Política completa

Política de Privacidade e Proteção de Dados Pessoais

Universidade Corporativa Grupo5estrelas
Última atualização: Fevereiro de 2026
Controlador: Grupo 5 estrelas – CNPJ nº 72.591.894/0001-42

1. Apresentação

A presente Política de Privacidade e Proteção de Dados Pessoais descreve, de forma clara, objetiva e transparente, como o Grupo 5 estrelas trata dados pessoais no contexto da Universidade Corporativa Grupo5estrelas, incluindo seu portal de ensino, ambiente virtual de aprendizagem, trilhas de capacitação, avaliações, emissão de certificados, gestão de acessos, suporte técnico e atividades correlatas.

Esta Política foi elaborada em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), com a legislação brasileira aplicável e com as diretrizes internas de Compliance, Segurança da Informação e Governança de Dados.

Nosso compromisso é tratar dados pessoais apenas na medida do que for necessário, adequado e proporcional às finalidades legítimas informadas nesta Política, observando os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

2. A quem esta Política se aplica

Esta Política se aplica aos dados pessoais tratados no âmbito da Universidade Corporativa Grupo5estrelas, inclusive quando relacionados a:

• colaboradores, empregados e dirigentes;

• aprendizes, estagiários e terceiros autorizados;

• prestadores de serviço e parceiros com acesso à plataforma;

• usuários internos ou externos vinculados a treinamentos, trilhas, certificações ou conteúdos corporativos;

• visitantes autenticados, administradores de conteúdo e usuários com perfil de gestão na plataforma.

Esta Política não substitui instrumentos contratuais, políticas internas, normas corporativas, avisos específicos, termos de uso ou comunicações operacionais complementares, que poderão coexistir com este documento.

3. Quem é o controlador dos dados

O Grupo 5 estrelas, inscrito no CNPJ nº 72.591.894/0001-42, é o controlador dos dados pessoais tratados no contexto desta Plataforma, sendo responsável pelas decisões referentes às finalidades e aos meios essenciais do tratamento.

Quando necessário, o Grupo5estrelas poderá contar com operadores de tratamento, tais como provedores de hospedagem, fornecedores de tecnologia, suporte, autenticação, monitoramento, armazenamento e auditoria, sempre observando critérios de segurança, confidencialidade e governança compatíveis com a legislação aplicável.

4. Conceitos importantes

Para facilitar a leitura desta Política, adotamos os seguintes conceitos:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

• Titular: pessoa natural a quem se referem os dados pessoais.

• Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

• Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento dos dados pessoais.

• Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

• Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados.

• Anonimização: utilização de meios técnicos razoáveis e disponíveis para tornar o dado não identificável, considerando o estado da técnica.

• Pseudonimização: tratamento pelo qual o dado perde a possibilidade de associação direta ao titular sem o uso de informação adicional separadamente mantida.

5. Quais dados pessoais tratamos

Tratamos apenas os dados pessoais pertinentes às finalidades informadas nesta Política. A depender do perfil do usuário e do uso da plataforma, poderemos tratar as seguintes categorias:

5.1. Dados de identificação e cadastro

• nome completo;

• CPF ou matrícula funcional, quando aplicável;

• e-mail corporativo e, quando necessário, e-mail profissional vinculado;

• cargo, função, unidade, área, departamento ou centro de custo;

• empresa do grupo, filial, contrato ou vínculo organizacional;

• login, identificador interno do usuário e credenciais de acesso.

5.2. Dados acadêmicos, educacionais e de desempenho

• cursos atribuídos, em andamento e concluídos;

• trilhas de aprendizagem;

• notas, avaliações, frequência e progresso;

• certificados emitidos;

• histórico de treinamentos obrigatórios e facultativos;

• registros de aceite de conteúdos, políticas, termos ou declarações acadêmicas;

• interações pedagógicas necessárias ao funcionamento do ambiente.

5.3. Dados técnicos, de navegação e segurança

• endereço IP;

• data e hora de acesso;

• identificadores de sessão;

• logs de autenticação e eventos de segurança;

• tipo e versão do navegador;

• sistema operacional;

• tipo de dispositivo;

• geolocalização aproximada derivada do IP, quando aplicável;

• trilhas de auditoria sobre ações relevantes na plataforma.

5.4. Dados de suporte e atendimento

• chamados técnicos;

• histórico de suporte;

• informações fornecidas voluntariamente em contatos com a equipe de atendimento, service desk, compliance, tecnologia ou privacidade.

5.5. Dados eventualmente tratados em situações específicas

Em regra, a Universidade Corporativa não exige o tratamento de dados pessoais sensíveis para o acesso ordinário à plataforma. Excepcionalmente, caso algum tratamento dessa natureza venha a ser necessário para atender obrigação legal, acessibilidade, exercício regular de direitos, segurança ou outra hipótese legal aplicável, o Grupo5estrelas adotará salvaguardas reforçadas e restringirá o tratamento ao estritamente necessário.

6. Como obtemos os dados pessoais

Os dados pessoais podem ser obtidos das seguintes fontes:

• diretamente do titular, no momento do cadastro, autenticação, uso da plataforma, abertura de chamado ou interação com funcionalidades do ambiente;

• de bases corporativas legítimas do Grupo5estrelas, como diretórios internos, sistemas de RH, gestão de identidade, controle de acessos ou sistemas integrados de treinamento;

• de gestores, áreas de pessoas, compliance, auditoria, tecnologia, segurança da informação ou áreas responsáveis pela atribuição de treinamentos obrigatórios;

• automaticamente, por meio de logs, cookies, identificadores técnicos e mecanismos de segurança da plataforma;

• de terceiros contratados para operar a infraestrutura tecnológica, desde que o compartilhamento seja legítimo e necessário.

O titular compromete-se a fornecer informações verdadeiras, exatas e atualizadas quando isso lhe couber.

7. Para quais finalidades tratamos os dados e quais bases legais podem ser aplicadas

Tratamos dados pessoais apenas para finalidades legítimas, específicas e informadas. A depender do contexto, as seguintes finalidades e bases legais poderão ser aplicáveis:

7.1. Observações sobre as bases legais

• Nem todo tratamento depende de consentimento.

• Sempre que o consentimento for utilizado como base legal, ele será solicitado de forma apropriada, destacada e, quando cabível, poderá ser revogado pelo titular nos termos da legislação aplicável.

• Quando houver tratamento de dados pessoais sensíveis, serão observadas as hipóteses legais específicas previstas na LGPD.

8. Uso de cookies e tecnologias semelhantes

A plataforma poderá utilizar cookies e tecnologias equivalentes para garantir o seu funcionamento, manter sessões autenticadas, aprimorar a segurança, compreender o desempenho da navegação e melhorar a experiência do usuário.

Poderemos utilizar, conforme o caso:

• cookies estritamente necessários: indispensáveis ao funcionamento da plataforma, autenticação, balanceamento de sessão e segurança;

• cookies de desempenho ou analíticos: utilizados para gerar estatísticas agregadas de uso, sempre que cabível e de forma compatível com a legislação;

• cookies de preferências: utilizados para armazenar escolhas do usuário e melhorar a usabilidade.

Alguns cookies poderão ser gerenciados no navegador ou em mecanismos disponibilizados na própria plataforma, observado que a desativação de certos cookies pode comprometer funcionalidades essenciais.

9. Compartilhamento de dados pessoais

O Grupo5estrelas não comercializa dados pessoais. O compartilhamento ocorrerá apenas quando necessário, legítimo e compatível com as finalidades informadas nesta Política.

Os dados poderão ser compartilhados, conforme o caso, com:

• empresas do próprio grupo econômico, quando necessário à gestão da Universidade Corporativa e de obrigações internas legítimas;

• fornecedores e operadores de tecnologia responsáveis por hospedagem, manutenção, autenticação, segurança, monitoramento, armazenamento, suporte e continuidade da plataforma;

• auditorias internas e externas, certificadoras, consultorias especializadas e áreas de controle, quando houver necessidade de comprovação, conformidade, rastreabilidade e governança;

• áreas internas responsáveis por gente e gestão, compliance, jurídico, segurança da informação, riscos, controles internos e tecnologia, estritamente na medida necessária;

• autoridades públicas, judiciais, administrativas ou regulatórias, quando houver obrigação legal, regulatória ou ordem válida;

• terceiros envolvidos em operações societárias, reorganizações, cisões, incorporações ou sucessões, respeitados os requisitos legais e de confidencialidade.

Sempre que possível e aplicável, o compartilhamento será disciplinado por instrumentos contratuais que estabeleçam obrigações de confidencialidade, segurança, limitação de finalidade e observância à LGPD.

10. Transferência internacional de dados

Em algumas situações, os dados pessoais poderão ser processados, armazenados ou acessados fora do Brasil, por exemplo, em razão da contratação de provedores de nuvem, serviços de tecnologia, infraestrutura, suporte ou contingência com operação internacional.

Quando houver transferência internacional, o Grupo5estrelas adotará as medidas exigidas pela legislação aplicável, observando mecanismos aptos a assegurar grau de proteção de dados compatível com a LGPD, incluindo, quando cabível:

• utilização de fornecedores que adotem padrões adequados de governança e segurança;

• cláusulas contratuais apropriadas;

• avaliação de medidas técnicas e organizacionais;

• observância às hipóteses legais e regulatórias pertinentes.

11. Segurança da informação e proteção dos dados

O Grupo5estrelas adota medidas técnicas, administrativas e organizacionais razoáveis e proporcionais para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Essas medidas podem incluir, conforme o caso:

• controle de acessos com segregação de perfis;

• autenticação e gestão segura de credenciais;

• criptografia em trânsito e, quando aplicável, em repouso;

• monitoramento de eventos de segurança;

• backups e rotinas de continuidade;

• gestão de vulnerabilidades e atualização tecnológica;

• registro e rastreabilidade de eventos relevantes;

• treinamento e conscientização de colaboradores;

• avaliação contratual de operadores e fornecedores.

Embora adotemos boas práticas e controles de segurança, nenhum ambiente é absolutamente imune a incidentes. Caso ocorra incidente de segurança com potencial de risco ou dano relevante aos titulares, o Grupo5estrelas adotará as providências cabíveis, inclusive comunicação à autoridade competente e aos titulares, quando exigido pela legislação aplicável.

12. Retenção e eliminação dos dados pessoais

Os dados pessoais serão armazenados apenas pelo tempo necessário para o cumprimento das finalidades que justificaram o tratamento, observados:

• prazos legais e regulatórios aplicáveis;

• obrigações de guarda de registros e evidências;

• necessidades de auditoria, compliance, segurança e prestação de contas;

• exercício regular de direitos em processos judiciais, administrativos ou arbitrais;

• requisitos de continuidade operacional e prevenção a fraudes.

De forma geral:

• dados acadêmicos, trilhas, certificados e históricos de capacitação poderão ser mantidos enquanto houver necessidade legítima de comprovação, auditoria, governança, obrigações internas ou externas e defesa de direitos;

• logs técnicos e registros de acesso poderão ser mantidos pelo prazo legal aplicável e, adicionalmente, pelo tempo necessário à segurança da informação, investigação de incidentes e exercício regular de direitos;

• dados de suporte poderão ser mantidos enquanto necessários ao atendimento, rastreabilidade e melhoria do serviço.

Encerradas as finalidades e ausente base legal para retenção, os dados serão eliminados, anonimizados ou submetidos a bloqueio, conforme aplicável.

13. Direitos do titular de dados pessoais

Nos termos da LGPD e da regulamentação aplicável, o titular poderá exercer, conforme cabível, os seguintes direitos:

• confirmação da existência de tratamento;

• acesso aos dados pessoais;

• correção de dados incompletos, inexatos ou desatualizados;

• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação;

• portabilidade, observados os segredos comercial e industrial e a regulamentação aplicável;

• eliminação dos dados tratados com consentimento, quando cabível;

• informação sobre as entidades públicas e privadas com as quais realizamos uso compartilhado de dados;

• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando essa base legal for utilizada;

• revogação do consentimento, quando aplicável;

• oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;

• solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, quando aplicável.

O exercício de direitos será gratuito, facilitado e submetido a procedimentos razoáveis de autenticação, de modo a proteger os dados contra acesso indevido por terceiros.

14. Como exercer seus direitos

As solicitações relacionadas a esta Política ou ao tratamento de dados pessoais poderão ser encaminhadas ao nosso Encarregado pelo tratamento de dados pessoais pelos canais indicados nesta Política.

Para a segurança do titular e prevenção a fraudes, poderemos solicitar informações adicionais estritamente necessárias à confirmação de identidade e à correta localização dos dados. Sempre que possível, evitaremos requisições excessivas ou desproporcionais de documentos.

As solicitações serão analisadas e respondidas nos prazos e termos previstos na legislação aplicável, podendo ser justificadamente atendidas, complementadas, parcialmente atendidas ou indeferidas quando houver fundamento legal.

15. Decisões automatizadas e perfilhamento

Em regra, a Universidade Corporativa Grupo5estrelas não realiza decisões que produzam efeitos jurídicos ou afetem significativamente o titular com base exclusivamente em tratamento automatizado de dados pessoais para fins disciplinares, contratuais ou trabalhistas.

Caso alguma funcionalidade automatizada venha a ser utilizada para personalização de trilhas, recomendação de conteúdo, priorização de suporte, prevenção a fraude ou segurança, isso ocorrerá com observância à legislação aplicável e sem afastar os direitos do titular previstos na LGPD.

16. Dados de crianças e adolescentes

A Universidade Corporativa é direcionada, em regra, a público corporativo adulto. O tratamento de dados pessoais de crianças e adolescentes não constitui a finalidade ordinária desta plataforma.

Se, excepcionalmente, houver tratamento dessa natureza em contexto legítimo e autorizado, serão observadas as salvaguardas legais pertinentes e, quando necessário, os mecanismos adequados de consentimento específico e em destaque por pelo menos um dos pais ou responsável legal, nos termos da legislação aplicável.

17. Responsabilidades dos usuários

Para contribuir com a proteção de seus dados e a segurança da plataforma, o usuário deve:

• manter sigilo sobre suas credenciais de acesso;

• não compartilhar login e senha com terceiros;

• utilizar a plataforma de acordo com as políticas internas e os termos aplicáveis;

• manter seus dados cadastrais atualizados;

• comunicar prontamente eventual uso indevido, suspeita de comprometimento de conta ou incidente de segurança.

O uso inadequado da plataforma poderá ensejar medidas administrativas, contratuais, disciplinares ou legais cabíveis.

18. Encarregado pelo tratamento de dados pessoais (DPO)

Para dúvidas, solicitações, exercício de direitos ou comunicações relacionadas à privacidade e proteção de dados, o titular poderá contatar o Encarregado:

Nome: Sancle Landim Albuquerque
Registro DPO: 5653907.20788760
Registro Membro ANPPD: 8202
E-mail: sancle.albuquerque@midnal.com.br
Telefone: +55 61 98279-9476

O Encarregado atua como canal de comunicação entre o Grupo5estrelas, os titulares de dados e a Autoridade Nacional de Proteção de Dados, nos termos da legislação aplicável.

19. Atualizações desta Política

Esta Política poderá ser atualizada a qualquer tempo para refletir alterações legislativas, regulatórias, tecnológicas, operacionais ou de governança interna.

Quando houver alterações relevantes, o Grupo5estrelas poderá adotar medidas razoáveis para dar ciência aos usuários, sem prejuízo da disponibilização permanente da versão vigente nos canais apropriados.

Recomendamos a consulta periódica deste documento.

20. Canal de contato

Em caso de dúvidas sobre esta Política ou sobre o tratamento de dados pessoais realizado no contexto da Universidade Corporativa Grupo5estrelas, entre em contato com o Encarregado pelos canais acima informados.

21. Disposições finais

Esta Política será interpretada de acordo com a legislação brasileira e os princípios da proteção de dados pessoais.

Na hipótese de qualquer disposição desta Política ser considerada inválida, ilegal ou inexequível, as demais disposições permanecerão válidas e em pleno vigor.

A versão mais atual desta Política prevalecerá sobre versões anteriores a partir de sua publicação.

Política completa

Termos de Uso da Plataforma

Universidade Corporativa Grupo5estrelas
Última atualização: Fevereiro de 2026
Gestora da Plataforma: Grupo 5 estrelas – CNPJ nº 72.591.894/0001-42

1. Apresentação

Estes Termos de Uso regulam o acesso e a utilização da Universidade Corporativa Grupo 5 estrelas, incluindo o ambiente virtual de aprendizagem, trilhas de capacitação, conteúdos institucionais, avaliações, emissão de certificados, fóruns, biblioteca digital, mural de avisos, funcionalidades administrativas e demais recursos vinculados à plataforma.

Ao acessar, cadastrar-se ou utilizar a plataforma, o usuário declara que leu, compreendeu e concorda com estes Termos de Uso, bem como com a Política de Privacidade e Proteção de Dados Pessoais aplicável ao ambiente.

Caso o usuário não concorde com qualquer disposição destes Termos, deverá interromper o uso da plataforma.

2. Definições

Para fins destes Termos, considera-se:

• Plataforma: a Universidade Corporativa Grupo5estrelas, seus módulos, páginas, funcionalidades, integrações, conteúdos e ambientes associados.

• Grupo5estrelas: a pessoa jurídica responsável pela gestão da plataforma e pela disponibilização dos recursos nela contidos.

