CÓDIGO DE ÉTICA E CONDUTA

1. Identidade VirtuaWorks

1.1 Missão
Proteger e fortalecer a segurança digital de nossos clientes por meio de soluções personalizadas em cibersegurança, identificando vulnerabilidades em sistemas de informação e processos, e garantindo a integridade e reputação das empresas no mercado.

1.2 Visão
Ser reconhecida como líder em soluções de cibersegurança, pioneira em inovação e excelência técnica, estabelecendo parcerias duradouras com clientes e contribuindo para um mundo digital mais seguro e confiável.

1.3 Valores

• Integridade: atuar de forma ética, transparente e responsável, respeitando a confidencialidade das informações dos clientes.
• Excelência: buscar aprimoramento técnico e inovação contínuos, garantindo a qualidade e a eficácia das soluções.
• Personalização: entender as necessidades específicas de cada cliente e desenvolver soluções sob medida.
• Colaboração: construir relações de confiança com clientes, parceiros e colaboradores, promovendo troca de conhecimento e melhoria contínua.
• Comprometimento: manter o foco no sucesso e satisfação do cliente, com suporte e orientação constantes para proteger seus negócios.

2. Propósito, Abrangência e Atualização

2.1 Propósito. Orientar decisões éticas, conformidade legal e prevenção de riscos de integridade — um código deve orientar a tomada de decisão, não ser só uma lista de proibições.

2.2 Abrangência. Aplica-se a administradores, colaboradores (CLT/PJ), estagiários, temporários, consultores, fornecedores, subcontratados e quaisquer terceiros que atuem em nome da VirtuaWorks.
2.3 Hierarquia. Havendo conflito entre este Código, políticas internas e leis aplicáveis, prevalece o padrão mais rigoroso.
2.4 Atualização. Revisamos periodicamente este Código para refletir mudanças legais e melhores práticas; a versão vigente fica nos repositórios internos.

3. Princípios de Conduta

• Integridade e legalidade
• Respeito e inclusão
• Confidencialidade e privacidade
• Excelência técnica e diligência
• Transparência e prestação de contas
• Concorrência leal
• Sustentabilidade e responsabilidade social
• Tolerância zero à corrupção

4. Papéis e Responsabilidades

4.1 Todos: conhecer e cumprir este Código e as políticas; fazer treinamentos; tratar pessoas com respeito; proteger informações; reportar dúvidas e suspeitas de violação.
4.2 Lideranças: dar o exemplo; incentivar ambiente de fala segura; evitar retaliação; apoiar decisões éticas; priorizar compliance.
4.3 Terceiros: cumprir este Código e contratos (integridade, privacidade, segurança); cooperar em auditorias e investigações.

5. Teste Rápido de Decisão Ética

Pergunte-se antes de agir:

• É legal e está alinhado às políticas?
• É justo com clientes, colegas, fornecedores e sociedade?
• Eu me sentiria confortável se isso saísse na capa do jornal?
• Protege dados, sistemas e interesses legítimos?
• Preciso consultar a liderança, Jurídico ou Compliance?

6. Ambiente de Trabalho Saudável e Seguro

6.1 Respeito e segurança. Valorizamos um ambiente seguro, inclusivo e respeitoso.
6.2 Vedações. Tolerância zero a assédio (moral/sexual), discriminação, intimidação e violência; não trabalhar sob efeito de drogas ilícitas; consumo de álcool apenas em ocasiões autorizadas, com moderação.
6.3 Direito de recusa. Interrompa e reporte situações com risco grave/iminente ou que demandem conduta antiética.

7. Direitos Humanos, Diversidade e Inclusão

7.1 Compromisso. Tratamento digno e oportunidades justas para todas as pessoas.
7.2 É proibido. Discriminação por gênero, identidade/expressão de gênero, orientação sexual, raça/etnia, deficiência, idade, crença, origem, aparência, condição socioeconômica ou outro fator protegido.
7.3 Responsabilidade. A liderança deve prevenir, agir e remediar qualquer conduta discriminatória.

