação em vigor.

7.19. SANÇÕES E MEDIDAS DISCIPLINARES

7.19.1. Cabe aos colaboradores, gestores, agentes de governança e demais partes interessadas da Fetranspor cumprirem as disposições previstas neste Código e demais normativos corporativos, assim como sugerirem melhorias.

7.19.2. Os infratores estão sujeitos às sanções e/ou medidas disciplinares punitivas previstas em contrato, na Legislação Trabalhista, Código Civil e Penal e/ou normativos específicos, que devem ser aplicadas pelo diretor imediato ou pelo presidente, de forma imparcial, com o suporte das áreas Jurídica e Gestão de Pessoas, podendo incluir: treinamento, advertência verbal ou por escrito, suspensão, demissão, sem prejuízo das medidas judiciais cabíveis. Quando houver necessidade de aplicar advertências verbais, é de suma importância que estas medidas sejam realizadas de forma reservada e construtiva, para não atingir a dignidade e autoestima do infrator.

7.19.3. Caso o infrator seja uma parte interessada externa ao ambiente da Fetranspor, serão aplicadas as sanções cabíveis e proporcionais, conforme previsto em contrato ou na legislação em vigor, podendo acarretar na rescisão imediata do respectivo contrato.

7.19.4. Sempre que houver denúncias registradas no canal VOZ ATIVA, cabe aos membros do Comitê de Integridade e Conformidade deliberarem, de forma independente e neutra, sobre as sanções ou medidas disciplinares cabíveis, de acordo com o contrato e seus aditivos, valores organizacionais presentes neste Código, demais normativos corporativos, estatuto social e legislações vigentes. Em situações em que o infrator é o presidente ou diretor ou membro do Comitê de Integridade e Conformidade, a apuração deve ser submetida à aprovação no Conselho de Gestão, órgão responsável por aprovar ou destituir profissionais para esta função. Em situações em que o infrator é um membro do Conselho de Gestão, similar julgamento será realizado em Assembleia Geral de Representantes de Sindicatos. Em situações em que o infrator é um representante da Assembleia Geral de Representantes de Sindicatos, similar julgamento será realizado pelos demais representantes.

8. INSTÂNCIAS CORPORATIVAS DE APROVAÇÕES

8.1. Este Código requer revisão das Diretorias e da Presidência, para posterior validação dos membros do Comitê de Integridade e Conformidade.

8.2. Recomenda-se, como boas práticas de governança corporativa, submetêlo a todas as instâncias responsáveis por sua aprovação, sempre que houver alterações significativas em seu conteúdo; caso contrário, poderá ser publicado com o propósito de se realizarem pequenos ajustes, ou seja, como atualização de versões.

8.3. Este Código foi aprovado pelos diretores, presidente e membros do Conselho de Gestão da Fetranspor no dia 21/10/2019 e pelos órgãos de governança corporativa superiores.

GLOSSÁRIO

Agente de governança: indivíduo que ocupa um papel de liderança (ex.: diretor, presidente, compliance officer, conselheiro), auditor e qualquer membro dos órgãos envolvidos no sistema de governança corporativa (ex.: membros do Comitê de Integridade e Conformidade, representantes da Assembleia Geral de Representantes de Sindicatos). Os agentes de governança têm influência significativa sobre as decisões estratégicas da Fetranspor.

Agente público: indivíduo que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função na Administração Pública, conforme previsto na Lei de Improbidade Administrativa nº 8.429/1992. Aparentado por afinidade: refere-se aos parentes originados não por vínculo sanguíneo ou adoção, mas por vínculo matrimonial ou relação afetiva (ex.: cônjuge, companheiro (a), enteado (a), sogro (a) e cunhado (a) ou namorado (a)).

Assembleia Geral de Representantes de Sindicatos: órgão máximo da Fetranspor, composto de representantes indicados pelos sindicatos de ônibus filiados à Fetranspor, capaz de decidir soberanamente sobre todas as matérias de seu interesse, aprovar o estatuto social e propostas do Conselho de Gestão em relação ao direcionamento estratégico necessário à consecução do seu objeto social, eleger e destituir integrantes do Conselho de Gestão, dentre outras atribuições não incluídas nas atribuições do Conselho de Gestão.

Ativo: compreende bem e direito tangível ou intangível que possua valores econômicos agregados, tais como: caixa, conta corrente bancária, aplicações financeiras, títulos e valores mobiliários, direitos a receber, participações societárias, móveis, imóveis, recursos tecnológicos, informações, conhecimentos (“know-how”), marcas, patentes e outros tipos de propriedade intelectual.

Baixa de ativos: trata-se de toda forma de descontinuação do ativo para seu propósito operacional no ambiente corporativo, tais como: desmobilização, alienação, distribuição de brindes, doação, cessão gratuita ou por valor residual imaterial de ativos, sucateamento, cessão não onerosa e operações similares na qual seja transferida a propriedade do ativo, etc.