• Usuário: toda pessoa física autorizada a acessar a plataforma, inclusive colaboradores, aprendizes, estagiários, terceiros, prestadores, parceiros, administradores ou gestores.

• Conteúdo: todo material disponibilizado na plataforma, incluindo cursos, videoaulas, avaliações, apostilas, manuais, procedimentos, normas internas, imagens, textos, marcas, certificados, trilhas e arquivos em qualquer formato.

• Credenciais: login, senha, token, código de autenticação, identificador corporativo ou qualquer mecanismo de acesso vinculado ao usuário.

• Ambiente de Treinamento: espaço técnico, acadêmico, virtual ou simulado disponibilizado para fins de capacitação, demonstração, aprendizagem ou prática controlada.

3. Objeto da plataforma

A Universidade Corporativa Grupo 5 estrelas tem por finalidade apoiar a formação, atualização, capacitação, comunicação institucional, disseminação de políticas corporativas, gestão de treinamentos obrigatórios e facultativos, trilhas de desenvolvimento, registros de aprendizagem, controles de conformidade e emissão de certificados ou evidências acadêmicas internas.

A plataforma poderá ser utilizada, conforme o caso, para:

• treinamentos operacionais;

• treinamentos de segurança da informação, ética, privacidade, compliance, saúde e segurança, prevenção de riscos e temas regulatórios;

• reciclagens periódicas;

• avaliações de aprendizagem;

• gestão de certificados e históricos;

• divulgação de comunicados internos e materiais de apoio;

• gestão de trilhas obrigatórias por cargo, área, unidade ou perfil de risco.

4. Elegibilidade e acesso

O acesso à plataforma é restrito a usuários previamente autorizados pelo Grupo5estrelas ou por áreas corporativas legitimadas a realizar esse cadastramento.

Poderão acessar a plataforma, conforme seu perfil:

• colaboradores e empregados;

• gestores e administradores internos;

• aprendizes e estagiários;

• parceiros, terceiros e prestadores de serviço;

• usuários externos formalmente autorizados para treinamentos, certificações ou conteúdos específicos.

O Grupo5estrelas poderá definir critérios de elegibilidade, perfis de acesso, permissões, limites técnicos e requisitos de autenticação adicionais, inclusive autenticação reforçada, quando necessário por razões de segurança, confidencialidade, criticidade do conteúdo ou conformidade regulatória.

5. Cadastro, conta e credenciais

5.1. Natureza pessoal e intransferível

O acesso à plataforma é pessoal, individual e intransferível. O usuário não poderá compartilhar sua conta, credenciais ou qualquer mecanismo de autenticação com terceiros.

5.2. Responsabilidade sobre credenciais

O usuário é responsável por:

• manter o sigilo de suas credenciais;

• adotar senha forte e compatível com as diretrizes corporativas, quando aplicável;

• não reutilizar senhas de forma insegura;

• encerrar corretamente a sessão em dispositivos compartilhados;

• comunicar imediatamente qualquer suspeita de uso indevido, comprometimento de conta ou incidente de segurança.

5.3. Veracidade das informações

O usuário declara que as informações associadas à sua conta e aos dados utilizados para emissão de registros acadêmicos, certificados ou evidências de conclusão são verdadeiras, completas e atualizadas.

O fornecimento de informações falsas, incompletas, inconsistentes ou enganosas poderá resultar em:

• correção cadastral compulsória;

• suspensão de acesso;

• invalidação de certificados;

• revisão de registros acadêmicos;

• comunicação às áreas competentes, inclusive gestor, RH, Compliance, Jurídico ou Segurança da Informação, quando cabível.

5.4. Bloqueio preventivo e recuperação de acesso

O Grupo5estrelas poderá bloquear, restringir, suspender ou exigir validações adicionais de acesso quando identificar indícios de:

• atividade suspeita;

• tentativa de fraude;

• uso incompatível com estes Termos;

• violação de segurança;

• tentativa de acesso não autorizado;

• automação indevida;

• compartilhamento de credenciais;

• risco à integridade da plataforma, do conteúdo ou de outros usuários.

6. Regras de uso aceitável

O usuário compromete-se a utilizar a plataforma de forma ética, diligente, segura e compatível com sua finalidade corporativa, acadêmica e institucional.

É vedado ao usuário, entre outras condutas:

• utilizar a plataforma para finalidade ilícita, fraudulenta, abusiva ou não autorizada;

• acessar áreas, conteúdos ou perfis sem permissão;

• compartilhar, emprestar, ceder ou comercializar credenciais de acesso;

• tentar burlar controles técnicos, avaliações, trilhas obrigatórias, requisitos de aprovação ou mecanismos de auditoria;

• manipular logs, registros, frequência, progresso, certificados ou evidências acadêmicas;

• inserir vírus, scripts maliciosos, bots, rotinas automatizadas, engenharia social, exploração de vulnerabilidades ou qualquer mecanismo destinado a comprometer a segurança da plataforma;

• copiar, extrair, reproduzir, distribuir, divulgar, transmitir, revender ou explorar comercialmente conteúdos sem autorização expressa;

• praticar assédio, ofensas, discriminação, ameaças, intimidação ou qualquer conduta incompatível com o ambiente corporativo em fóruns, comentários, chats ou interações acadêmicas;

• divulgar informação confidencial, estratégica, técnica, comercial, jurídica ou operacional do Grupo5estrelas ou de terceiros;

• utilizar conteúdo da plataforma para engenharia reversa, clonagem de processos, violação de propriedade intelectual ou concorrência desleal;

• realizar scraping, coleta massiva, mineração automatizada ou extração indevida de dados, salvo autorização formal e específica.

O uso da plataforma deve observar, além destes Termos, as políticas internas do Grupo5estrelas, incluindo regras de segurança da informação, ética, compliance, confidencialidade e uso aceitável de recursos tecnológicos, quando aplicáveis.

7. Cursos, trilhas, avaliações e certificações

7.1. Matrícula e disponibilidade

Os cursos e trilhas poderão ser atribuídos automaticamente por cargo, função, unidade, projeto, requisito regulatório, perfil de risco, cronograma interno ou definição gerencial, sem necessidade de solicitação individual do usuário.

7.2. Critérios de conclusão

A conclusão de cursos e a emissão de certificados poderão depender, conforme o caso, do atendimento cumulativo ou alternativo de requisitos como:

• visualização mínima de conteúdo;

• progresso mínimo;

• presença em módulos obrigatórios;

• prazo de realização;

• aprovação em avaliações;

• aceite de políticas ou declarações vinculadas ao treinamento;

• participação em atividades complementares.

7.3. Certificados e validade

Os certificados, declarações e evidências acadêmicas emitidos pela plataforma poderão conter identificadores de autenticidade, trilha de auditoria, data de emissão e demais elementos de validação.

A validade de determinados treinamentos poderá expirar conforme:

• regras internas de reciclagem;

• exigências regulatórias;

• políticas de compliance;

• mudanças normativas;

• atualização de procedimentos, controles ou riscos.

O Grupo5estrelas poderá exigir nova realização de treinamentos já concluídos quando houver necessidade de atualização, requalificação, reforço de controles, mudanças operacionais ou exigência legal/regulatória.

7.4. Revisão, cancelamento e invalidação

Certificados, registros de conclusão, notas e históricos poderão ser revisados, suspensos, corrigidos ou invalidados quando houver evidência de:

• fraude;

• cola;

• simulação indevida de presença ou progresso;

• uso irregular de credenciais;

• erro material de sistema;

• inconsistência cadastral relevante;

• descumprimento dos requisitos efetivos de aprovação.

7.5. Ambientes de treinamento e simulação

O acesso a ambientes de demonstração, laboratórios, sandbox, cenários simulados ou testes não gera, por si só:

• credenciamento automático para produção;

• autorização operacional definitiva;

• homologação técnica automática;

• delegação de responsabilidades adicionais fora do escopo do treinamento.

Qualquer habilitação operacional efetiva dependerá de critérios adicionais definidos pelas áreas responsáveis.

8. Conteúdo, propriedade intelectual e confidencialidade

Todo o conteúdo disponibilizado na plataforma é protegido pela legislação aplicável e pertence ao Grupo5estrelas ou a terceiros que o licenciaram legitimamente, conforme o caso.

Isso inclui, sem limitação:

• identidade visual, marcas, nomes empresariais e sinais distintivos;

• cursos, aulas, trilhas e roteiros;

• textos, manuais, apresentações, apostilas e cartilhas;

• vídeos, áudios, ilustrações, imagens e layouts;

• questionários, avaliações, bancos de questões e gabaritos;

• bases documentais, fluxos, procedimentos, métodos, modelos e materiais de apoio.

Salvo autorização expressa e por escrito, é proibido ao usuário:

• reproduzir ou distribuir conteúdo integral ou parcialmente;

• gravar tela, aula, áudio ou vídeo da plataforma para repasse a terceiros;

• remover marcas, avisos de autoria, controles de autenticação ou mecanismos de proteção;

• vender, licenciar, sublicenciar ou explorar economicamente qualquer conteúdo;

• utilizar o conteúdo para treinamento de terceiros alheios ao Grupo5estrelas sem autorização formal.

Quando o conteúdo tiver natureza confidencial ou estratégica, o usuário deverá tratá-lo de acordo com as políticas internas e com os deveres de sigilo aplicáveis ao seu vínculo com o Grupo5estrelas.

9. Monitoramento, logs e auditoria

Para fins de segurança, continuidade, integridade da plataforma, rastreabilidade, prevenção a fraudes, suporte técnico, auditoria, conformidade e defesa de direitos, o Grupo5estrelas poderá registrar e analisar eventos relacionados ao uso da plataforma, tais como:

• autenticações e tentativas de login;

• endereço IP e data/hora de acesso;

• progresso em cursos;

• conclusão de atividades;

• emissão de certificados;

• ações administrativas relevantes;

• erros, falhas e eventos de segurança.

O tratamento desses dados observará a Política de Privacidade aplicável e a legislação pertinente, inclusive no que se refere à proteção de dados pessoais.

10. Integrações e serviços de terceiros

A plataforma poderá operar com componentes, plugins, bibliotecas, integrações, repositórios, serviços de autenticação, infraestrutura em nuvem, sistemas de mensageria, ferramentas de suporte ou recursos de terceiros.

Sempre que possível, o Grupo5estrelas buscará selecionar fornecedores compatíveis com padrões adequados de segurança, estabilidade e governança. Todavia, integrações de terceiros podem estar sujeitas a indisponibilidades, atualizações, mudanças técnicas ou condições próprias.

Quando houver redirecionamento para ambiente externo, o uso poderá estar sujeito a termos, políticas e responsabilidades próprias do terceiro.

11. Privacidade e proteção de dados

O tratamento de dados pessoais no contexto do uso da plataforma ocorre nos termos da Política de Privacidade e Proteção de Dados Pessoais da Universidade Corporativa Grupo5estrelas, que integra estes Termos para todos os fins.

Ao utilizar a plataforma, o usuário declara ciência de que determinados dados de cadastro, acesso, desempenho acadêmico, autenticação, suporte e segurança poderão ser tratados para viabilizar a prestação do serviço, a gestão de treinamentos, a conformidade regulatória, a segurança da informação e o exercício regular de direitos.

Questões relacionadas ao tratamento de dados pessoais, exercício de direitos do titular e contato com o Encarregado deverão observar os canais e procedimentos previstos na Política de Privacidade.

12. Disponibilidade, manutenção e mudanças na plataforma

O Grupo5estrelas envidará esforços razoáveis para manter a plataforma disponível, íntegra e funcional, mas não garante disponibilidade ininterrupta, ausência absoluta de falhas, compatibilidade universal com todos os dispositivos ou funcionamento imune a eventos externos.

Poderão ocorrer, a qualquer tempo:

• manutenções preventivas, corretivas, adaptativas ou evolutivas;

• indisponibilidades temporárias;

• lentidão, falhas de comunicação ou degradação de desempenho;

• atualizações de segurança;

• mudanças de interface, fluxo, layout, funcionalidades ou conteúdo;

• suspensão de módulos, cursos, integrações ou recursos específicos.

Sempre que razoavelmente possível, manutenções programadas e comunicações relevantes serão informadas em canais internos apropriados, como mural, aviso sistêmico ou comunicação corporativa.

13. Suporte e atendimento

O suporte poderá ser prestado em níveis diferentes, conforme o tema e o perfil do usuário, incluindo questões relacionadas a:

• acesso e autenticação;

• erro técnico ou instabilidade;

• navegação e uso da plataforma;

• matrícula, certificação e trilhas;

• dúvidas acadêmicas ou operacionais;

• revisão administrativa de resultados, quando cabível.

O atendimento poderá depender da adequada identificação do solicitante, da descrição objetiva do problema e da observância dos fluxos internos de suporte.

A simples abertura de chamado não implica reconhecimento automático de falha, revisão de nota, reemissão imediata de certificado ou extensão de prazo sem análise da área responsável.

14. Medidas em caso de violação

O descumprimento destes Termos, das políticas internas aplicáveis ou da legislação poderá ensejar, isolada ou cumulativamente, conforme gravidade e contexto:

• advertência;

• suspensão temporária de acesso;

• bloqueio preventivo;

• cancelamento de conta;

• invalidação de certificados ou registros de conclusão;

• comunicação ao gestor, RH, Compliance, Jurídico, Segurança da Informação ou área contratante;

• adoção de medidas disciplinares, contratuais, cíveis, administrativas ou criminais cabíveis.

O Grupo5estrelas poderá preservar registros e evidências necessárias para apuração dos fatos e defesa de seus direitos.

15. Limitações de responsabilidade

Sem prejuízo das obrigações legais aplicáveis, o Grupo5estrelas não será responsável por prejuízos decorrentes de:

• uso indevido da plataforma pelo usuário;

• compartilhamento de credenciais;

• falhas decorrentes de equipamento, conexão, navegador, configuração local ou ambiente tecnológico do usuário;

• indisponibilidades causadas por caso fortuito, força maior, terceiros, provedores externos ou eventos de segurança fora de seu controle razoável;

• decisões tomadas pelo usuário ou por terceiros com base em conteúdo da plataforma sem a devida validação técnica, jurídica, regulatória ou gerencial exigida pelo contexto;

• utilização de ambiente de treinamento como se fosse ambiente de produção.

Nada nestes Termos exclui responsabilidade que não possa ser validamente limitada pela legislação aplicável.

16. Alterações destes Termos

O Grupo5estrelas poderá atualizar estes Termos de Uso a qualquer momento para refletir mudanças legais, regulatórias, operacionais, tecnológicas, acadêmicas, de segurança ou de governança.

A versão vigente será aquela disponibilizada na própria plataforma ou em canal institucional equivalente. Quando houver alterações relevantes, poderão ser adotadas medidas razoáveis de comunicação aos usuários.

A continuidade do uso da plataforma após a publicação da versão atualizada representará concordância com os novos Termos, na medida permitida pela legislação aplicável.

17. Vigência e encerramento de acesso

Estes Termos entram em vigor na data do primeiro acesso, cadastro ou utilização da plataforma pelo usuário e permanecem aplicáveis enquanto durar o vínculo de acesso autorizado ou enquanto persistirem efeitos jurídicos de utilizações anteriores.

O acesso do usuário poderá ser encerrado, limitado ou alterado em razão de:

• desligamento, término contratual ou perda de elegibilidade;

• encerramento do vínculo com o Grupo5estrelas ou com terceiro legitimador do acesso;

• decisão administrativa justificada;

• necessidade de segurança;

• descumprimento destes Termos;

• descontinuidade total ou parcial da plataforma.

O encerramento do acesso não afasta obrigações já assumidas pelo usuário, especialmente quanto à confidencialidade, propriedade intelectual, integridade de registros e responsabilidade por condutas anteriores.

18. Lei aplicável e foro

Estes Termos serão regidos e interpretados de acordo com a legislação da República Federativa do Brasil.

Fica eleito o foro da comarca do domicílio do Grupo5estrelas, salvo hipótese de competência legal específica diversa, para dirimir controvérsias oriundas destes Termos.

19. Contato

Para dúvidas sobre estes Termos de Uso, suporte de acesso, erros operacionais ou questões correlatas, o usuário poderá utilizar os canais institucionais disponibilizados pelo Grupo5estrelas.

Suporte técnico e acesso: suporte@midnal.com.br
Privacidade e proteção de dados / Encarregado: suporte@midnal.com.br

Caso o Grupo5estrelas possua canal específico do Encarregado distinto do suporte geral, recomenda-se a divulgação separada e clara desse contato na Política de Privacidade e nos canais institucionais.

20. Disposições finais

A eventual tolerância quanto ao descumprimento de qualquer disposição destes Termos não constituirá renúncia de direito nem novação.

Se qualquer cláusula for considerada inválida, nula ou inexequível, as demais permanecerão válidas e eficazes na máxima extensão permitida pela legislação.

Estes Termos devem ser interpretados em conjunto com a Política de Privacidade, políticas internas aplicáveis, normas de segurança da informação e demais instrumentos corporativos pertinentes.

Política completa

Código de Conduta e Ética

Grupo5estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Mensagem institucional

O presente Código de Conduta e Ética estabelece os princípios, valores, padrões de comportamento e compromissos esperados de todos aqueles que atuam em nome do Grupo5estrelas ou com ele se relacionam profissionalmente.