8. Privacidade e Proteção de Dados (LGPD)

8.1 Princípios. Tratamento de dados pessoais com base legal adequada, finalidade definida, minimização, segurança, transparência e respeito aos direitos dos titulares, conforme Lei 13.709/2018 (LGPD).
8.2 Regras.

• Acesso mínimo necessário, apenas por quem tem necessidade e autorização; registrar e justificar acessos sensíveis.
• Proibido compartilhar credenciais; usar software não licenciado; expor dados/código sensível em repositórios públicos; retirar informações sem autorização.
• Transferências internacionais e provedores: cláusulas e salvaguardas adequadas.
• Incidentes de segurança/violação de dados: comunicação imediata pelos canais internos (e ao DPO, quando aplicável), seguindo fluxos e prazos previstos.
  8.3 Direitos dos titulares. Atender solicitações legítimas (acesso, correção, eliminação, portabilidade etc.) conforme processos internos.

9. Segurança da Informação e Propriedade Intelectual

9.1 Confidencialidade. Classificar informações; compartilhar por “need-to-know”; proteger segredos de negócio e PI (nossos e de clientes).
9.2 Controles. Cumprir políticas de Acesso, Gestão de Vulnerabilidades, Criptografia, Gestão de Incidentes, BYOD e Trabalho Remoto.
9.3 Ativos e tecnologia. Usar ativos (equipamentos, redes, marca, softwares) apenas para fins profissionais autorizados; não burlar controles nem instalar softwares sem licença.
9.4 Registros e auditoria. Manter registros e evidências íntegros, completos e tempestivos.

10. Ética Profissional em Cibersegurança

10.1 Autorização e escopo. Atividades ofensivas (pentest, red team, engenharia social) exigem contrato/OS, escopo claro, janelas de execução, contatos de emergência e offboarding de acessos.
10.2 Conduta profissional.

• Prestar serviço diligente e competente, dentro da sua competência técnica.
• Divulgação responsável de vulnerabilidades; priorizar segurança do cliente e do público.
• Backdoors são proibidos: não manter acessos clandestinos após o encerramento.
• Zero exploração fora de escopo; nunca usar acesso privilegiado para benefício próprio.
• Cadeia de custódia: evidências íntegras, replicáveis, com logs e hash.
  10.3 Relatos técnicos. Precisos, objetivos e acionáveis; sem sensacionalismo.
  10.4 Cânones profissionais. Proteger a sociedade e a infraestrutura; agir com honra; servir com diligência; promover a profissão.

11. Relações com Clientes

11.1 Transparência. Comunicar claramente escopo, limitações, prazos, critérios de sucesso e impactos.
11.2 Confiança. Tratar informações com sigilo; reportar imprevistos relevantes; evitar conflitos de interesses.
11.3 Continuidade. Definir plano de resposta a incidentes e contingências em projetos críticos.

12. Fornecedores, Parceiros e Terceiros

12.1 Seleção e due diligence. Critérios técnicos, éticos e econômicos; avaliação proporcional ao risco; cláusulas de integridade, privacidade, segurança, direitos humanos e meio ambiente.
12.2 Monitoramento. Acompanhar desempenho e conformidade; prever sanções/rescisão por descumprimento relevante.
12.3 Cadeia de valor. Estimular padrões similares e canais de denúncia sem retaliação. Programas de integridade eficazes promovem prevenção, detecção e remediação.

13. Conflitos de Interesses

13.1 Evite e declare. Situações pessoais que possam influenciar (ou parecer influenciar) decisões da VirtuaWorks devem ser declaradas e geridas com liderança/Compliance (ex.: relação com fornecedores/clientes; subordinação entre familiares/relacionamentos afetivos; atividades paralelas conflitantes; investimentos relevantes).
13.2 Vedações. É proibido obter vantagens pessoais de relações de trabalho, usar informações privilegiadas ou intervir em decisões envolvendo pessoas/empresas com as quais haja relação pessoal relevante.