Cessão gratuita ou por valor residual imaterial: transferência de qualquer objeto de valor sem ônus para a beneficiada ou por valor imaterial perante o seu patrimônio líquido, seja de caráter voluntário ou não (ex.: contribuição, doação, brindes, patrocínios, favorecimentos, abdicação de direitos comuns).

Colaborador: indivíduo que exerce atividades laborais, subordinado aos cargos de gestão (ex.: jovens aprendizes, estagiários, empregados, autônomos, especialistas) previstos na Consolidação das Leis de Trabalho.

Comitê de Integridade e Conformidade (“CIC”): órgão colegiado e fiscalizador instituído pelo Conselho de Gestão no sistema de governança do Sistema Fetranspor, no intuito de assessorar seus membros na implantação do Programa de Integridade e Conformidade. Seus poderes, escopo e composição estão definidos em normativo específico.

Comportamento abusivo: conduta que resulta em dano físico ou psicológico ou cria sentimentos intensos de medo, humilhação, manipulação ou exploração de terceiros.

Conflito de interesses: ocorre quando alguém não é imparcial em relação à matéria em discussão e pode influenciar resultados e/ou tomar decisões motivadas por interesses próprios ou de terceiros, em detrimento aos interesses da organização, situação em que poderia afetar outras partes com quem se tem lealdades concorrentes.

Conselheiro: indivíduo eleito pelos sindicatos de ônibus filiados à Fetranspor para representação no Conselho de Gestão.

Conselho de Gestão: órgão colegiado de governança corporativa responsável pelo direcionamento estratégico, por aprovação de regimento, estatuto social, orçamento, contratação e destituição de presidente, diretores e auditores. Bem como em suas responsabilidades estatutárias, manifestam opinião sobre propostas direcionadas à Assembleia Geral de Representantes de Sindicatos. Crimes cibernéticos (“crimes eletrônicos”, “crimes digitais”, “crimes da informática”): são fraudes eletrônicas ou delitos computacionais criminosos. Referem-se à prática delituosa no meio digital, conforme definido na Lei nº 12.737/2012, resultando em dano, prejuízo ou transtorno à vítima, que pode ser um indivíduo ou uma empresa.

Custódia: consiste na responsabilidade de se guardar um ativo para terceiros. A custódia não permite automaticamente o acesso ao ativo e nem o direito de conceder acesso a outras pessoas físicas. Custodiante: é o responsável pela guarda do ativo que, de alguma forma, zela pelo armazenamento, operação, administração, manutenção ou preservação de um ativo que não lhe pertence.

Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável, ou seja, quando é possível a identificação, direta ou indireta, da pessoa natural por trás do dado, como por exemplo: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e número do título de eleitor), endereço residencial ou comercial, número de telefone, e-mail, cookies, número de cartão de crédito, números de cartões RioCard Mais e endereço IP.

Dado pessoal sensível: informação pessoal que possa, de alguma forma, vir a ter um caráter discriminatório, quando vinculado a uma pessoa natural, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a entidades representativas de caráter religioso, filosófico ou político, dado referente à saúde ou orientação sexual, dado genético ou biométrico, opinião sobre entidades de práticas desportivas.

Diligência periódica de pessoa física (“Background Check”): constitui uma avaliação periódica de pessoas físicas, caracterizadas como colaboradores, gestores, agentes de governança, agentes públicos, PEP e seus respectivos parentes ou aparentados por afinidade, que tenham algum tipo de relação profissional com as empresas do Sistema Fetranspor, ocupando cargos de confiança ou funções em áreas estratégicas, com vistas à prevenção de atos ilícitos (tais como: corrupção, fraude e lavagem de dinheiro) e mitigação de riscos trabalhistas, financeiros, ambientais, reputacionais, entre outros.

Diligência periódica de pessoa jurídica (“Due Diligence”): constitui uma avaliação periódica de pessoas jurídicas caraterizadas como fornecedores, clientes, conveniados, permissionários e concessionários de transporte público de passageiros, sindicatos de ônibus e demais partes interessadas no Sistema Fetranspor, com vistas à prevenção de atos ilícitos (tais como: corrupção, fraude e lavagem de dinheiro) e mitigação de riscos trabalhistas, financeiros, ambientais, reputacionais, entre outros.

Diretor: refere-se, no conjunto, ao diretor celetista e/ou diretor estatutário ou seus representantes legais. Quando houver referência ao diretor executivo, significa o diretor estatutário.