Nosso objetivo é fortalecer uma cultura organizacional baseada em integridade, respeito, responsabilidade, transparência, segurança, legalidade e confiança, promovendo decisões éticas em todos os níveis da organização.

Este Código não é apenas um documento de referência: ele traduz expectativas concretas de conduta e orienta a forma como trabalhamos, nos comunicamos, tomamos decisões, protegemos ativos, tratamos pessoas, prevenimos riscos e preservamos a reputação do Grupo5estrelas.

2. Finalidade do Código

Este Código tem como finalidades principais:

• orientar decisões e comportamentos profissionais;

• prevenir desvios, irregularidades, abusos, fraudes, discriminação, assédio e conflitos de interesse;

• promover ambiente de trabalho seguro, respeitoso e inclusivo;

• reforçar a integridade nas relações com clientes, fornecedores, parceiros, autoridades, colegas e sociedade;

• proteger os ativos físicos, digitais, financeiros, reputacionais e informacionais do Grupo5estrelas;

• apoiar a conformidade com a legislação, contratos, normas internas e boas práticas de governança;

• incentivar o reporte responsável de condutas incompatíveis com este Código.

3. A quem este Código se aplica

Este Código aplica-se a todos os públicos que atuem em nome do Grupo5estrelas, inclusive:

• administradores, diretores e membros da liderança;

• empregados e colaboradores em geral;

• aprendizes, estagiários e temporários;

• prestadores de serviço e terceiros alocados;

• parceiros comerciais e representantes;

• fornecedores e demais terceiros que mantenham relacionamento com a organização, quando contratualmente aplicável.

Todos os destinatários deste Código devem conhecer seu conteúdo, observá-lo em suas atividades e contribuir para sua efetiva aplicação.

4. Nossos princípios e valores

São fundamentos permanentes da atuação do Grupo5estrelas:

4.1. Integridade

Agimos com honestidade, coerência, responsabilidade e lealdade aos compromissos assumidos.

4.2. Respeito às pessoas

Tratamos todas as pessoas com dignidade, urbanidade, escuta, cortesia e imparcialidade.

4.3. Legalidade e conformidade

Cumprimos a legislação aplicável, as normas internas, contratos, políticas, procedimentos e controles corporativos.

4.4. Transparência e prestação de contas

Adotamos postura clara, responsável e verificável em decisões, registros, comunicações e processos.

4.5. Segurança e proteção

Protegemos pessoas, informações, sistemas, recursos e ativos corporativos contra uso inadequado, perda, abuso ou violação.

4.6. Responsabilidade e exemplo

Cada pessoa é responsável por suas ações e deve atuar como exemplo de conduta ética compatível com a cultura organizacional.

5. Compromissos de conduta

Todos os abrangidos por este Código devem:

• agir de boa-fé e com responsabilidade profissional;

• tomar decisões com base no interesse legítimo da organização e na ética;

• evitar vantagens indevidas para si ou para terceiros;

• cumprir políticas internas e determinações legítimas;

• respeitar colegas, clientes, parceiros e terceiros;

• comunicar situações de risco, irregularidade, fraude, assédio, discriminação, desvio ou conflito de interesse;

• cooperar com auditorias, apurações, investigações e controles internos;

• zelar pela reputação e pela imagem institucional do Grupo5estrelas.

6. Ambiente de trabalho respeitoso, seguro e inclusivo

O Grupo5estrelas valoriza um ambiente de trabalho saudável, respeitoso, colaborativo e profissional.

Não serão toleradas condutas que violem a dignidade, a igualdade de tratamento ou a integridade física, moral ou psicológica de qualquer pessoa.

6.1. Diversidade, equidade e inclusão

Repudiamos discriminação, segregação, humilhação, exclusão ou tratamento desigual fundado, entre outros fatores, em:

• raça ou cor;

• etnia ou origem;

• nacionalidade;

• religião ou crença;

• sexo;

• identidade ou expressão de gênero;

• orientação sexual;

• idade;

• deficiência;

• condição de saúde;

• estado civil;

• condição socioeconômica;

• convicção política, quando juridicamente protegida;

• qualquer outra condição pessoal protegida pela legislação aplicável.

6.2. Assédio moral

É proibida qualquer conduta repetitiva ou relevante que exponha alguém a humilhação, constrangimento, isolamento, desqualificação, ameaça, perseguição, pressão abusiva, intimidação ou degradação do ambiente de trabalho.

Exemplos de condutas inaceitáveis incluem:

• ridicularizar, humilhar ou constranger colegas;

• gritar, insultar ou ameaçar;

• isolar deliberadamente pessoas da equipe;

• impor metas ou cobranças abusivas com intenção de humilhar;

• desqualificar reiteradamente o trabalho de alguém de forma vexatória;

• espalhar boatos maliciosos ou atacar reputações.

6.3. Assédio sexual

É vedada qualquer conduta de natureza sexual indesejada que cause constrangimento, intimidação, humilhação, medo, hostilidade ou violação da dignidade da pessoa.

São exemplos:

• insinuações, convites insistentes ou propostas inadequadas;

• toques físicos não consentidos;

• envio de mensagens, imagens, áudios ou conteúdos de conotação sexual indesejada;

• chantagem, promessa de vantagem ou ameaça em troca de favorecimento sexual;

• comentários invasivos sobre corpo, aparência ou vida íntima.

6.4. Violência, intimidação e comportamento abusivo

Não serão tolerados comportamentos agressivos, ameaçadores, retaliatórios, ofensivos ou incompatíveis com a convivência profissional, inclusive em canais digitais, grupos de mensagens, reuniões, fóruns, plataformas corporativas e interações externas em nome da empresa.

6.5. Não retaliação

É vedada qualquer retaliação, direta ou indireta, contra quem, de boa-fé:

• relatar suspeita de irregularidade;

• buscar orientação ética;

• participar de apuração interna;

• atuar como testemunha;

• recusar prática ilícita, abusiva ou incompatível com este Código.

7. Saúde, segurança e bem-estar

Todos devem contribuir para um ambiente de trabalho seguro, prevenindo acidentes, incidentes, negligência, imprudência e comportamentos que coloquem pessoas em risco.

Espera-se que cada profissional:

• cumpra procedimentos de saúde e segurança aplicáveis à sua atividade;

• comunique riscos, incidentes, desvios ou condições inseguras;

• utilize corretamente equipamentos, ferramentas e EPIs, quando exigidos;

• não trabalhe sob efeito de substâncias que comprometam a capacidade laboral ou a segurança;

• preserve o bem-estar coletivo e adote postura compatível com a prevenção de danos.

8. Uso de ativos, recursos e tecnologia

Os bens, equipamentos, sistemas, contas, licenças, redes, dados, documentos, e-mails, softwares, acessos, veículos, instalações e demais recursos do Grupo5estrelas devem ser utilizados de forma profissional, responsável, segura e compatível com sua finalidade.

8.1. Regras gerais

É dever de todos:

• proteger os ativos sob sua responsabilidade;

• utilizar recursos corporativos com zelo e economicidade;

• observar políticas de segurança da informação e uso aceitável;

• reportar perda, furto, incidente ou suspeita de comprometimento.

8.2. É proibido

Sem prejuízo de outras vedações internas, é proibido:

• utilizar recursos corporativos para prática ilícita;

• acessar, armazenar, transmitir ou compartilhar conteúdo ilegal, ofensivo, discriminatório, violento, pornográfico ou incompatível com o ambiente profissional;

• instalar softwares não autorizados;

• burlar controles técnicos ou de segurança;

• compartilhar credenciais;

• utilizar e-mail corporativo, mensageria, sistemas ou dispositivos para fraude, assédio, vazamento de informação ou sabotagem;

• realizar jogos de azar, atividades comerciais particulares não autorizadas ou usos incompatíveis com o trabalho.

8.3. Monitoramento corporativo

O uso de sistemas, redes, e-mails, equipamentos e ambientes corporativos poderá estar sujeito a monitoramento, auditoria, rastreabilidade e controles de segurança, nos limites da legislação aplicável, das políticas internas e das finalidades legítimas de proteção da organização.

9. Proteção de informações e confidencialidade

Informações corporativas, dados pessoais, dados de clientes, documentos estratégicos, especificações técnicas, contratos, credenciais, registros financeiros, planos operacionais, conteúdos internos, relatórios, indicadores, códigos-fonte e segredos de negócio devem ser protegidos de forma adequada.

Todos devem:

• acessar apenas as informações necessárias ao exercício de suas funções;

• respeitar classificações de informação e restrições de acesso;

• não divulgar informações confidenciais sem autorização;

• proteger documentos físicos e digitais;

• utilizar canais apropriados para compartilhamento de dados;

• comunicar incidentes, extravios, acessos indevidos ou suspeitas de vazamento.

A obrigação de confidencialidade subsiste mesmo após o encerramento do vínculo profissional ou contratual, quando aplicável.

10. Privacidade e proteção de dados pessoais

O Grupo5estrelas trata dados pessoais em conformidade com a legislação aplicável e com suas políticas corporativas de privacidade e proteção de dados.

Todos que tenham acesso a dados pessoais devem:

• tratar somente os dados necessários à atividade legítima;

• respeitar finalidade, necessidade, confidencialidade e segurança;

• evitar acessos indevidos ou compartilhamentos sem base legítima;

• seguir os procedimentos internos para incidentes, solicitações de titulares e uso de sistemas;

• acionar os canais competentes em caso de dúvida ou incidente envolvendo dados pessoais.

11. Conflito de interesses

Conflito de interesses ocorre quando interesses pessoais, familiares, financeiros, comerciais, políticos ou de qualquer outra natureza podem influenciar, parecer influenciar ou comprometer a imparcialidade das decisões tomadas em nome do Grupo5estrelas.

11.1. Exemplos de situações que exigem atenção

• contratar ou influenciar a contratação de fornecedor com vínculo pessoal, familiar ou econômico sem a devida declaração;

• participar de decisão que traga benefício particular direto ou indireto;

• exercer atividade paralela que concorra com a organização ou comprometa o desempenho profissional;

• receber vantagem de parceiro, cliente ou fornecedor em contexto capaz de afetar independência ou imparcialidade;

• utilizar informação interna para obtenção de benefício próprio ou de terceiros.

11.2. Dever de declaração

Toda situação real, potencial ou aparente de conflito de interesses deve ser prontamente comunicada ao gestor, RH, Jurídico, Compliance ou área competente, conforme os fluxos internos aplicáveis.

A omissão de conflito relevante constitui violação a este Código.

12. Brindes, presentes, hospitalidades e vantagens

É vedado solicitar, oferecer, prometer, conceder, receber ou aceitar vantagem indevida em razão do cargo, função, atividade ou relacionamento profissional.

Brindes institucionais de baixo valor, materiais promocionais sem finalidade de influência indevida e hospitalidades legítimas poderão ser admitidos quando compatíveis com:

• a legislação aplicável;

• as políticas internas;

• padrões de razoabilidade, transparência e legitimidade;

• inexistência de expectativa de favorecimento.

É proibido aceitar ou oferecer qualquer item, benefício ou tratamento que possa comprometer a independência, gerar aparência de favorecimento, mascarar pagamento indevido ou influenciar decisão de negócios de forma imprópria.

13. Anticorrupção e integridade nas relações com terceiros

O Grupo5estrelas repudia toda forma de corrupção, fraude, suborno, propina, pagamento indevido, favorecimento ilícito, manipulação de processo, falsidade documental ou conduta destinada a obter vantagem indevida perante agentes públicos ou privados.

É proibido, direta ou indiretamente:

• prometer, oferecer ou dar vantagem indevida a agente público ou a terceiro a ele relacionado;

• financiar, custear, patrocinar ou de qualquer modo subvencionar prática ilícita;

• fraudar licitações, contratos, concorrências, medições, auditorias, prestações de contas ou registros;

• ocultar interesses, manipular documentos ou criar registros falsos;

• utilizar intermediários para realizar condutas vedadas em nome da organização.

A relação com clientes, fornecedores, parceiros e autoridades deve observar critérios técnicos, objetivos, transparentes, rastreáveis e compatíveis com a legalidade e a ética.

14. Relação com fornecedores, parceiros e terceiros

A contratação e o relacionamento com terceiros devem observar critérios de integridade, capacidade, qualidade, regularidade, segurança e conformidade.

Espera-se que fornecedores e parceiros:

• ajam com ética e legalidade;

• respeitem direitos humanos e trabalhistas;

• cumpram obrigações contratuais;

• protejam informações e dados acessados;

• não pratiquem fraude, corrupção, assédio, discriminação ou violação de segurança;

• cooperem com diligências, auditorias ou exigências de conformidade, quando cabível.

O Grupo5estrelas poderá adotar medidas proporcionais diante de irregularidades praticadas por terceiros, inclusive suspensão, rescisão contratual, bloqueio de acesso e comunicação às autoridades competentes, quando necessário.

15. Registros, controles e prestação de contas

Todos devem assegurar que registros, documentos, comunicações, evidências, lançamentos, relatórios, apontamentos, certificados, controles e informações corporativas sejam elaborados e mantidos com exatidão, completude, integridade e rastreabilidade.

É vedado:

• falsificar documentos ou registros;

• omitir informações relevantes;

• manipular indicadores ou evidências;

• destruir documentos sem observância das regras aplicáveis;

• criar simulações destinadas a ocultar desvios, falhas ou irregularidades.

16. Redes sociais, imagem institucional e comunicação

Ao se manifestar publicamente ou em ambientes digitais sobre temas relacionados ao Grupo5estrelas, o profissional deve agir com responsabilidade, cautela e respeito, preservando a reputação institucional, a confidencialidade e a veracidade das informações.

É vedado:

• divulgar informação interna sem autorização;

• atribuir posicionamentos oficiais sem competência para tanto;

• publicar conteúdo que viole sigilo, integridade, dignidade de pessoas ou normas internas;

• utilizar canais públicos para ofensas, ataques, exposição indevida ou disseminação de boatos relacionados ao ambiente de trabalho.

17. Responsabilidades da liderança

Gestores e lideranças possuem responsabilidade adicional na promoção da cultura ética e devem:

• atuar como exemplo de conduta;

• comunicar expectativas de forma clara;

• estimular ambiente respeitoso e seguro;

• acolher dúvidas e preocupações com seriedade;

• não tolerar desvios, assédio, discriminação ou retaliação;

• apoiar controles internos e ações de integridade;

• adotar providências tempestivas diante de violações ou riscos conhecidos.

A omissão da liderança diante de irregularidades relevantes também poderá ser objeto de apuração.

18. Canal de ética, reporte e orientação

Toda pessoa abrangida por este Código deve relatar situações de violação, suspeitas razoáveis de irregularidade ou dúvidas éticas relevantes por meio dos canais institucionais apropriados.

O reporte pode envolver, entre outros temas:

• fraude;

• corrupção;

• conflito de interesses não declarado;

• assédio moral ou sexual;

• discriminação;

• violação de confidencialidade;

• uso indevido de ativos;

• retaliação;

• falsificação de registros;

• desvio de conduta incompatível com este Código.

Canal informado para o Comitê de Ética: suporte@midnal.com.br

Sempre que possível, recomenda-se que o Grupo5estrelas mantenha canal de ética específico, distinto de suporte técnico, com fluxo apropriado para recebimento, triagem, apuração e proteção contra retaliação.

19. Tratamento das denúncias e boa-fé

As manifestações recebidas serão tratadas com seriedade, confidencialidade possível, imparcialidade e observância do devido processo interno.

Denúncias ou relatos devem ser feitos de boa-fé, com o máximo de elementos disponíveis. Não se exige prova conclusiva do denunciante, mas espera-se sinceridade, responsabilidade e ausência de dolo.

A formulação deliberada de denúncia sabidamente falsa, com intuito de prejudicar terceiros, também constitui violação ética e poderá gerar medidas cabíveis.

20. Apuração e medidas disciplinares

O descumprimento deste Código, das políticas internas ou da legislação poderá ensejar, conforme a gravidade, o contexto, a reincidência e o vínculo existente:

• orientação formal;

• advertência;

• treinamento corretivo;

• suspensão;

• bloqueio de acesso;

• desligamento ou rescisão contratual;

• invalidação de atos ou registros obtidos de forma irregular;

• responsabilização civil, administrativa ou criminal;

• comunicação a autoridades ou órgãos competentes, quando necessário.

As medidas serão adotadas com base em análise do caso concreto, observados os procedimentos internos e a legislação aplicável.

21. Interpretação e dúvidas

Situações não previstas expressamente neste Código devem ser avaliadas à luz dos princípios da ética, da legalidade, da boa-fé, da transparência, da proporcionalidade e do interesse legítimo da organização.

Na dúvida sobre a conduta correta, o profissional deve buscar orientação antes de agir, preferencialmente com seu gestor, RH, Compliance, Jurídico, Segurança da Informação, Privacidade ou área responsável, conforme a natureza da questão.

22. Vigência, divulgação e atualização

Este Código entra em vigor na data de sua publicação e poderá ser atualizado sempre que necessário para refletir mudanças legais, regulatórias, operacionais, organizacionais ou de governança.

O Grupo5estrelas deverá promover sua divulgação, treinamento, acessibilidade e reforço periódico, para assegurar que seus princípios sejam efetivamente compreendidos e aplicados.