14. Brindes, Presentes e Hospitalidades

14.1 Setor público. É vedado oferecer, prometer, dar ou receber qualquer vantagem, brinde, presente ou hospitalidade a/de agente público (inclui “pagamentos de facilitação”).
14.2 Relações privadas. Apenas itens de baixo valor simbólico e jamais para influenciar decisões; observar políticas internas e regras da contraparte; registrar e obter aprovações quando exigido.

15. Anticorrupção, Setor Público e Licitações

15.1 Tolerância zero. Proibidos suborno, fraude, lavagem de dinheiro, cartel e ilicitudes em licitações — elementos centrais de programas de integridade no Brasil.

15.2 Interações com agentes públicos. Registrar agendas; preferir reuniões com mais de um representante da VirtuaWorks; pautas e materiais claros; quarentena e critérios técnicos para contratação de ex-agentes.
15.3 Licitações. Documentos fidedignos, formação de preço com base técnica, aprovações em nível adequado e segregação de funções.

16. Concorrência Leal

Respeitar as leis de defesa da concorrência. É proibido trocar com concorrentes informações sensíveis (preços, condições comerciais, listas de clientes, estratégias) ou praticar condutas anticompetitivas.

17. Comunicação Externa e Mídias Sociais

Somente porta-vozes autorizados falam em nome da VirtuaWorks. É proibido divulgar informações confidenciais, dados pessoais, código proprietário ou achados de cliente em redes sociais, conferências ou fóruns, salvo autorização formal e dentro das regras de divulgação responsável.

18. Sustentabilidade e Responsabilidade Social

Minimizar impactos ambientais (energia, resíduos, deslocamentos) e apoiar iniciativas que promovam educação, inclusão e segurança digital.

19. Treinamentos, Registros e Auditorias

19.1 Treinamentos obrigatórios. Ética, privacidade/LGPD e segurança da informação, com recorrência definida.
19.2 Registros e logs. Manter registros verdadeiros, completos e tempestivos; garantir integridade de logs e cadeias de custódia; colaborar com auditorias internas/externas.

20. Canais de Dúvida e Denúncia

20.1 Canais.

• Dúvidas: liderança, Jurídico ou Compliance — portal interno.
• Canal anônimo: [email protected]

20.2 Proteção ao denunciante. É proibida qualquer retaliação contra quem reporta de boa-fé; denúncias são tratadas com confidencialidade e imparcialidade, com supervisão de Compliance.
20.3 Tratamento. As manifestações são registradas, analisadas e concluídas com prazos razoáveis, com comunicação de resultado quando cabível.

21. Consequências de Violações

Medidas proporcionais podem incluir orientação, advertência, suspensão, rescisão contratual, ações civis/administrativas/criminais e comunicação a autoridades quando exigido.

22. Governança do Código

22.1 Aprovação e guarda. A alta administração aprova este Código; Compliance o mantém com apoio do Jurídico e da Auditoria Interna.
22.2 Revisões. Ao menos anual ou quando mudanças legais/organizacionais o exigirem.
22.3 Políticas correlatas. Anticorrupção; Conflitos de Interesses; Privacidade e Proteção de Dados (LGPD); Segurança da Informação; Uso de Ativos de TI; Relação com a Imprensa; Gestão de Terceiros; Brindes/Presentes; Trabalho Remoto/BYOD.

23. Glossário Essencial

Agente público: quem exerce, ainda que temporariamente ou sem remuneração, cargo/emprego/função pública.
Backdoor: acesso clandestino e não autorizado mantido em sistema/ambiente.
Dados pessoais sensíveis: dados sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, biometria ou genética.
Pagamento de facilitação: vantagem indevida para acelerar ato de rotina; proibido.
Responsible disclosure: reporte coordenado de vulnerabilidades para corrigir risco antes da publicidade.

24. Termo de Ciência e Compromisso

Declaro que li, compreendi e me comprometo a cumprir o Código de Ética e Conduta da VirtuaWorks Cybersecurity, bem como suas políticas correlatas.