Formulário de conflito de interesses (“FCI”): formulário declaratório de eventuais situações de conflito de interesses pessoais, profissionais, relações contratuais, societárias ou de parentesco (parentes ou aparentados por afinidade) firmadas com partes interessadas (principalmente se forem partes relacionadas) e/ou qualquer atividade ou compromisso que seja contrário aos objetivos da Fetranspor ou que possam afetar adversamente a integridade, transparência e credibilidade de suas atividades profissionais, sendo dirigido a pessoas físicas, tais como: colaboradores, gestores, agentes de governança e demais partes interessadas.

Formulário de integridade e conformidade (“FIC”): formulário declaratório de eventuais situações de conflito de interesses pessoais, profissionais, relações contratuais, societárias ou de parentesco (parentes ou aparentados por afinidade) firmadas com partes interessadas (principalmente se forem partes relacionadas) e/ou qualquer atividade ou compromisso que seja contrário aos objetivos da Fetranspor ou que possam afetar adversamente a integridade, transparência e credibilidade de suas atividades profissionais, sendo dirigido a pessoas jurídicas, tais como: fornecedores, clientes e demais partes interessadas, no âmbito de suas relações com o Sistema Fetranspor.

Fraude: ato ilícito intencional ou de má-fé que visa à obtenção de vantagens indevidas ou ilegais, para si ou para terceiros, geralmente através de falsificações, omissões, furto, sabotagem, suborno, apropriação indébita, inverdades, abuso de poder, quebra de confiança, burla de regras, dentre outros.

Gestor: dirigente que ocupa cargo de confiança para gerir uma ou mais áreas de negócios (ex.: coordenadores, supervisores, líderes de loja e gerentes), alocado (direta ou indiretamente) sob a estrutura de uma Diretoria ou da Presidência responsável pela definição das diretrizes de sua área de atuação.

Governança corporativa: sistema de gestão pelo qual uma empresa é dirigida estrategicamente e monitorada por seus agentes de governança (ex.: Diretoria, Presidência, Comitês ou Órgãos colegiados de liderança e fiscalização) em seu relacionamento com as partes interessadas.

Grupo de Trabalho de Dados (“GTD”): junta técnica permanente de profissionais especializados nas diretrizes da LGPD, objetivando suportar as áreas de negócios na adequação de seus processos aos requerimentos legais. É composta pelos colaboradores e gestores responsáveis pelas áreas: Jurídica, Segurança da Informação e Controles Internos e Riscos.

Incidente de segurança: qualquer ato, omissão, coparticipação, colaboração em ações contrárias às diretrizes de segurança da informação, confirmado ou sob suspeita, causado por fatores humanos, tecnológicos ou do ambiente de segurança da informação, que possa resultar em perdas, danos, ameaças, interrupção de operação e/ou comprometimento da confidencialidade, da integridade e da disponibilidade das informações de propriedade ou sob custódia da Fetranspor. São exemplos de incidentes de segurança: concessão de acesso às pessoas não autorizadas perante as diretrizes de segurança da informação, crimes eletrônicos, violação cibernética, invasão, fraude, sabotagem, deleção e/ou modificação intencional de dados com o intuito de prejudicar auditorias e/ou investigações, etc.

Lavagem de dinheiro: são práticas econômico-financeiras que têm por finalidade dissimular a origem ilícita de determinados ativos, de forma que tais ativos aparentem ter origem lícita.

Obrigação financeira: compromisso ou assunção de dívida financeira pela Fetranspor (ex.: financiamentos, empréstimos e/ou outras transações a pagar), na qualidade de devedores (sujeitos passivos) perante credores (sujeitos ativos), em contrapartida do cumprimento de determinada prestação.

Operação com parte relacionada: é a transferência de recursos, serviços ou obrigações entre as partes, independentemente de ser cobrado um preço em contrapartida. Essas operações devem ser transparentes, formalizadas por meio de contratos e realizadas a valor justo, atendendo aos requerimentos legais.

Parente: refere-se aos parentes originários por vínculo sanguíneo ou adoção, tais como pai, mãe, filhos biológicos ou adotivos, irmãos e irmãs. Para mais detalhes, consulte definição dos artigos 1.591 a 1.595 do Código Civil.

Parte interessada: é toda pessoa física ou pessoa jurídica envolvida direta ou indiretamente nos projetos, atividades, negócios e operações de uma empresa, tais como: colaboradores, gestores, agentes de governança, financiadores, clientes, fornecedores, conveniados, agentes intermediários, agentes públicos, comunidades, governo, entidades de classe, organizações não governamentais e demais partes interessadas no Sistema Fetranspor.