23. Disposições finais

O compromisso com este Código é condição essencial para a manutenção de relações profissionais éticas, seguras e sustentáveis com o Grupo5estrelas.

Nenhuma meta, resultado, urgência operacional, pressão comercial ou interesse individual justifica violação à lei, à dignidade das pessoas, à integridade dos processos ou a este Código de Conduta e Ética.

Política completa

Política de Compliance e Anticorrupção

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de Compliance e Anticorrupção estabelece os princípios, diretrizes, responsabilidades e controles mínimos aplicáveis à prevenção, detecção, reporte, apuração e remediação de atos de corrupção, fraude, irregularidades e desvios de conduta no âmbito do Grupo 5 estrelas.

Esta Política reafirma o compromisso institucional do Grupo5estrelas com a legalidade, a ética, a transparência, a integridade, a responsabilização e a condução de seus negócios de forma lícita, íntegra e rastreável, em conformidade com a legislação brasileira aplicável, especialmente a Lei nº 12.846/2013 (Lei Anticorrupção), sua regulamentação, normas correlatas e boas práticas de governança corporativa e integridade.

Esta Política deve ser interpretada em conjunto com o Código de Conduta e Ética, políticas internas, controles corporativos, cláusulas contratuais, procedimentos operacionais e demais normas internas do Grupo5estrelas.

2. Objetivo

São objetivos desta Política:

• prevenir, detectar e remediar atos lesivos, corrupção, fraude e demais irregularidades;

• estabelecer padrões mínimos de integridade aplicáveis às atividades do Grupo5estrelas;

• orientar colaboradores, administradores e terceiros sobre comportamentos esperados;

• disciplinar interações com o setor público e com terceiros privados sob perspectiva de integridade;

• reduzir exposição a riscos legais, reputacionais, financeiros, operacionais e regulatórios;

• fortalecer mecanismos de controle interno, rastreabilidade, reporte e responsabilização;

• promover cultura organizacional de conformidade, ética e tolerância zero a atos ilícitos.

3. Abrangência

Esta Política aplica-se, no que couber, a:

• sócios, administradores, diretores e membros da liderança;

• empregados e colaboradores em geral;

• aprendizes, estagiários e temporários;

• representantes comerciais, procuradores e prepostos;

• fornecedores, parceiros, consultores, terceiros contratados e demais pessoas físicas ou jurídicas que atuem em nome, interesse ou benefício do Grupo5estrelas;

• qualquer pessoa que participe de relações, processos ou operações suscetíveis a riscos de integridade vinculados à organização.

Sempre que aplicável, o Grupo5estrelas buscará refletir os princípios desta Política em contratos, cláusulas, treinamentos, comunicações, processos de contratação e mecanismos de supervisão.

4. Fundamentos e princípios

A atuação do Grupo5estrelas em matéria de compliance e anticorrupção observa, entre outros, os seguintes princípios:

• legalidade;

• ética e boa-fé;

• integridade;

• transparência;

• prevenção;

• responsabilização e prestação de contas;

• rastreabilidade;

• diligência na tomada de decisão;

• proporcionalidade dos controles;

• segregação de funções;

• tolerância zero a vantagens indevidas.

Nenhum objetivo comercial, operacional, financeiro ou estratégico justifica a prática, a tolerância, a omissão ou o encobrimento de condutas ilícitas ou antiéticas.

5. Diretrizes gerais de integridade

Todos os destinatários desta Política devem:

• cumprir a legislação aplicável e as normas internas;

• agir com honestidade, lealdade e diligência;

• recusar qualquer prática destinada a obter vantagem indevida;

• registrar operações, aprovações, pagamentos e interações relevantes de forma íntegra, precisa e verificável;

• comunicar prontamente suspeitas, desvios, pressões indevidas ou irregularidades;

• cooperar com processos de auditoria, investigação, due diligence e controles internos;

• evitar situações que gerem conflito de interesses real, potencial ou aparente;

• zelar pela reputação institucional e pela confiabilidade dos processos do Grupo5estrelas.

6. Condutas estritamente proibidas

É expressamente proibido, direta ou indiretamente, por ação ou omissão:

• prometer, oferecer, autorizar, solicitar, receber ou conceder vantagem indevida de qualquer natureza;

• praticar suborno, propina, pagamento de facilitação, comissão ilícita, fraude, cartel, conluio ou manipulação de processo decisório;

• utilizar terceiros, intermediários, consultores, despachantes, parceiros ou fornecedores para realizar condutas vedadas em nome do Grupo5estrelas;

• fraudar licitações, contratos, negociações, medições, reembolsos, prestações de contas, registros ou controles;

• falsificar, omitir, destruir ou manipular documentos, evidências, aprovações, cadastros, notas fiscais, relatórios, certificações, pareceres ou registros contábeis;

• criar fundos paralelos, pagamentos não registrados, reembolsos fictícios ou qualquer expediente destinado a ocultar destinação de recursos;

• retaliar pessoa que, de boa-fé, relate suspeita, busque orientação ou participe de apuração;

• omitir situação de risco ou irregularidade conhecida quando houver dever de reporte.

A omissão deliberada diante de indícios relevantes de corrupção, fraude ou irregularidade também poderá caracterizar violação a esta Política.

7. Relacionamento com o setor público

As interações com agentes públicos, entidades governamentais, autarquias, empresas estatais, autoridades regulatórias, fiscalizatórias ou quaisquer entes da Administração Pública devem observar padrão reforçado de integridade, formalidade, transparência e documentação.

7.1. Regras gerais

Toda interação com o setor público deve:

• possuir finalidade legítima, profissional e relacionada à atividade empresarial;

• observar a legislação aplicável e as políticas internas;

• ser conduzida por pessoas autorizadas;

• ocorrer, sempre que possível, com pauta, registro e documentação adequada;

• respeitar segregação de funções e níveis de aprovação compatíveis com o risco.

7.2. É vedado

É proibido:

• oferecer, prometer, dar ou autorizar vantagem indevida a agente público ou terceiro a ele relacionado;

• realizar pagamento de facilitação, ainda que sob alegação de costume local, urgência operacional ou suposta baixa materialidade;

• custear benefício pessoal, favor, viagem, hospedagem, refeição, entretenimento ou qualquer utilidade com potencial de influenciar decisão pública de forma imprópria;

• ocultar a identidade do Grupo5estrelas em interações institucionais relevantes;

• utilizar terceiros para intermediar condutas indevidas perante o poder público.

7.3. Reuniões e contatos institucionais

Sempre que possível e compatível com a natureza do ato, recomenda-se que reuniões com agentes públicos relevantes sejam:

• previamente justificadas;

• registradas em agenda, e-mail, ata, sistema ou documento equivalente;

• acompanhadas por mais de um representante do Grupo5estrelas quando o risco assim recomendar;

• seguidas de registro sintético dos temas tratados, encaminhamentos e responsáveis.

8. Brindes, presentes, hospitalidades e patrocínios

O oferecimento ou recebimento de brindes, presentes, hospitalidades, refeições, convites, cortesias, apoio institucional, doações, patrocínios ou benefícios semelhantes exige cautela, legitimidade, transparência e compatibilidade com a legislação e com as políticas internas.

8.1. Regras gerais

Somente poderão ser admitidos, quando compatíveis com a política interna específica e com as aprovações cabíveis:

• brindes institucionais de valor modesto e caráter promocional;

• hospitalidades legítimas, proporcionais e relacionadas a finalidade profissional lícita;

• convites ou cortesias que não gerem obrigação, expectativa de contrapartida ou aparência de favorecimento indevido.

8.2. Critérios mínimos de avaliação

Antes de oferecer ou aceitar qualquer item dessa natureza, devem ser avaliados:

• valor e frequência;

• contexto da relação;

• proximidade temporal com decisão relevante;

• existência de processo de contratação, fiscalização, renovação, disputa comercial ou decisão governamental em curso;

• perfil do destinatário ou ofertante;

• risco reputacional e aparência de impropriedade;

• exigência de registro e aprovação prévia.

8.3. Vedações absolutas

É proibido:

• oferecer ou aceitar dinheiro, equivalente a dinheiro, transferência pessoal, voucher amplo, comissão oculta ou benefício sem lastro legítimo;

• fracionar itens ou despesas para burlar regras de aprovação;

• utilizar brindes ou hospitalidades para influenciar decisões;

• oferecer vantagens a agentes públicos ou pessoas politicamente expostas em contexto incompatível com a legislação ou com esta Política.

Quando houver dúvida, a orientação da área de Compliance ou instância competente deve ser buscada antes da prática do ato.

9. Contratação e due diligence de terceiros

O Grupo5estrelas reconhece que terceiros representam importante fonte de risco de integridade. Por isso, a contratação, renovação, gestão e pagamento de terceiros devem observar diligência compatível com o risco da relação.

9.1. Situações de maior atenção

Demandam avaliação reforçada, entre outras, contratações envolvendo:

• interação com o setor público;

• representação institucional;

• obtenção de licenças, autorizações ou certidões;

• intermediação comercial ou regulatória;

• pagamentos variáveis por sucesso;

• serviços de consultoria com escopo pouco definido;

• fornecedores críticos, estratégicos ou de alto valor;

• terceiros indicados por agentes públicos, clientes ou decisores internos sem justificativa técnica robusta.

9.2. Medidas esperadas

Conforme a criticidade da contratação, poderão ser adotadas medidas como:

• verificação cadastral e documental;

• análise reputacional;

• verificação de integridade e antecedentes disponíveis;

• confirmação de capacidade técnica e regularidade;

• validação de beneficiário final, quando aplicável;

• avaliação de conflitos de interesse;

• inclusão de cláusulas contratuais de integridade, auditoria, confidencialidade e rescisão por violação.

Nenhum terceiro deve ser utilizado para contornar controles internos ou praticar condutas vedadas por esta Política.

10. Conflitos de interesses

Conflitos de interesses devem ser prevenidos, declarados e tratados de forma transparente.

Constitui conflito de interesses, entre outras hipóteses, a situação em que interesse pessoal, familiar, econômico, político ou relacional possa influenciar, parecer influenciar ou comprometer decisão tomada em nome do Grupo5estrelas.

Todos devem:

• declarar conflitos reais, potenciais ou aparentes;

• abster-se de decidir ou influenciar matéria em que haja interesse pessoal relevante;

• comunicar relações que possam comprometer a independência de contratação, aprovação, fiscalização ou pagamento.

A omissão de conflito de interesses relevante é infração a esta Política.

11. Registros, livros e controles internos

A integridade dos registros contábeis, financeiros, operacionais, fiscais, contratuais e administrativos é elemento essencial desta Política.

Todos os pagamentos, reembolsos, adiantamentos, contratações, aprovações, doações, patrocínios, despesas de representação e registros correlatos devem:

• possuir finalidade legítima;

• ser adequadamente documentados;

• refletir com precisão a operação realizada;

• ser suportados por evidências verificáveis;

• observar alçadas, aprovações e segregação de funções;

• permitir rastreabilidade e auditoria.

É vedada qualquer forma de lançamento falso, genérico, incompleto, artificial ou enganoso com a finalidade de ocultar irregularidade ou desvirtuar a realidade da operação.

12. Doações, contribuições e apoios institucionais

Doações, patrocínios, contribuições, apoios institucionais e ações de relacionamento devem observar finalidade legítima, transparência, documentação e aprovação compatível com o risco.

É proibido utilizar tais instrumentos para:

• mascarar pagamento indevido;

• obter favorecimento ilícito;

• influenciar decisão pública ou privada de forma imprópria;

• beneficiar pessoa ou entidade ligada a decisor relevante sem análise adequada;

• ocultar beneficiário real ou destinação efetiva do recurso.

Toda iniciativa dessa natureza deve ser formalmente registrada e submetida às aprovações internas cabíveis.

13. Fusões, aquisições, parcerias e operações relevantes

Em operações societárias, joint ventures, parcerias estratégicas, aquisições de ativos ou negócios, ou outras transações relevantes, deverão ser observadas medidas proporcionais de avaliação de integridade, incluindo, quando aplicável:

• due diligence de integridade;

• avaliação de riscos regulatórios, reputacionais e de corrupção;

• análise contratual de responsabilidades;

• planos de integração de controles e remediação.

A identificação de passivos de integridade deverá ser adequadamente tratada antes, durante ou após a operação, conforme o caso.

14. Treinamento, comunicação e cultura de compliance

O Grupo5estrelas deverá promover, conforme a maturidade e a necessidade do negócio:

• comunicação periódica sobre integridade e anticorrupção;

• treinamento de públicos internos e, quando cabível, de terceiros;

• campanhas de conscientização;

• reforço de responsabilidades da liderança;

• ações educativas voltadas a conflitos de interesse, brindes, setor público, canal de denúncia e controles internos.

A liderança possui papel essencial na disseminação da cultura de integridade e deve agir como exemplo prático de conduta ética e conformidade.

15. Canal de denúncias, consultas e reporte

Toda pessoa abrangida por esta Política deve reportar, imediatamente ou tão logo razoavelmente possível, suspeitas, indícios ou ocorrências de corrupção, fraude, vantagem indevida, irregularidade ou violação de controles internos.

Os relatos podem envolver, entre outros temas:

• suborno;

• propina;

• pagamento de facilitação;

• fraude documental;

• manipulação de contratos ou pagamentos;

• conflito de interesses não declarado;

• favorecimento indevido;

• omissão deliberada de risco relevante;

• uso irregular de terceiros para intermediação imprópria.

Canal informado para Compliance: suporte@midnal.com.br

Sempre que possível, recomenda-se a existência de canal específico de compliance ou ética, distinto de suporte técnico, com governança, triagem, confidencialidade e fluxo de apuração apropriados.

16. Não retaliação

O Grupo5estrelas não tolera retaliação contra pessoa que, de boa-fé:

• apresente denúncia ou relato;

• formule consulta sobre integridade;

• recuse prática ilícita;

• participe de investigação ou auditoria;

• atue como testemunha ou colaborador de apuração.

A retaliação constitui violação grave desta Política e sujeita o infrator às medidas cabíveis.

17. Apuração, resposta e remediação

Os relatos e indícios recebidos deverão ser avaliados de forma técnica, imparcial, confidencial na medida do possível e compatível com a gravidade do caso.

A organização poderá adotar, conforme a natureza da ocorrência:

• análise preliminar;

• investigação interna;

• preservação de documentos e evidências;

• entrevistas e verificações adicionais;

• medidas cautelares;

• revisão de processos e controles;

• ações corretivas, disciplinares e remediadoras;

• comunicação a autoridades competentes, quando cabível.

A remediação pode incluir ajuste de processos, reforço de controles, revisão contratual, treinamento, responsabilização e monitoramento posterior.

18. Medidas disciplinares e consequências

A violação desta Política, do Código de Conduta, das normas internas ou da legislação aplicável poderá ensejar, isolada ou cumulativamente, conforme gravidade e vínculo existente:

• orientação formal;

• advertência;

• suspensão;

• bloqueio de acessos;

• desligamento ou rescisão contratual;

• cancelamento de procurações, representações ou alçadas;

• aplicação de penalidades contratuais;

• comunicação a clientes, parceiros, órgãos de controle ou autoridades competentes, quando necessário;

• adoção de medidas cíveis, administrativas ou criminais cabíveis.

A responsabilização poderá alcançar também quem autorizar, participar, facilitar, ocultar, tolerar ou deixar de reportar irregularidade relevante quando tiver dever de agir.

19. Papéis e responsabilidades

19.1. Alta administração e liderança

Compete à liderança demonstrar apoio visível e inequívoco à integridade, assegurar recursos razoáveis, reforçar a cultura de compliance e dar exemplo de conduta.

19.2. Área de Compliance ou função equivalente

Compete orientar, apoiar, monitorar, propor controles, receber relatos, apoiar apurações, promover treinamentos e recomendar melhorias, conforme a estrutura adotada pelo Grupo5estrelas.

19.3. Gestores

Compete aos gestores disseminar esta Política, supervisionar sua aplicação no âmbito de suas equipes, avaliar riscos, adotar providências preventivas e reportar desvios.

19.4. Colaboradores e terceiros

Compete cumprir esta Política, participar de treinamentos quando exigidos, reportar riscos e cooperar com controles e investigações.

20. Monitoramento e melhoria contínua

A efetividade desta Política depende de acompanhamento, revisão e aprimoramento contínuos. O Grupo5estrelas poderá, conforme sua estrutura e maturidade:

• revisar periodicamente riscos de integridade;

• testar controles;

• acompanhar indicadores e ocorrências;

• revisar cláusulas contratuais e procedimentos;

• atualizar treinamentos, fluxos e políticas;

• promover auditorias e avaliações independentes, quando cabível.

21. Dúvidas e orientação prévia

Na dúvida sobre a licitude, adequação ou legitimidade de determinada conduta, pagamento, contratação, presente, hospitalidade, interação com o setor público ou decisão sensível, a orientação da área de Compliance, Jurídico ou instância competente deve ser buscada antes da prática do ato.

A consulta prévia é medida de prudência e constitui boa prática de integridade.

22. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e permanecerá válida até sua revisão ou substituição formal.

O Grupo5estrelas poderá atualizá-la a qualquer tempo para refletir mudanças legais, regulatórias, jurisprudenciais, operacionais, contratuais ou de maturidade de seu programa de integridade.

23. Disposições finais

O compromisso com a integridade é condição essencial para relações profissionais sustentáveis, seguras e legítimas.

Nenhum colaborador, gestor ou terceiro será punido por deixar de realizar negócio, pagamento ou operação que envolva dúvida razoável de integridade até que haja análise adequada.

O cumprimento desta Política é obrigatório e integra as expectativas mínimas de conduta de todos aqueles que atuam em nome ou interesse do Grupo5estrelas.

Política completa

Política de ESG

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de ESG estabelece os princípios, diretrizes, compromissos e responsabilidades do Grupo 5 estrelas relacionados aos pilares Ambiental (Environmental), Social (Social) e Governança (Governance).

Esta Política reflete o entendimento de que a sustentabilidade corporativa não se limita a iniciativas isoladas, mas integra a forma como a organização conduz seus negócios, administra riscos, desenvolve pessoas, utiliza recursos, interage com a sociedade, fortalece sua governança e busca resultados consistentes e responsáveis no curto, médio e longo prazo.

O compromisso do Grupo5estrelas com ESG está associado à geração de valor sustentável, à resiliência do negócio, à ética, à integridade, ao respeito às pessoas, à responsabilidade socioambiental e à melhoria contínua de seus processos e decisões.

Esta Política deve ser interpretada em conjunto com o Código de Conduta e Ética, a Política de Compliance e Anticorrupção, a Política de Privacidade e Proteção de Dados Pessoais, os Termos de Uso da Plataforma, normas internas e demais instrumentos de governança aplicáveis.

2. Objetivo

São objetivos desta Política:

• consolidar diretrizes ESG aplicáveis ao Grupo5estrelas;

• orientar decisões corporativas à luz da sustentabilidade, da responsabilidade social e da boa governança;

• integrar critérios ESG à cultura organizacional, à gestão de riscos e à estratégia do negócio;

• fortalecer práticas de conformidade, integridade, transparência e responsabilidade corporativa;

• estimular o uso eficiente de recursos e a redução de impactos socioambientais negativos;

• promover ambiente de trabalho seguro, respeitoso, inclusivo e orientado ao desenvolvimento humano;

• incentivar relações éticas e sustentáveis com colaboradores, fornecedores, parceiros, clientes e demais partes interessadas;

• apoiar o monitoramento e o aprimoramento contínuo das práticas de sustentabilidade corporativa.

3. Abrangência

Esta Política aplica-se a todos os níveis do Grupo5estrelas, inclusive:

• sócios, administradores, diretores e lideranças;

• empregados e colaboradores em geral;

• aprendizes, estagiários e temporários;

• prestadores de serviço, consultores e terceiros alocados;

• fornecedores e parceiros, na medida compatível com a relação contratual e com os requisitos de integridade e sustentabilidade aplicáveis.

Espera-se que todos os abrangidos por esta Política conheçam seus princípios e contribuam para sua implementação prática no cotidiano organizacional.

4. Princípios orientadores

A atuação ESG do Grupo5estrelas será orientada, entre outros, pelos seguintes princípios:

• legalidade e conformidade;

• ética, integridade e transparência;

• respeito aos direitos humanos e à dignidade das pessoas;

• prevenção e mitigação de riscos socioambientais;

• responsabilidade no uso de recursos;

• melhoria contínua;

• inclusão, diversidade e respeito;

• segurança, saúde e bem-estar;

• responsabilidade na cadeia de valor;

• prestação de contas e rastreabilidade;

• visão de longo prazo e geração de valor sustentável.

5. Diretrizes gerais de ESG

O Grupo5estrelas buscará incorporar critérios ESG em suas atividades por meio de práticas compatíveis com seu porte, setor de atuação, estrutura operacional, riscos, materialidade e capacidade de implementação.

Isso inclui, sempre que possível:

• avaliação de impactos e riscos socioambientais relevantes;

• melhoria da eficiência operacional e do uso de recursos;

• fortalecimento da governança, dos controles internos e da integridade;

• desenvolvimento humano e capacitação contínua;

• estímulo à inovação e à digitalização responsável;

• promoção de cultura ética, inclusiva e orientada à sustentabilidade;

• consideração de critérios ESG em decisões, contratações, projetos e processos internos.

6. Pilar Ambiental (Environmental)

O Grupo5estrelas reconhece a importância da responsabilidade ambiental como parte de sua atuação empresarial e buscará reduzir impactos negativos associados às suas operações, estimulando práticas de consumo consciente, prevenção, eficiência e melhoria contínua.

6.1. Uso responsável de recursos

A organização buscará promover o uso racional de recursos naturais e insumos operacionais, inclusive por meio de:

• redução do consumo desnecessário de papel;

• incentivo à digitalização de processos, documentos e fluxos de aprovação;

• uso consciente de energia elétrica, iluminação, climatização e equipamentos;

• racionalização do consumo de água, quando aplicável às instalações utilizadas;

• estímulo a rotinas operacionais mais eficientes.

6.2. Transformação digital e redução de papel

O Grupo5estrelas incentiva a adoção de processos digitais, fluxos eletrônicos, treinamentos online, assinaturas eletrônicas, gestão documental digital e ferramentas tecnológicas que contribuam para reduzir o uso de papel, impressões, deslocamentos desnecessários e retrabalhos administrativos.

6.3. Eficiência energética

Sempre que possível, a organização buscará:

• orientar o desligamento de equipamentos ociosos;

• estimular boas práticas de uso de iluminação e climatização;

• avaliar soluções tecnológicas mais eficientes;

• promover conscientização interna sobre consumo energético responsável.

6.4. Gestão de resíduos

O Grupo5estrelas buscará adotar práticas adequadas de descarte e destinação de resíduos, especialmente quando houver geração de materiais eletrônicos, equipamentos obsoletos, suprimentos de tecnologia ou itens que demandem tratamento específico.

Sempre que possível, serão incentivadas:

• segregação adequada de resíduos;

• reciclagem seletiva;

• descarte ambientalmente adequado de lixo eletrônico;

• utilização de fornecedores ou parceiros compatíveis com boas práticas de destinação final.

6.5. Prevenção e conscientização ambiental

A organização poderá desenvolver ações de conscientização voltadas à responsabilidade ambiental, estimulando atitudes cotidianas compatíveis com a redução de desperdícios e com a cultura de sustentabilidade.

7. Pilar Social (Social)

O Grupo5estrelas reconhece que pessoas são elemento central da sustentabilidade corporativa. Por isso, compromete-se a promover ambiente profissional ético, respeitoso, seguro, inclusivo e voltado ao desenvolvimento humano e organizacional.

7.1. Respeito às pessoas e direitos humanos

O Grupo5estrelas repudia qualquer forma de discriminação, assédio, exploração, violência, tratamento degradante, intimidação ou violação à dignidade humana.

As relações internas e externas devem observar respeito, urbanidade, igualdade de oportunidades e valorização da diversidade.

7.2. Diversidade, inclusão e equidade

A organização buscará fortalecer ambiente de trabalho inclusivo, em que diferenças sejam respeitadas e oportunidades sejam promovidas de forma justa, observadas as condições legais, operacionais e organizacionais aplicáveis.

São incompatíveis com esta Política práticas discriminatórias fundadas, entre outros fatores, em raça, cor, origem, sexo, identidade de gênero, orientação sexual, idade, deficiência, religião, condição de saúde ou qualquer outro critério vedado pela legislação aplicável.

7.3. Desenvolvimento e educação continuada

O Grupo5estrelas entende a capacitação como instrumento de crescimento profissional, fortalecimento da empregabilidade, melhoria da qualidade das entregas e redução de riscos operacionais.

Nesse contexto, buscará:

• investir em treinamentos, trilhas de aprendizagem e formação contínua;

• ampliar o acesso a conteúdos de qualificação técnica, ética, segurança, privacidade, compliance e desenvolvimento profissional;

• utilizar a Universidade Corporativa como ferramenta estruturante de educação continuada;

• incentivar o aprimoramento de competências compatíveis com os desafios do negócio.

7.4. Saúde, segurança e bem-estar

O Grupo5estrelas compromete-se a estimular ambiente de trabalho seguro e saudável, inclusive por meio de:

• respeito às jornadas e rotinas compatíveis com a legislação e as políticas aplicáveis;

• atenção à saúde ocupacional, quando pertinente;

• promoção de cultura de prevenção de riscos;

• incentivo a ações de bem-estar físico, mental e emocional;

• combate a práticas abusivas, exaustivas ou incompatíveis com a dignidade da pessoa.

7.5. Segurança psicológica e escuta

A organização valoriza ambiente em que pessoas possam se manifestar com responsabilidade, fazer perguntas, relatar preocupações, propor melhorias e comunicar desvios sem medo de retaliação indevida.

7.6. Relações responsáveis com a cadeia de valor

O Grupo5estrelas buscará incentivar relações responsáveis com fornecedores, parceiros e terceiros, especialmente no que se refere a:

• ética e integridade;

• respeito às pessoas;

• conformidade legal;

• proteção de dados e informações;

• segurança e responsabilidade no desempenho das atividades.

8. Pilar de Governança (Governance)

A boa governança é elemento essencial para a sustentabilidade do Grupo5estrelas e para a credibilidade de suas relações institucionais e comerciais.

8.1. Ética e integridade

A organização adota a ética e a integridade como fundamentos inegociáveis de sua atuação, observando suas políticas internas, seu Código de Conduta e seus mecanismos de compliance e anticorrupção.

São esperadas decisões pautadas por:

• honestidade;

• legalidade;

• rastreabilidade;

• responsabilidade;

• prevenção de conflitos de interesses;

• respeito aos controles internos.

8.2. Compliance e controles internos

O Grupo5estrelas buscará manter e aperfeiçoar controles internos compatíveis com seu porte, riscos e estrutura operacional, inclusive quanto a:

• prevenção de irregularidades, fraude e corrupção;

• registro e formalização adequada de processos relevantes;

• segregação de funções, quando aplicável;

• monitoramento de riscos e desvios;

• apuração de violações e adoção de medidas corretivas.

8.3. Transparência e prestação de contas

A organização buscará garantir que informações, decisões, aprovações e registros relevantes sejam mantidos com integridade, consistência e rastreabilidade, respeitados os limites de confidencialidade, proteção de dados e sigilo estratégico.

8.4. Privacidade, proteção de dados e segurança da informação

A governança ESG do Grupo5estrelas abrange o compromisso com a proteção de dados pessoais, a segurança da informação e a utilização responsável de sistemas, tecnologias e informações corporativas.

8.5. Gestão de riscos e melhoria contínua

A organização buscará considerar riscos socioambientais, reputacionais, operacionais, legais e de integridade em seus processos decisórios, adotando medidas proporcionais de prevenção, monitoramento, tratamento e revisão periódica.

9. Compromissos com a cadeia de valor

O Grupo5estrelas buscará fomentar, em suas relações com terceiros, práticas compatíveis com os princípios desta Política, especialmente no tocante a:

• ética e integridade;

• respeito às pessoas e ao ambiente de trabalho digno;

• conformidade legal e regulatória;

• proteção de informações e dados;

• responsabilidade socioambiental compatível com a natureza da relação.

Sempre que possível, critérios ESG poderão ser considerados na seleção, contratação, avaliação e relacionamento com fornecedores, parceiros e prestadores de serviço.

10. Responsabilidades

10.1. Alta administração e liderança

Compete à liderança apoiar esta Política, dar exemplo de conduta, promover cultura organizacional compatível com ESG e estimular sua implementação prática.

10.2. Gestores

Compete aos gestores disseminar esta Política em suas equipes, identificar riscos, apoiar boas práticas, incentivar treinamentos e reportar desvios ou oportunidades de melhoria.

10.3. Colaboradores e terceiros

Compete a todos observar as diretrizes desta Política, agir com responsabilidade, utilizar recursos conscientemente, respeitar pessoas, cumprir controles internos e contribuir para um ambiente ético, seguro e sustentável.

10.4. Áreas de apoio e governança

As áreas responsáveis por compliance, jurídico, recursos humanos, segurança da informação, privacidade, operações, facilities, tecnologia e demais funções correlatas poderão atuar, conforme suas competências, na implementação, orientação, monitoramento e aprimoramento das práticas ESG da organização.

11. Metas, indicadores e monitoramento

Sempre que compatível com sua maturidade organizacional, o Grupo5estrelas poderá estabelecer metas, indicadores, planos de ação, campanhas internas e mecanismos de acompanhamento relacionados a temas ESG, tais como:

• redução de consumo de papel;

• digitalização de fluxos;

• ações de capacitação e engajamento;

• indicadores de treinamento;

• ações de saúde e bem-estar;

• monitoramento de integridade, conformidade e controles internos;

• evolução de práticas de descarte adequado e uso consciente de recursos.

Os indicadores e metas eventualmente definidos deverão considerar viabilidade, materialidade, proporcionalidade e contexto operacional.

12. Engajamento e melhoria contínua

O Grupo5estrelas reconhece que a maturidade ESG é construída de forma progressiva. Por isso, compromete-se a:

• revisar periodicamente suas práticas e prioridades;

• incentivar participação de colaboradores e áreas internas na identificação de oportunidades de melhoria;

• avaliar medidas de aperfeiçoamento compatíveis com a realidade do negócio;

• fortalecer a integração entre sustentabilidade, integridade, desenvolvimento humano e governança.

13. Canal para sugestões e manifestações

Sugestões, contribuições e manifestações relacionadas a esta Política ou a iniciativas de sustentabilidade corporativa poderão ser encaminhadas pelos canais institucionais disponibilizados pela organização.

Canal informado: suporte@midnal.com.br

Sempre que possível, recomenda-se que a organização estruture fluxo interno apropriado para recebimento, avaliação e encaminhamento de sugestões relacionadas a ESG, sustentabilidade, bem-estar, governança e melhoria contínua.

14. Violações e medidas cabíveis

Condutas incompatíveis com esta Política, com o Código de Conduta, com as políticas de integridade ou com a legislação aplicável poderão ser avaliadas pelas áreas competentes e sujeitar o responsável às medidas cabíveis, conforme a natureza do vínculo e a gravidade do caso.

15. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e poderá ser atualizada a qualquer tempo para refletir evolução da estratégia organizacional, mudanças legais, regulatórias, operacionais ou aprimoramentos de governança.

16. Disposições finais

O compromisso com ESG exige coerência entre discurso e prática. Por isso, o Grupo 5 estrelas entende que sustentabilidade corporativa depende da participação efetiva da liderança, do engajamento das equipes, do fortalecimento da governança e da incorporação progressiva de critérios ambientais, sociais e éticos em sua rotina empresarial.

Esta Política representa um direcionador institucional para a construção de uma atuação responsável, íntegra e sustentável, alinhada à longevidade do negócio e à geração de valor para suas partes interessadas.

Política completa

Política de Saúde e Segurança do Trabalho (SST)

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de Saúde e Segurança do Trabalho (SST) estabelece os princípios, diretrizes, responsabilidades e compromissos do Grupo 5 estrelas voltados à prevenção de acidentes, incidentes, doenças relacionadas ao trabalho e demais situações que possam comprometer a integridade física, mental e social das pessoas em suas atividades profissionais.

O Grupo5estrelas entende que a proteção da vida, da saúde e da segurança no trabalho constitui valor inegociável e prioridade permanente de gestão. Nenhuma meta operacional, urgência, prazo, demanda comercial ou expectativa de resultado justifica a exposição de qualquer pessoa a risco indevido.

Esta Política deve ser interpretada em conjunto com a legislação aplicável, com as Normas Regulamentadoras de Segurança e Saúde no Trabalho, com o Código de Conduta e Ética, com as políticas internas de governança, privacidade, compliance, uso de tecnologia e demais normas corporativas pertinentes.

2. Objetivo

São objetivos desta Política:

• promover ambiente de trabalho seguro, saudável e compatível com a prevenção de danos;

• estabelecer diretrizes para identificação, avaliação, controle e monitoramento de riscos ocupacionais;

• fortalecer a cultura de prevenção e cuidado;

• orientar responsabilidades da organização, da liderança, dos colaboradores e de terceiros;

• incentivar o reporte tempestivo de perigos, incidentes, acidentes e condições inseguras;

• apoiar a conformidade com obrigações legais e normativas relacionadas à SST;

• contribuir para a melhoria contínua das condições de trabalho presenciais, externas, operacionais, administrativas e, quando aplicável, em teletrabalho.

3. Abrangência

Esta Política aplica-se, no que couber, a:

• administradores, diretores, gestores e lideranças;

• empregados e colaboradores em geral;

• aprendizes, estagiários e temporários;

• terceiros alocados, prestadores de serviço, parceiros e contratadas, quando em atividades vinculadas ao Grupo5estrelas;

• visitantes, fornecedores e demais pessoas que acessem ambientes sob gestão da organização, observadas as regras específicas aplicáveis.

Os requisitos de SST deverão ser observados de forma compatível com a natureza das atividades executadas, o ambiente de trabalho, os riscos ocupacionais existentes e as obrigações legais específicas aplicáveis a cada situação.

4. Princípios orientadores

A atuação do Grupo5estrelas em matéria de SST observará, entre outros, os seguintes princípios:

• prevenção;

• precaução;

• legalidade e conformidade;

• proteção da vida e da saúde;

• melhoria contínua;

• responsabilidade compartilhada;

• informação, capacitação e conscientização;

• reporte tempestivo;

• priorização de medidas de controle coletivas e organizacionais, sem prejuízo das demais medidas cabíveis;

• respeito à dignidade da pessoa e ao bem-estar físico e mental.