Parte relacionada: é toda pessoa física ou pessoa jurídica relacionada ao Sistema Fetranspor que, direta ou indiretamente, por meio de um ou mais intermediários: a) represente ou controle as empresas do Sistema Fetranspor (ex.: Sindicatos das empresas de ônibus, Fetranspor e RioPar); b) seja representada ou controlada por, ou esteja sob o controle comum das empresas do Sistema Fetranspor (ex.: Fetranspor, RioPar e RioCard TI); c) for coligada ou empreendimento controlado em conjunto das empresas do Sistema Fetranspor (ex.: RioTerp, SPTA Holding Transporte Aquaviário Ltda., Barcas S.A. e concessionária do VLT Carioca); d) for um agente de governança das empresas enquadradas nos itens (a), (b) e (c) acima e/ou seus respectivos parentes ou aparentados por afinidade, por terem influência significativa nas diretrizes de governança do Sistema Fetranspor, considerando o seu mercado de atuação; e) for uma controlada, coligada ou empreendimento controlado em conjunto de empresas em que participem os agentes de governança, seus respectivos parentes ou aparentados por afinidade citados no item (d) acima, na medida em que firme contrato ou acordo, de qualquer natureza, com as empresas do Sistema Fetranspor; f) for uma empresa de transporte público coletivo de passageiros, no modal ônibus, que firme contrato ou acordo comercial com as empresas do Sistema Fetranspor, na qualidade de fornecedores, clientes ou conveniados (excetuadas as operações de ressarcimento das transações às operadoras de transporte processadas no Sistema de Bilhetagem Eletrônica); g) toda parte relacionada é considerada parte interessada. Para mais detalhes, consultar CPC 05.

Pessoa exposta politicamente (“PEP”): refere-se aos agentes públicos que desempenham ou tenham desempenhado, nos últimos cinco anos, no Brasil ou em países, territórios e dependências estrangeiros, cargos, empregos ou 35 funções públicas relevantes em autarquias, fundações públicas, empresas públicas ou sociedades de economia mista, conforme previsto na Resolução nº 29/2017.O conceito abrange os representantes, parentes e aparentados por afinidade dos agentes públicos considerados PEP. No caso de estrangeiros, são considerados PEP aqueles que exercem ou exerceram, nos últimos cinco anos, importantes funções públicas em um país estrangeiro, tais como: chefes de estado e de governo, políticos de alto nível, altos servidores dos poderes públicos, magistrados ou militares de alto nível, dirigentes de empresas públicas ou dirigentes de partidos políticos.

Presidente: é o nível máximo de gestão executiva da Fetranspor, com responsabilidade estatutária para executar suas diretrizes estratégicas.

Programa de Integridade e Conformidade (“PIC”): conjunto de mecanismos e procedimentos internos baseado na aderência às leis, regulamentos e instrumentos normativos, com o objetivo de disseminar uma cultura baseada nos valores organizacionais, gestão integrada de riscos e melhoria dos controles internos.

Recurso tecnológico: são ativos e direitos tangíveis ou intangíveis, de natureza tecnológica, utilizados como meios de armazenamento, processamento, comunicação, transmissão de dados e/ou voz. Os recursos tecnológicos tangíveis possuem uma forma física, tais como: equipamentos, máquinas, hardwares, notebooks, computadores, acessórios de conectividade, dispositivos móveis, etc. Os recursos tecnológicos intangíveis carecem de forma física, tais como: softwares, patentes, conhecimentos (“know-how”) ou outros tipos de propriedade intelectual.

Rede social: estrutura social composta por pessoas ou empresas, conectadas eletronicamente por um ou vários tipos de relações, que compartilham valores e objetivos. Atualmente, as redes sociais mais comuns no Brasil são: Facebook, WhatsApp, YouTube, Instagram, Twitter, LinkedIn, Pinterest, Google+, Snapchat, dentre outras usadas globalmente. Significativo/a: refere-se a algo relevante, material em termos de valor, impactante, que traga exposição a riscos médio, alto ou crítico ou que possa influenciar a tomada de decisão pelos gestores e agentes de governança.

Sistema de Bilhetagem Eletrônica: trata-se do sistema que processa todas 36 as transações de mobilidade do estado do Rio de Janeiro, cuja propriedade é da Fetranspor. O processamento da bilhetagem eletrônica é realizado pela RioCard TI. Sistema Fetranspor: abrange a Fetranspor e suas controladas RioPar e RioCard TI.

Termo de Aceite do Código de Conduta: acordo assinado por pessoa física e pessoa jurídica, pelo qual se comprometem em conhecer e cumprir com todos os termos, condições, valores organizacionais e diretrizes do Código de Conduta e demais legislações em vigor.

Titular do dado: pessoa física a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento de dado/informação: conjunto de ações referentes à produção, recepção, classificação, utilização, modificação, processamento, acesso, reprodução, comunicação, divulgação, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação, transferência, cessão, extração ou controle da informação.

Valor justo: preço que seria recebido pela venda de um ativo ou que seria pago pela transferência de um passivo em uma transação não forçada entre participantes do mercado na data de mensuração. Para mais detalhes, consultar o art. 9º. do Comitê de Pronunciamentos Contábeis nº 46/2012.