5. Compromisso institucional com a prevenção

O Grupo5estrelas compromete-se a desenvolver e aperfeiçoar práticas de SST compatíveis com seu porte, estrutura, atividades, ambientes e riscos ocupacionais, buscando:

• identificar perigos e avaliar riscos relacionados às atividades laborais;

• adotar medidas de prevenção, eliminação, redução ou controle dos riscos identificados;

• manter processos, ambientes, rotinas e orientações voltados à segurança;

• promover capacitação e comunicação sobre riscos e medidas preventivas;

• tratar incidentes, acidentes, desvios e quase acidentes como oportunidades de aprendizado e aprimoramento;

• estimular comportamento seguro e cultura de cuidado ativo.

6. Responsabilidades da organização

Compete ao Grupo5estrelas, observadas a legislação aplicável e a realidade operacional de suas atividades:

• proporcionar ambiente de trabalho compatível com práticas adequadas de saúde e segurança;

• identificar perigos e gerenciar riscos ocupacionais, inclusive por meio dos instrumentos legalmente exigíveis, quando aplicáveis;

• fornecer orientações, treinamentos, informações e instruções de segurança compatíveis com as atividades desenvolvidas;

• adotar medidas de prevenção coletivas, administrativas e individuais conforme a hierarquia de controle e a legislação aplicável;

• fornecer equipamentos de proteção individual adequados quando necessários e legalmente exigíveis, bem como orientar quanto ao uso, guarda, conservação e substituição;

• manter rotinas, procedimentos e controles internos de SST compatíveis com os riscos existentes;

• promover, quando aplicável, a vigilância da saúde ocupacional por meio dos programas e exames legalmente exigíveis;

• apurar incidentes e acidentes relevantes, buscando causas, lições aprendidas e medidas preventivas;

• tratar com seriedade relatos de risco, desconforto, acidente, quase acidente, adoecimento ou condição insegura;

• cooperar com autoridades, auditorias, inspeções e exigências legais em matéria de SST.

7. Responsabilidades da liderança e dos gestores

Gestores e lideranças possuem papel essencial na promoção da saúde e segurança do trabalho e devem:

• atuar como exemplo de conduta preventiva;

• assegurar que as atividades sob sua responsabilidade sejam realizadas com observância às regras de segurança;

• não tolerar improvisações inseguras, omissões ou desvios conhecidos;

• interromper ou reavaliar atividades quando houver risco grave ou incompatível com as medidas de controle existentes;

• garantir que equipes recebam informações, treinamentos e orientações necessários;

• acolher e encaminhar prontamente relatos de risco, acidentes, incidentes, sintomas ou condições inseguras;

• apoiar investigações, registros e ações corretivas;

• observar limites de jornada, fadiga, sobrecarga e demais fatores que possam impactar a segurança, quando aplicável.

8. Responsabilidades dos colaboradores e trabalhadores

Todos os trabalhadores abrangidos por esta Política devem:

• cumprir orientações, procedimentos e regras de SST aplicáveis às suas atividades;

• atuar com atenção, cautela e responsabilidade;

• utilizar corretamente equipamentos, ferramentas, dispositivos de segurança e EPIs fornecidos, quando exigidos;

• comunicar imediatamente perigos, falhas, incidentes, acidentes, sintomas ocupacionais, desconfortos relevantes ou condições inseguras;

• interromper a atividade e buscar orientação quando identificar situação que represente risco relevante à própria segurança ou à de terceiros;

• participar de treinamentos, diálogos de segurança, orientações e exames ocupacionais legalmente exigíveis;

• zelar pelos recursos e dispositivos destinados à proteção coletiva e individual;

• não praticar condutas que ampliem riscos, comprometam controles ou exponham terceiros a perigo desnecessário.

A omissão diante de condição insegura relevante, o uso inadequado deliberado de equipamentos de proteção ou a ocultação de acidente, incidente ou quase acidente podem configurar violação desta Política e das normas internas aplicáveis.

9. Gerenciamento de riscos ocupacionais

O Grupo5estrelas buscará identificar perigos, avaliar riscos ocupacionais e definir medidas de prevenção adequadas à realidade de suas operações, observadas as exigências legais aplicáveis.

Esse gerenciamento poderá abranger, conforme a natureza das atividades:

• riscos físicos;

• riscos químicos;

• riscos biológicos;

• riscos ergonômicos;

• riscos de acidentes;

• fatores psicossociais relacionados ao trabalho, quando compatíveis com as avaliações e obrigações aplicáveis;

• riscos decorrentes de deslocamentos, atividades externas, uso de equipamentos, infraestrutura e organização do trabalho.

As medidas de prevenção devem, sempre que possível, priorizar soluções de eliminação ou redução do risco na origem, complementadas por medidas administrativas, procedimentais, sinalização, capacitação e EPIs quando necessários.

10. Programas, controles e conformidade normativa

O Grupo5estrelas observará as obrigações legais e regulamentares de SST aplicáveis às suas atividades, inclusive no que se refere, quando cabível, a programas, documentos, processos, avaliações, treinamentos e registros exigidos pela legislação.

Conforme o enquadramento legal e os riscos existentes, isso pode incluir, entre outros:

• gerenciamento de riscos ocupacionais;

• programa de gerenciamento de riscos, quando exigível;

• programa de controle médico de saúde ocupacional, quando aplicável;

• avaliações ergonômicas e análises específicas, quando necessárias;

• constituição de instâncias internas legalmente exigidas, quando cabível;

• treinamentos obrigatórios previstos em normas regulamentadoras ou procedimentos internos.

A existência desta Política não substitui documentos técnicos, laudos, programas legais, procedimentos operacionais ou exigências específicas aplicáveis a determinadas atividades.

11. Equipamentos de Proteção Individual (EPIs)

Quando o risco ocupacional exigir e conforme a legislação aplicável, o Grupo5estrelas fornecerá EPIs adequados ao risco, com orientação quanto ao uso correto, guarda, conservação, higienização, limitações de proteção e necessidade de substituição.

Os trabalhadores deverão:

• utilizar o EPI de forma correta durante a execução das atividades em que ele for exigido;

• responsabilizar-se por sua guarda e conservação básica, nos termos das orientações recebidas;

• comunicar danos, extravio, desgaste, inadequação ou necessidade de substituição;

• não alterar, inutilizar ou desvirtuar a finalidade do equipamento.

A simples disponibilização de EPI não afasta a obrigação de adoção de outras medidas de prevenção cabíveis.

12. Saúde ocupacional e exames médicos

O Grupo5estrelas observará, quando aplicável, as exigências legais relacionadas ao acompanhamento da saúde ocupacional, inclusive por meio dos exames e procedimentos previstos na legislação pertinente.

Os exames ocupacionais legalmente exigíveis poderão incluir, conforme o caso e a legislação aplicável:

• admissional;

• periódico;

• de retorno ao trabalho;

• de mudança de riscos ocupacionais;

• demissional;

• exames complementares quando indicados pelos riscos identificados.

Os trabalhadores deverão colaborar com os fluxos legítimos de saúde ocupacional, respeitados a confidencialidade médica, a privacidade e os limites legais de tratamento de dados pessoais e sensíveis.

13. Ergonomia e organização do trabalho

O Grupo5estrelas reconhece a ergonomia como componente essencial da prevenção de adoecimentos e da promoção do bem-estar no trabalho.

Serão buscadas medidas compatíveis com as atividades desenvolvidas para adaptação razoável das condições de trabalho às características das pessoas, especialmente em atividades administrativas, repetitivas, intensivas em tela, cognitivamente exigentes ou suscetíveis a desconfortos musculoesqueléticos.

Conforme a atividade e a necessidade identificada, poderão ser adotadas medidas como:

• avaliação ergonômica preliminar das situações de trabalho;

• ajustes de mobiliário, postos, equipamentos e organização das tarefas;

• orientação sobre postura, pausas, alternância de atividades e uso adequado de ferramentas;

• análise ergonômica mais aprofundada quando identificadas inadequações, queixas recorrentes, indícios de insuficiência das medidas adotadas ou necessidade técnica.

14. Teletrabalho e atividades remotas

Nas atividades realizadas em regime de teletrabalho, trabalho remoto ou híbrido, o Grupo5estrelas buscará orientar expressamente os trabalhadores sobre precauções destinadas à prevenção de doenças e acidentes relacionados ao trabalho, na forma da legislação aplicável.

Sempre que compatível com a função e com a realidade operacional, serão incentivadas boas práticas relacionadas a:

• organização adequada do posto de trabalho;

• posicionamento de monitor, teclado, cadeira e apoio corporal;

• iluminação e ventilação adequadas;

• pausas regulares e alternância postural;

• gestão saudável do tempo de trabalho;

• atenção a desconfortos físicos, fadiga e sinais de sobrecarga;

• cuidado com segurança elétrica, cabos, extensões e ambiente doméstico de trabalho;

• preservação da saúde mental e da segurança psicológica.

O trabalhador também deve colaborar com a adoção das orientações recebidas e comunicar situações relevantes que comprometam a execução segura da atividade.

15. Treinamento, informação e conscientização

A prevenção efetiva depende de informação adequada e comportamento consciente. Por isso, o Grupo5estrelas poderá promover, conforme aplicabilidade:

• treinamentos obrigatórios previstos em normas legais ou procedimentos internos;

• integrações de segurança;

• reciclagens periódicas;

• orientações específicas por função, risco ou ambiente;

• campanhas de prevenção e cuidado;

• diálogos de segurança;

• comunicações internas sobre eventos, lições aprendidas e boas práticas.

A participação nos treinamentos obrigatórios e nas orientações aplicáveis é dever de todos os públicos abrangidos.

16. Comunicação de perigos, incidentes e acidentes

Todo perigo, incidente, quase acidente, acidente, adoecimento suspeito relacionado ao trabalho ou condição insegura deve ser comunicado imediatamente, ou tão logo razoavelmente possível, aos canais internos competentes, como gestor, RH, Segurança do Trabalho, SESMT, área responsável ou outro fluxo institucional aplicável.

O reporte tempestivo é essencial para:

• adoção de medidas de proteção imediata;

• preservação da saúde e integridade das pessoas;

• investigação de causas e fatores contribuintes;

• emissão de documentos legais, quando cabível;

• prevenção de recorrência.

A ocultação deliberada de acidentes, incidentes ou condições inseguras constitui violação grave desta Política.

17. Comunicação de Acidente de Trabalho (CAT)

Nos casos legalmente enquadráveis como acidente do trabalho, inclusive nas hipóteses equiparadas pela legislação aplicável, o Grupo5estrelas deverá adotar as providências cabíveis para a emissão da Comunicação de Acidente de Trabalho (CAT) dentro dos prazos legais.

Todo trabalhador e toda liderança devem comunicar imediatamente a ocorrência de acidente, inclusive de trajeto quando legalmente reconhecido, para possibilitar avaliação, atendimento, registro e encaminhamento adequados.

Na falta de comunicação pela empresa, a legislação admite que a CAT possa ser formalizada por outras pessoas ou entidades legitimadas, nos termos legais.

18. Investigação de incidentes e melhoria contínua

Incidentes, acidentes e quase acidentes relevantes devem ser analisados com o objetivo de identificar causas imediatas, causas contribuintes, fragilidades de processo e oportunidades de melhoria, evitando abordagem meramente punitiva quando incompatível com o aprendizado organizacional.

As ações decorrentes poderão incluir:

• correção de condições inseguras;

• revisão de procedimentos;

• reforço de treinamento;

• ajustes de processo;

• revisão de equipamentos, infraestrutura ou layout;

• fortalecimento de controles e monitoramento.

19. Saúde mental, fadiga e fatores psicossociais

O Grupo5estrelas reconhece que a saúde e a segurança do trabalho incluem atenção a fatores organizacionais e psicossociais que possam impactar o bem-estar, a concentração, a segurança e a capacidade de trabalho.

Sempre que compatível com suas atividades e com sua estrutura, a organização buscará:

• estimular ambiente respeitoso e sem assédio;

• desencorajar práticas abusivas, humilhantes ou incompatíveis com a dignidade da pessoa;

• observar riscos relacionados à fadiga, sobrecarga e organização inadequada do trabalho;

• incentivar a busca de orientação diante de sinais relevantes de adoecimento, sofrimento ou exaustão;

• integrar a temática de saúde mental às ações de prevenção e cultura de cuidado.

20. Terceiros, contratadas e visitantes

Prestadores de serviço, contratadas, terceiros alocados e visitantes que acessem ambientes ou executem atividades vinculadas ao Grupo5estrelas deverão observar as regras de SST aplicáveis ao contexto da atividade.

Conforme a natureza da relação e os riscos envolvidos, poderão ser exigidos:

• cumprimento de procedimentos de segurança;

• uso de EPIs;

• apresentação de documentos e evidências de regularidade;

• participação em integrações ou orientações de segurança;

• observância de controles de acesso, sinalização e regras operacionais.

O descumprimento de requisitos de segurança poderá ensejar restrição de acesso, interrupção de atividades, aplicação de medidas contratuais ou outras providências cabíveis.

21. Preparação e resposta a emergências

O Grupo5estrelas buscará manter, conforme aplicabilidade e risco, procedimentos e orientações para resposta a emergências, incidentes relevantes e situações críticas que possam afetar a saúde e a segurança das pessoas.

Isso poderá incluir, quando cabível:

• comunicação rápida de emergência;

• evacuação e rotas de saída;

• acionamento de apoio interno e externo;

• primeiros socorros, conforme estrutura disponível;

• orientação sobre abandono de área e pontos de encontro;

• interação com brigadas, equipes internas ou serviços especializados, quando existentes.

Todos devem conhecer e respeitar os procedimentos de emergência aplicáveis ao seu ambiente de trabalho.

22. Não retaliação e cultura de reporte

Ninguém deve sofrer retaliação por, de boa-fé:

• relatar condição insegura;

• comunicar acidente, incidente ou quase acidente;

• recusar atividade em situação de risco grave sem controle adequado, buscando orientação competente;

• colaborar com investigação de ocorrência;

• sugerir melhoria de segurança.

A cultura de prevenção depende de confiança, escuta e tratamento responsável dos relatos apresentados.

23. Medidas em caso de descumprimento

O descumprimento desta Política, das normas de SST, dos procedimentos operacionais ou das obrigações legais aplicáveis poderá ensejar medidas administrativas, disciplinares, contratuais e legais cabíveis, conforme a gravidade do caso, a natureza do vínculo e a legislação aplicável.

24. Papéis das áreas de apoio

Conforme a estrutura da organização, áreas como RH, Segurança do Trabalho, SESMT, Facilities, Operações, Liderança, Jurídico, Compliance e demais funções de apoio poderão atuar de forma integrada para implementação, acompanhamento e aprimoramento das práticas de SST.

Quando houver estrutura legalmente exigida ou tecnicamente recomendável, seus papéis deverão ser exercidos de forma coordenada com esta Política.

25. Canal para dúvidas, reporte e orientação

Dúvidas, relatos de risco, comunicações de ocorrências e solicitações relacionadas à saúde e segurança do trabalho poderão ser encaminhadas pelos canais institucionais disponibilizados pela organização.

Canal informado para SESMT / Segurança do Trabalho: suporte@midnal.com.br

Sempre que possível, recomenda-se a utilização de canal específico de SST, distinto de suporte geral, com fluxo apropriado para emergências, ocorrências, orientações técnicas e registros formais.

26. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e poderá ser revisada e atualizada periodicamente para refletir alterações legais, regulatórias, operacionais, estruturais ou de melhoria contínua.

27. Disposições finais

A proteção da saúde e da segurança do trabalho depende de compromisso permanente, disciplina operacional, comunicação transparente e cooperação entre organização, lideranças, trabalhadores e terceiros.

O Grupo 5 estrelas reafirma que nenhuma atividade deve ser executada sem observância das condições mínimas de segurança exigíveis e que a prevenção é responsabilidade de todos.

Política completa

Política de Segurança Privada e Proteção Patrimonial

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de Segurança Privada e Proteção Patrimonial estabelece os princípios, diretrizes, responsabilidades e controles mínimos adotados pelo Grupo 5 estrelas para proteger pessoas, instalações, ativos físicos, bens patrimoniais, documentos, equipamentos, informações e ambientes corporativos.

Esta Política reflete o compromisso institucional com a preservação da integridade física de colaboradores, visitantes e terceiros, com a proteção do patrimônio da organização e com a manutenção de ambientes controlados, seguros e compatíveis com as exigências legais, operacionais e de governança.

A proteção patrimonial deve ser conduzida de forma preventiva, proporcional, respeitosa, documentada e compatível com os direitos fundamentais das pessoas, incluindo privacidade, dignidade, proteção de dados pessoais e tratamento não discriminatório.

Esta Política deve ser interpretada em conjunto com o Código de Conduta e Ética, a Política de Privacidade e Proteção de Dados Pessoais, a Política de Compliance e Anticorrupção, a Política de Saúde e Segurança do Trabalho (SST), os procedimentos internos de controle de acesso, resposta a incidentes e demais normas corporativas aplicáveis.

2. Objetivo

São objetivos desta Política:

• estabelecer diretrizes para segurança patrimonial e controle de acesso às dependências da organização;

• proteger pessoas, bens e ambientes corporativos contra riscos, perdas, danos, furtos, extravios, invasões, acessos não autorizados, depredação e outras ocorrências;

• disciplinar procedimentos relacionados à identificação, acesso, permanência, circulação e saída de pessoas, veículos e materiais;

• orientar o uso legítimo e proporcional de mecanismos de vigilância, monitoramento e registro de ocorrências;

• reforçar a prevenção, a rastreabilidade e a pronta comunicação de eventos relevantes;

• assegurar que as medidas de segurança patrimonial sejam compatíveis com a legislação aplicável e com a proteção de dados pessoais.

3. Abrangência

Esta Política aplica-se, no que couber, a:

• empregados, colaboradores e dirigentes do Grupo5estrelas;

• estagiários, aprendizes, temporários e terceiros alocados;

• prestadores de serviço, fornecedores e parceiros com acesso a instalações ou ambientes sob gestão da organização;

• visitantes, convidados e demais pessoas autorizadas a ingressar nas dependências corporativas;

• veículos e bens que acessem, permaneçam ou circulem em áreas administradas pela organização.

Os controles previstos nesta Política deverão ser observados de forma compatível com a natureza do ambiente, o perfil de risco, a criticidade da área e os procedimentos operacionais específicos aplicáveis a cada unidade, instalação ou operação.

4. Princípios orientadores

A atuação do Grupo5estrelas em matéria de segurança patrimonial observará, entre outros, os seguintes princípios:

• legalidade e conformidade;

• prevenção e proporcionalidade;

• proteção à vida e à integridade física;

• rastreabilidade e formalização;

• necessidade e adequação dos controles;

• respeito à dignidade, à privacidade e à não discriminação;

• proteção de dados pessoais;

• confidencialidade de registros sensíveis;

• melhoria contínua e resposta responsável a ocorrências.

5. Diretrizes gerais de segurança patrimonial

O Grupo5estrelas buscará manter medidas de proteção patrimonial compatíveis com seu porte, estrutura, instalações, atividades e perfil de risco, podendo adotar, conforme aplicabilidade:

• controle de acesso de pessoas, veículos e materiais;

• mecanismos de identificação e autorização de ingresso;

• controle de áreas restritas ou sensíveis;

• vigilância patrimonial própria ou contratada, quando cabível;

• videomonitoramento em pontos legitimamente definidos;

• registro e apuração de ocorrências;

• procedimentos para entrada e saída de bens;

• rotinas de resposta a incidentes de segurança patrimonial.

As medidas adotadas deverão ter finalidade legítima de proteção física e patrimonial, sem desvio para usos incompatíveis com esta Política ou com a legislação aplicável.

6. Controle de acesso de pessoas

O acesso às dependências do Grupo5estrelas é condicionado à observância das regras de identificação, autorização, registro e circulação aplicáveis ao ambiente.

6.1. Identificação de colaboradores e usuários internos

Quando houver utilização de crachá, credencial, cartão, token, biometria, QR code, senha de acesso, aplicativo corporativo ou outro mecanismo de identificação, este será pessoal e intransferível.

O usuário deverá:

• utilizar corretamente seu meio de identificação, quando exigido;

• não emprestar, ceder ou compartilhar credenciais de acesso;

• comunicar imediatamente perda, extravio, furto, dano, uso indevido ou suspeita de comprometimento do meio de identificação;

• respeitar as permissões e restrições compatíveis com seu perfil de acesso.

A permanência em áreas de acesso restrito dependerá de autorização compatível com a necessidade funcional ou operacional.

6.2. Visitantes e convidados

Visitantes, prestadores eventuais, convidados e demais pessoas sem credencial regular poderão ser submetidos a procedimentos de identificação e registro compatíveis com a finalidade de proteção patrimonial, tais como:

• apresentação de documento de identificação idôneo, quando necessário;

• registro de ingresso e saída;

• indicação da pessoa ou área responsável pela visita;

• emissão de credencial temporária, quando aplicável;

• acompanhamento por colaborador responsável, conforme a criticidade da área ou o procedimento local.

O Grupo5estrelas poderá restringir acesso a determinadas áreas, exigir autorização prévia ou negar ingresso quando houver justificativa legítima relacionada à segurança, à proteção patrimonial, à confidencialidade ou à ordem interna.

6.3. Áreas restritas e sensíveis

Ambientes técnicos, operacionais, administrativos, tecnológicos, de armazenamento, segurança, dados, documentos, equipamentos críticos ou qualquer área classificada como restrita somente poderão ser acessados por pessoas autorizadas, observados os níveis de permissão e os controles aplicáveis.

7. Controle de acesso de veículos

O ingresso, permanência e circulação de veículos em áreas sob gestão do Grupo5estrelas poderão estar sujeitos a regras de identificação, autorização, direcionamento e registro compatíveis com a finalidade de segurança patrimonial.

Conforme a criticidade do local e a natureza da operação, poderão ser adotadas medidas como:

• identificação do veículo e do condutor;

• validação de autorização de entrada;

• direcionamento a áreas permitidas;

• registro de entrada e saída;

• inspeção visual externa, quando prevista em procedimento legítimo, geral e não discriminatório;

• restrição de acesso a áreas específicas.

Qualquer procedimento de controle deverá observar legalidade, proporcionalidade, respeito à dignidade e padronização operacional.

8. Videomonitoramento e CFTV

O Grupo5estrelas poderá utilizar sistemas de videomonitoramento e circuito fechado de televisão (CFTV) em suas dependências, acessos, perímetros e áreas compatíveis com a finalidade de segurança patrimonial, proteção física, investigação de ocorrências, controle de acesso, prevenção de incidentes e defesa de direitos.

8.1. Finalidades legítimas

As imagens captadas deverão ser utilizadas apenas para finalidades legítimas, tais como:

• proteção de pessoas e bens;

• controle de acesso e prevenção de entradas não autorizadas;

• apuração de incidentes, furtos, danos, extravios, invasões ou ocorrências relevantes;

• suporte a auditorias e investigações internas, quando cabível;

• atendimento a requisições legais ou defesa de direitos.

8.2. Limites de uso

O videomonitoramento não deverá ser utilizado para finalidades incompatíveis com esta Política, especialmente quando houver desvio indevido para vigilância abusiva, tratamento discriminatório ou monitoramento de produtividade sem base legítima e transparência adequada.

8.3. Áreas inadequadas para captação

A instalação e operação de câmeras deverão respeitar limites de privacidade, sendo vedada a captação em ambientes cuja expectativa reforçada de privacidade torne o monitoramento inadequado ou desproporcional, salvo hipótese legal excepcional e tecnicamente justificada.

8.4. Sinalização e transparência

Sempre que cabível, o Grupo5estrelas buscará manter comunicação visual adequada sobre a existência de videomonitoramento em áreas monitoradas, em consonância com as boas práticas de transparência e proteção de dados.

9. Tratamento de dados pessoais em segurança patrimonial

Os procedimentos de controle de acesso, cadastro de visitantes, registros de ocorrência, logs de credenciais, videomonitoramento e demais mecanismos de segurança patrimonial podem envolver tratamento de dados pessoais.

Nessas hipóteses, o Grupo5estrelas compromete-se a observar sua Política de Privacidade e a legislação aplicável, especialmente quanto a:

• finalidade legítima e informada;

• necessidade e minimização de dados;

• adequação dos meios de coleta;

• controle de acesso aos registros;

• armazenamento pelo tempo necessário às finalidades legítimas e às obrigações legais;

• segurança da informação;

• confidencialidade e prevenção de uso indevido.

Quando forem utilizados dados biométricos ou tecnologias de maior sensibilidade, deverão ser observadas salvaguardas reforçadas, base legal adequada e avaliação proporcional dos riscos envolvidos.

10. Acesso, guarda e confidencialidade de imagens e registros

Imagens de CFTV, registros de visitantes, logs de acesso, relatórios de ocorrência e demais registros de segurança patrimonial são informações de acesso restrito.

Seu acesso deverá ser limitado a pessoas, funções ou áreas autorizadas, na estrita medida da necessidade, tais como:

• segurança patrimonial;

• auditoria interna, quando cabível;

• compliance, jurídico, gestão ou áreas competentes em caso de apuração legítima;

• autoridades públicas, quando houver obrigação legal, ordem válida ou requisição compatível com a legislação.

É vedado:

• acessar imagens ou registros sem necessidade legítima;

• divulgar, compartilhar, copiar, reproduzir ou utilizar registros de segurança para finalidades pessoais ou não autorizadas;

• expor imagens ou informações de pessoas de modo indevido, vexatório ou incompatível com esta Política.

11. Entrada e saída de bens, materiais e equipamentos

A entrada, movimentação e saída de bens, materiais, equipamentos, ferramentas, documentos ou ativos relevantes poderão estar sujeitas a controle compatível com a proteção patrimonial e com os procedimentos internos da organização.

Conforme a natureza do bem e o risco envolvido, poderão ser exigidos:

• registro de entrada ou saída;

• autorização formal ou eletrônica da área responsável;

• conferência documental;

• identificação do responsável pela retirada ou entrega;

• validação pelo gestor ou área competente, quando aplicável.

A retirada de bens corporativos sem autorização, o uso indevido de documentos de liberação ou a movimentação não rastreada de ativos constitui violação a esta Política e poderá ensejar medidas cabíveis.

12. Chaves, credenciais, dispositivos e meios de acesso

Chaves físicas, cartões, credenciais, controles remotos, senhas, tokens, dispositivos de autenticação e demais meios de acesso são recursos sensíveis de segurança e devem ser protegidos com rigor.

É dever de todo usuário autorizado:

• manter sigilo e guarda adequada desses meios;

• não duplicar, compartilhar, ceder ou emprestar mecanismos de acesso sem autorização formal;

• comunicar imediatamente qualquer perda, extravio, roubo, dano ou suspeita de uso indevido;

• devolver os meios de acesso quando do desligamento, troca de função, encerramento de contrato ou solicitação legítima da organização.

13. Condutas proibidas

Sem prejuízo de outras restrições legais ou internas, é proibido:

• permitir ou facilitar acesso não autorizado de pessoas, veículos ou materiais;

• utilizar credencial de terceiro ou ceder a própria credencial;

• tentar ingressar em área restrita sem autorização;

• obstruir, inutilizar, adulterar ou sabotar dispositivos de segurança patrimonial;

• manipular câmeras, sensores, controles, fechaduras, alarmes ou registros sem autorização;

• omitir ocorrências relevantes de segurança patrimonial;

• retirar bem corporativo sem a autorização exigida;

• utilizar dados, imagens ou registros de segurança para constranger, discriminar, expor ou perseguir pessoas;

• fornecer informação falsa em cadastros de acesso ou registros de visita.

14. Ocorrências, incidentes e reporte imediato

Toda ocorrência relacionada à segurança patrimonial deve ser comunicada imediatamente, ou tão logo razoavelmente possível, aos canais competentes.

Isso inclui, entre outros eventos:

• perda, furto ou extravio de crachá, cartão, chave ou dispositivo de acesso;

• tentativa de acesso indevido;

• presença de pessoa não identificada ou em desacordo com os procedimentos locais;

• furto, dano, depredação, extravio ou movimentação irregular de bens;

• violação de área restrita;

• falha relevante em dispositivos de segurança;

• comportamento suspeito que demande avaliação pela área competente.

O reporte tempestivo é essencial para contenção de riscos, preservação de evidências, proteção de pessoas e adequada apuração dos fatos.

15. Tratamento de ocorrências e apuração

As ocorrências de segurança patrimonial serão tratadas de forma proporcional, documentada e compatível com sua gravidade, podendo envolver, conforme o caso:

• registro formal da ocorrência;

• adoção de medidas imediatas de contenção;

• verificação de imagens, logs e registros correlatos;

• comunicação às áreas internas competentes;

• preservação de evidências;

• investigação interna;

• acionamento de autoridades públicas, quando necessário;

• revisão de controles, acessos, rotinas ou procedimentos.

A apuração deverá respeitar confidencialidade, legalidade, necessidade e tratamento adequado das informações envolvidas.

16. Terceiros, empresas contratadas e serviços especializados

Sempre que a segurança patrimonial envolver terceiros, prestadores de serviço ou empresas especializadas, o Grupo5estrelas buscará exigir conformidade com a legislação aplicável, com os requisitos contratuais e com os padrões internos de integridade, confidencialidade e proteção de dados.

Quando aplicável, deverão ser observados:

• requisitos de habilitação legal e regularidade;

• definição clara de responsabilidades;

• confidencialidade e restrição de acesso a informações;

• treinamento ou orientação mínima para atuação nas dependências da organização;

• supervisão e rastreabilidade compatíveis com o risco da atividade.

17. Integração com SST, privacidade e governança

A segurança patrimonial deve atuar de forma coordenada com as áreas de Saúde e Segurança do Trabalho, Privacidade, Segurança da Informação, Compliance, Jurídico, Facilities, Operações e demais funções corporativas pertinentes.

Essa integração é necessária para assegurar que os controles físicos e patrimoniais:

• não comprometam direitos fundamentais;

• estejam alinhados à proteção de dados pessoais;

• sejam compatíveis com planos de emergência e resposta a incidentes;

• preservem a integridade de pessoas e ativos;

• estejam sujeitos a governança e melhoria contínua.

18. Responsabilidades

18.1. Organização

Compete ao Grupo5estrelas definir diretrizes, prover estruturas compatíveis com seu perfil de risco, orientar o cumprimento desta Política e promover controles razoáveis de proteção patrimonial.

18.2. Liderança e gestores

Compete à liderança reforçar a observância das regras de acesso, proteger ativos sob sua responsabilidade, apoiar registros e apurações e comunicar ocorrências relevantes.

18.3. Colaboradores e usuários autorizados

Compete aos usuários cumprir as regras de acesso, preservar credenciais, zelar por bens e reportar prontamente incidentes, riscos e irregularidades.

18.4. Áreas de apoio ou segurança

Compete às áreas responsáveis pela segurança patrimonial, facilities, operações ou funções equivalentes executar, supervisionar, registrar e aprimorar os controles internos compatíveis com esta Política.

19. Não discriminação e abordagem respeitosa

Os controles de segurança patrimonial deverão ser aplicados de forma objetiva, padronizada, respeitosa e não discriminatória.

Nenhuma pessoa poderá ser submetida a tratamento vexatório, constrangedor, abusivo ou discriminatório em razão de raça, cor, origem, gênero, orientação sexual, religião, deficiência, condição social, aparência ou qualquer outro fator pessoal sem relação legítima com o procedimento de segurança.

20. Medidas em caso de descumprimento

O descumprimento desta Política, dos procedimentos internos ou das obrigações legais aplicáveis poderá ensejar medidas administrativas, disciplinares, contratuais e legais cabíveis, conforme a gravidade da ocorrência e a natureza do vínculo da pessoa envolvida.

21. Canal para reporte e orientação

Dúvidas, solicitações, comunicações de ocorrência e relatos relacionados à segurança patrimonial poderão ser encaminhados pelos canais institucionais disponibilizados pela organização.

Canal informado para Central de Segurança: suporte@midnal.com.br

Sempre que possível, recomenda-se a existência de canal específico de segurança patrimonial, distinto de suporte geral, para tratamento adequado de ocorrências, urgências, registros e orientações técnicas.

22. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e poderá ser atualizada periodicamente para refletir mudanças legais, operacionais, tecnológicas, estruturais ou de governança.

23. Disposições finais

A proteção patrimonial exige disciplina operacional, respeito às pessoas, vigilância responsável, formalização de controles e pronta resposta a ocorrências.

O Grupo 5 estrelas reafirma que a segurança física e patrimonial deve ser exercida de forma legítima, proporcional e alinhada aos direitos fundamentais, à proteção de dados pessoais e à boa governança corporativa.

Política completa

Política de Segurança da Informação

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de Segurança da Informação estabelece os princípios, diretrizes, responsabilidades e controles gerais adotados pelo Grupo 5 estrelas para proteger seus ativos de informação, ambientes tecnológicos, sistemas, dados, documentos, comunicações, processos e recursos digitais ou físicos relacionados à informação.

A segurança da informação é componente essencial da governança corporativa, da continuidade operacional, da conformidade legal, da proteção de dados pessoais, da confiança institucional e da resiliência do negócio.

Esta Política tem por finalidade orientar o comportamento dos usuários, apoiar a tomada de decisão, fortalecer a gestão de riscos e assegurar que o tratamento, o armazenamento, a circulação e o uso das informações ocorram de forma adequada, legítima e segura.

A presente Política deve ser interpretada em conjunto com o Código de Conduta e Ética, a Política de Privacidade e Proteção de Dados Pessoais, a Política de Compliance e Anticorrupção, os Termos de Uso da Plataforma, a Política de Segurança Privada e Proteção Patrimonial, a Política de SST, normas internas complementares e demais procedimentos aplicáveis.

2. Objetivo

São objetivos desta Política:

• proteger os ativos de informação do Grupo5estrelas contra acesso não autorizado, uso indevido, perda, destruição, alteração, indisponibilidade, vazamento, comprometimento ou qualquer tratamento inadequado;

• preservar a confidencialidade, a integridade, a disponibilidade e, quando aplicável, a autenticidade e a rastreabilidade das informações;

• estabelecer diretrizes mínimas para o uso seguro de sistemas, credenciais, dispositivos, redes, serviços e dados;

• orientar a gestão de riscos de segurança da informação e cibernética;

• apoiar a prevenção, a detecção, a resposta e a recuperação diante de incidentes de segurança;

• reforçar a conformidade com obrigações legais, regulatórias, contratuais e institucionais;

• promover cultura organizacional de proteção da informação, responsabilidade individual e melhoria contínua.

3. Abrangência

Esta Política aplica-se, no que couber, a:

• sócios, administradores, diretores e lideranças;

• empregados e colaboradores em geral;

• estagiários, aprendizes e temporários;

• terceiros alocados, consultores, parceiros, prestadores de serviço e fornecedores com acesso a informações, sistemas, ambientes ou ativos do Grupo5estrelas;

• usuários internos e externos autorizados a utilizar recursos tecnológicos ou acessar informações sob responsabilidade da organização.

A presente Política abrange informações em qualquer meio ou formato, inclusive:

• documentos físicos;

• arquivos digitais;

• e-mails e mensagens corporativas;

• bancos de dados;

• registros operacionais;

• conteúdos acadêmicos e institucionais;

• sistemas corporativos;

• ambientes em nuvem;

• dispositivos móveis;

• mídias removíveis;

• backups;

• registros de acesso, monitoramento e auditoria.

4. Princípios orientadores

A segurança da informação no Grupo5estrelas observará, entre outros, os seguintes princípios:

• confidencialidade;

• integridade;

• disponibilidade;

• autenticidade;

• rastreabilidade;

• legalidade e conformidade;

• necessidade e minimização;

• segregação de funções;

• privilégio mínimo;

• prevenção e proporcionalidade;

• responsabilização e prestação de contas;

• melhoria contínua.

5. Diretrizes gerais

O Grupo5estrelas buscará manter um conjunto de medidas administrativas, técnicas, físicas e organizacionais compatíveis com seu porte, seus riscos, seus processos e a criticidade de seus ativos de informação.

Essas medidas poderão envolver, conforme aplicabilidade:

• gestão de acessos;

• classificação e tratamento da informação;

• gestão de ativos tecnológicos e informacionais;

• proteção de redes, sistemas e dispositivos;

• monitoramento e registro de eventos;

• cópias de segurança e continuidade;

• proteção de dados pessoais e sigilosos;

• gestão de vulnerabilidades e atualizações;

• resposta a incidentes;

• conscientização e treinamento;

• controles sobre terceiros e serviços contratados.

6. Classificação e tratamento da informação

As informações sob responsabilidade do Grupo5estrelas deverão ser tratadas de acordo com sua sensibilidade, criticidade e necessidade de proteção.

Sempre que aplicável, a organização poderá adotar classificação compatível com sua realidade, por exemplo:

• Pública: informação cuja divulgação autorizada não cause impacto relevante;

• Uso interno: informação destinada ao uso corporativo regular, sem autorização de divulgação externa indiscriminada;

• Confidencial: informação cujo acesso deve ser restrito a pessoas autorizadas em razão do risco associado ao seu uso ou divulgação indevida;

• Restrita ou sensível: informação de maior criticidade, incluindo dados pessoais sensíveis, informações estratégicas, segredos de negócio, credenciais, registros jurídicos, documentos financeiros, conteúdos sigilosos ou dados sujeitos a controles reforçados.

O tratamento da informação deve observar sua classificação, incluindo regras de acesso, compartilhamento, armazenamento, transporte, retenção, descarte e reprodução.

7. Gestão de ativos de informação e tecnologia

Ativos de informação e recursos tecnológicos do Grupo5estrelas devem ser identificados, utilizados, protegidos e descartados de forma compatível com sua criticidade.

Isso inclui, entre outros:

• notebooks, desktops e estações de trabalho;

• dispositivos móveis;

• servidores e equipamentos de rede;

• contas corporativas e identidades digitais;

• sistemas internos e aplicações;

• repositórios de arquivos e bases de dados;

• mídias de armazenamento;

• documentos físicos e digitais;

• softwares, licenças e serviços em nuvem.

Todos os usuários devem zelar pelos ativos que estejam sob sua responsabilidade e utilizá-los exclusivamente para finalidades legítimas e autorizadas.

8. Gestão de identidades, autenticação e controle de acesso

O acesso a sistemas, dados, ambientes e recursos tecnológicos deverá observar critérios de necessidade de negócio, privilégio mínimo, segregação de funções e autorização compatível com o perfil do usuário.

8.1. Regras gerais

O Grupo5estrelas buscará adotar, conforme aplicabilidade:

• contas individuais e intransferíveis;

• autenticação adequada ao nível de risco;

• controle de criação, alteração, revisão e revogação de acessos;

• trilhas de auditoria para ações relevantes;

• revisão periódica de perfis e permissões;

• restrição a acessos privilegiados;

• mecanismos adicionais de autenticação para ativos críticos, quando recomendável.

8.2. Credenciais e senhas

As credenciais são pessoais e intransferíveis. É proibido compartilhar login, senha, token, código de autenticação ou qualquer outro mecanismo de acesso.

As senhas devem ser criadas e mantidas conforme os padrões corporativos vigentes, observando requisitos de robustez compatíveis com o risco, evitando senhas fracas, previsíveis, reutilizadas ou baseadas em informações facilmente identificáveis.

Sempre que aplicável, o Grupo5estrelas poderá adotar:

• autenticação multifator;

• cofre de senhas ou gerenciadores corporativos;

• bloqueio automático após tentativas inválidas;

• critérios de renovação ou substituição em situações de risco;

• controles reforçados para acessos administrativos e críticos.

8.3. Bloqueio de sessão e uso de estação de trabalho

Todo usuário deve proteger sua estação de trabalho, bloqueando a sessão quando se ausentar e evitando exposição indevida de informações em tela, mesa ou ambiente compartilhado.

9. Uso aceitável de recursos tecnológicos

Os recursos tecnológicos disponibilizados pelo Grupo5estrelas destinam-se prioritariamente a finalidades profissionais, institucionais, operacionais, acadêmicas e corporativas legítimas.

É vedado, entre outras condutas:

• utilizar recursos corporativos para prática ilícita, fraudulenta, abusiva ou incompatível com o ambiente profissional;

• instalar softwares, extensões, aplicativos ou ferramentas sem autorização, quando exigida;

• burlar controles de segurança, filtros, restrições de acesso ou mecanismos de monitoramento legítimos;

• utilizar contas corporativas para envio de conteúdos ofensivos, discriminatórios, fraudulentos ou maliciosos;

• armazenar, compartilhar ou transmitir material incompatível com a legislação ou com as políticas internas;

• realizar atividades que aumentem indevidamente o risco cibernético da organização.

O uso eventual e moderado para fins pessoais poderá ser tolerado apenas quando não prejudicar o trabalho, a segurança, o desempenho dos sistemas, a imagem institucional ou o cumprimento das políticas internas.

10. E-mail, mensagens, phishing e engenharia social

E-mails, mensagerias corporativas e demais canais digitais são vetores sensíveis para incidentes de segurança e devem ser utilizados com cautela.

Todos os usuários devem:

• verificar remetentes, anexos, links e solicitações incomuns;

• desconfiar de mensagens urgentes, inesperadas ou que solicitem credenciais, pagamentos, dados sensíveis ou mudanças de procedimento;

• não informar senhas ou códigos de autenticação por e-mail, telefone ou mensagem, salvo por canal formalmente autorizado e em procedimento legítimo;

• reportar suspeitas de phishing, engenharia social, malware ou fraude aos canais competentes;

• evitar abertura de anexos, instalação de arquivos ou clique em links suspeitos.

A equipe de tecnologia, segurança ou suporte não deve solicitar senha do usuário por meios informais ou incompatíveis com os procedimentos corporativos.

11. Proteção de dados pessoais e informações sensíveis

O tratamento de dados pessoais, dados pessoais sensíveis, informações estratégicas, dados financeiros, documentos jurídicos, informações de RH, credenciais e segredos de negócio deve observar medidas reforçadas de proteção.

Todos os usuários com acesso a informações sensíveis devem:

• acessá-las apenas quando necessário ao exercício legítimo de suas funções;

• limitar o compartilhamento ao mínimo necessário;

• utilizar apenas canais e sistemas autorizados;

• evitar armazenamento local desnecessário;

• observar a Política de Privacidade, regras de confidencialidade e orientações internas aplicáveis.

12. Mesa limpa, tela limpa e documentos físicos

Informações impressas ou manuscritas contendo dados pessoais, dados sensíveis, credenciais, informações estratégicas ou documentos sigilosos não devem permanecer expostas indevidamente em mesas, impressoras, salas compartilhadas, veículos ou áreas de circulação.

Conforme a sensibilidade do conteúdo, o usuário deverá:

• guardar documentos em local seguro;

• recolher impressões imediatamente;

• evitar anotações visíveis com senhas ou informações críticas;

• descartar documentos confidenciais de forma adequada, inclusive por fragmentação ou procedimento seguro equivalente;

• proteger a visualização de telas quando houver risco de exposição indevida.

13. Segurança de dispositivos e mobilidade

Dispositivos corporativos ou autorizados para fins de trabalho devem ser protegidos de forma adequada contra perda, furto, acesso indevido, malware, instalação irregular de aplicativos e uso não autorizado.

Sempre que aplicável, o Grupo5estrelas poderá adotar controles como:

• criptografia de dispositivos;

• gestão centralizada de endpoints;

• antivírus/antimalware ou solução equivalente;

• atualização automática ou controlada;

• bloqueio remoto;

• inventário de ativos;

• restrição ao uso de mídias removíveis;

• regras específicas para BYOD, quando permitido.

O usuário deverá comunicar imediatamente perda, roubo, extravio, suspeita de comprometimento ou uso indevido de dispositivo corporativo.

14. Segurança de redes, sistemas e infraestrutura

O Grupo5estrelas buscará proteger seus ambientes tecnológicos por meio de controles compatíveis com os riscos e a criticidade dos ativos, podendo incluir, conforme aplicabilidade:

• segmentação de redes;

• hardening de sistemas e dispositivos;

• controle de acesso remoto;

• proteção contra malware;

• gestão de vulnerabilidades;

• registro e monitoramento de eventos;

• controle de mudanças;

• atualização e correção de sistemas;

• mecanismos de detecção e resposta;

• proteção de serviços expostos à internet;

• gestão segura de configurações.

15. Criptografia e proteção de comunicações

Sempre que cabível e proporcional ao risco, o Grupo5estrelas buscará empregar mecanismos de criptografia, proteção de comunicações e salvaguardas técnicas adequadas para informações em trânsito, em repouso ou sujeitas a maior criticidade.

A utilização de criptografia deve observar critérios corporativos de segurança, gestão adequada de chaves, compatibilidade operacional e requisitos legais ou contratuais aplicáveis.

16. Cópias de segurança, continuidade e recuperação

A disponibilidade da informação depende de medidas adequadas de backup, recuperação e continuidade.

O Grupo5estrelas buscará manter, conforme aplicabilidade:

• rotinas de cópia de segurança compatíveis com a criticidade dos ativos;

• proteção dos backups contra acesso indevido, corrupção ou perda;

• testes periódicos de restauração, quando recomendável;

• critérios de retenção e descarte;

• medidas de continuidade operacional e recuperação após incidentes relevantes.

A existência de backup não substitui controles preventivos, nem afasta a necessidade de gestão de riscos e resiliência dos processos.

17. Monitoramento, registros e auditoria

Os sistemas, redes, serviços, contas e recursos tecnológicos do Grupo5estrelas poderão estar sujeitos a monitoramento, registro, auditoria e rastreabilidade para finalidades legítimas como:

• segurança da informação;

• prevenção e detecção de incidentes;

• suporte técnico;

• conformidade legal, regulatória e contratual;

• investigação de desvios ou irregularidades;

• defesa de direitos.

Os registros produzidos nesses contextos devem ser acessados apenas por pessoas autorizadas e tratados com confidencialidade, necessidade e proporcionalidade.

18. Gestão de vulnerabilidades e mudanças

O Grupo5estrelas buscará adotar processo compatível de identificação, avaliação, tratamento e acompanhamento de vulnerabilidades técnicas e de mudanças relevantes em seus ambientes tecnológicos.

Sempre que aplicável, isso poderá incluir:

• inventário de ativos críticos;

• acompanhamento de atualizações e correções;

• análise de impacto de mudanças;

• testes antes de implantação em ambientes críticos, quando viável;

• priorização baseada em risco;

• registro e validação de alterações relevantes.

19. Terceiros, fornecedores e serviços em nuvem

Fornecedores, parceiros, operadores, prestadores de serviço e terceiros com acesso a informações, sistemas ou ambientes do Grupo5estrelas deverão observar padrões adequados de segurança e confidencialidade compatíveis com a natureza da relação.

Conforme a criticidade da contratação, poderão ser exigidos:

• avaliação de segurança e integridade;

• cláusulas contratuais de confidencialidade, proteção de dados e segurança;

• restrição de acessos;

• segregação de ambientes;

• monitoramento de atividades;

• requisitos mínimos para serviços em nuvem, hospedagem, suporte, desenvolvimento ou manutenção.

Nenhum terceiro deve receber acesso superior ao necessário para a finalidade contratada.

20. Incidentes de segurança da informação

Constitui incidente de segurança da informação qualquer evento suspeito ou confirmado que possa comprometer a confidencialidade, a integridade, a disponibilidade, a autenticidade ou a rastreabilidade de informações, sistemas, serviços ou ativos tecnológicos.

Exemplos incluem, entre outros:

• infecção por malware;

• tentativa ou ocorrência de acesso não autorizado;

• perda ou furto de dispositivo corporativo;

• envio indevido de informação sensível;

• vazamento ou exposição indevida de dados;

• indisponibilidade relevante de sistema;

• comprometimento de credenciais;

• falhas de segurança em terceiros ou serviços críticos.

Todo incidente ou suspeita razoável deve ser comunicado imediatamente, ou tão logo possível, aos canais competentes.

21. Resposta a incidentes e comunicação

O Grupo5estrelas buscará manter fluxo de resposta a incidentes compatível com sua estrutura, podendo envolver, conforme aplicabilidade:

• triagem inicial e classificação do evento;

• contenção, erradicação e recuperação;

• preservação de evidências;

• análise de impacto;

• comunicação às áreas internas competentes;

• revisão de credenciais e acessos;

• implementação de ações corretivas e preventivas;

• comunicação a terceiros, clientes, autoridades e titulares de dados, quando exigido pela legislação ou pelo contexto do incidente.

Quando o incidente envolver dados pessoais, deverão ser observadas as exigências legais aplicáveis, inclusive quanto à eventual comunicação à Autoridade Nacional de Proteção de Dados e aos titulares, nos termos da legislação vigente.

22. Conscientização e treinamento

A segurança da informação depende do comportamento das pessoas. Por isso, o Grupo5estrelas buscará promover ações de conscientização, capacitação e reforço periódico sobre temas como:

• proteção de credenciais;

• phishing e engenharia social;

• uso seguro de e-mail e internet;

• classificação da informação;

• proteção de dados pessoais;

• uso seguro de dispositivos;

• incidentes de segurança;

• boas práticas em trabalho remoto e ambientes compartilhados.

A participação em treinamentos obrigatórios e comunicações institucionais de segurança é dever dos públicos abrangidos por esta Política.

23. Responsabilidades

23.1. Alta administração e liderança

Compete à liderança apoiar a segurança da informação, promover recursos compatíveis, reforçar a cultura de proteção e apoiar a observância desta Política.

23.2. Área de TI, segurança da informação ou função equivalente

Compete às áreas responsáveis orientar, implementar controles, monitorar riscos, apoiar incidentes, administrar recursos tecnológicos e promover a melhoria contínua da segurança.

23.3. Gestores

Compete aos gestores assegurar que suas equipes conheçam e observem esta Política, reportem incidentes e utilizem adequadamente os recursos sob sua responsabilidade.

23.4. Usuários em geral

Compete a todos os usuários proteger credenciais, cumprir as regras de uso, zelar pelos ativos e comunicar prontamente qualquer suspeita, falha, perda ou incidente relevante.

24. Medidas disciplinares e consequências

O descumprimento desta Política, das normas complementares ou das orientações legítimas de segurança poderá ensejar medidas administrativas, disciplinares, contratuais e legais cabíveis, conforme a gravidade da ocorrência, a natureza do vínculo e a legislação aplicável.

25. Canal para reporte e orientação

Dúvidas, relatos de suspeita, notificações de incidente e solicitações relacionadas à segurança da informação poderão ser encaminhados pelos canais institucionais disponibilizados pela organização.

Canal informado para Suporte de TI / Segurança: suporte@midnal.com.br

Sempre que possível, recomenda-se a existência de canal específico de segurança da informação ou resposta a incidentes, distinto de suporte geral, com fluxo apropriado para tratamento técnico, registro e escalonamento de eventos.

26. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e poderá ser revisada e atualizada periodicamente para refletir mudanças legais, regulatórias, tecnológicas, operacionais ou de governança.

27. Disposições finais

A informação é um ativo estratégico e sua proteção depende da atuação coordenada entre tecnologia, processos, liderança, usuários e governança.

O Grupo 5 estrelas reafirma que a segurança da informação é responsabilidade compartilhada e condição essencial para a continuidade do negócio, a proteção de dados, a conformidade e a confiança institucional.