Política de Segurança da Informação e Cibernética
Diretrizes
- Preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das suas informações;
- Orientar quanto ao uso adequado de seus Ativos e proteger as atividades finalísticas e a gestão;
- Estabelecer medidas técnicas e administrativas capazes de proteger as informações, inclusivedados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento de informação
- Nortear a definição de procedimentos específicos de controles e processos para a gestão dos riscos de segurança da informação.
- Os níveis gerencias devem zelar pelo cumprimento dessa política no âmbito de sua competência, dedicando especial atenção aos aspectos de segurança da informação e cibernética.
Dados coletados
- Essa política destina-se a todas as informações coletadas, criadas, recebidas, armazenadas,processadas, transmitidas ou impressas, com o auxílio de qualquer sistema, meio detransmissão ou de armazenamento, por colaboradores, parceiros, fornecedores e prestadores de serviços, devendo estar disponível a todo tempo a todos
- É indispensável assegurar que todos, independentemente do seu nível hierárquico, função e/ou vínculo contratual, entidades externas ou outros contratados pela Sociedade tenha conhecimento desta política e acesso adequado à informação necessária para o desempenho das suas funções
Propriedade das informações
- É de propriedade da Sociedade toda a informação gerada ou tramitada por meio dos seus recursos.
- Toda informação de propriedade ou custodiada pela Sociedade:
- Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal, emanada por instância competente para fazê-lo;
- Deve ser classificada segundo critérios definidos.
- Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas ou que não tenham direito ao seu conhecimento;
- Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária. Testes de restore de “backup” deve ser aplicado a cada encerramento do exercício.
Gestão de Vulnerabilidades e Prevenção a Incidentes
- Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da Instituição.
- As verificações de vulnerabilidades devem ser realizadas pelo menos semestralmente ou após qualquer alteração significativa no ambiente. Isso deve se aplicar a todos os ambientes que mantêm dados de produção.
- Os testes de intrusão, sejam eles internos ou externos, devem ser realizados pelo menos uma vez por ano e/ou após qualquer atualização, modificação significativa da infraestrutura ou dos sistemas. Isso se aplica a todos os ambientes que mantêm dados de produção
- As falhas de segurança identificadas nos testes deverão ser tratadas com alta prioridade com vistas a mitigar os riscos envolvidos, e os resultados obtidos através dos testes deverão ser devidamente registrados, sendo que as falhas que oferecerem “alto risco” deverão passar por um novo teste após a implementação das medidas de mitigação.
Gestão de Patches
- O processo de gestão de patches é uma prática proativa destinada a prevenir, dentro da infraestrutura de tecnologia da informação, exploração de vulnerabilidades que poderiam comprometer a confidencialidade, integridade ou disponibilidade das informações manipuladas por componentes dessa infraestrutura
Senhas de Usuários
- A política de senhas estabelece que elas sejam de uso confidencial, pessoal e intransferível, além de conter requisitos mínimos de segurança de acordo com o seu grau de criticidade. Os sistemas, redes e aplicativos de informação devem ser protegidos pelo uso de senhas fortes para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis incorretamente.
Gestão de Acessos
- Todas as informações, sistemas, redes e aplicativos devem ser protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.
- Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da Sociedade devem estar relacionados com os seus negócios, exclusivamente.
- No ato da contratação, mudança de área ou desligamento de Funcionários / Colaboradores e Terceiros, deve-se existir processos que registrem, revisem e ajustem os acessos físicos e lógicos de acordo com as novas funções desempenhadas e que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função
Concessão de Acesso Privilegiado
- Devem ser identificados todos os Ativos ou grupos de Ativos da Instituição, classificando-os quanto ao nível de confidencialidade da informação, a fim possibilitar a criação, uso, monitoramento, e gestão de acessos privilegiados, os quais habilitam usuários autorizados a executar tarefas que usuários comuns não tem permissões para realizar
Proteção Contra Código Malicioso
- Devem ser implementados controles para prevenção e detecção de softwares maliciosos em todos os Ativos de tecnologia da Informação
Segurança de Rede
- Toda a comunicação entre as redes da Sociedade e a Internet ou qualquer outra rede pública deve necessariamente passar por um sistema de controle de acesso de conexões (Firewall), configurado com política restritiva, com monitoramento bidirecional dos fluxos de comunicação e com proteção contra-ataques, tais como negação de serviço, entre outros
Cópias de segurança (backup)
- A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.
Criptografia e gerenciamento de chaves
- O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia.
Segurança Física
- As instalações da Instituição devem estar protegidas contra acesso não autorizado, sendo obrigatório o registro de entrada e o registro de saída de todos os diretores, empregados, prestadores de serviços terceirizados e visitantes. A autorização de acesso deve ser aprovada e liberada por empregado com alçada para essa ação.
- Todos os prestadores de serviço enquanto presentes no ambiente da Sociedade devem estar devidamente identificados e acompanhados por um Funcionário / Colaborador.
- A presença de uma pessoa não autorizada em área de acesso controlado caracteriza um Incidente de segurança que deve ser reportado à área de Segurança da Informação
Classificação da informação
Todas as informações custodiadas ou de propriedade da Sociedade devem ser classificadas em uma das seguintes categorias:
- Pública: informações de caráter informativo, profissional ou que, em função da legislação vigente, são divulgadas a todo o público interno e externo, mediante a avaliação da Assessoria de Comunicação ou Unidade equivalente.
- Interna: informações pertencentes ou custodiadas pela Sociedade, que podem ser acessadas por todos os colaboradores, mediante autorização do respectivo proprietário.
- Confidencial: informações pertencentes ou custodiadas pela Sociedade e que, se reveladas, podem trazer impactos negativos aos negócios ou repercussões para a imagem dele, embaraços administrativos com colaboradores ou vantagens a terceiros e outras informações protegidas por legislação específica.
Gestão de incidentes de segurança da informação
- Todos os Colaboradores devem reportar imediatamente quaisquer incidentes de segurança que tomarem conhecimento à liderança da área de Segurança da Informação, para que estes possam ser classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade
- Na ocorrência de incidente envolvendo dados pessoais, a área de Segurança Cibernética deverá acionar, por sua vez, o Encarregado, para que este tome todas as providências. Adicionalmente, em relação ao processo de Tecnologia da Informação, é preciso ainda assegurar que os incidentes e riscos deles decorrentes sejam categorizados e tratados de forma efetiva, permitindo o adequado registro, investigação e tomada de ação corretiva em tempo hábil para mitigar eventuais impactos negativos sobre os sistemas e ativos de informação
Desenvolvimento seguro e segurança nas aplicações
- Todo o ciclo de vida do desenvolvimento dos softwares deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança
- Uma metodologia padronizada de desenvolvimento seguro de aplicações deve ser aplicada no desenvolvimento de novos sistemas ou na manutenção evolutiva de sistemas já existentes.
Registro e monitoramento
- A Sociedade deve criar, proteger, monitorar e manter registros (logs) de eventos, a fim de acompanhar e analisar possíveis violações da segurança.
- Todas as transações relacionadas aos clientes devem gerar trilhas de auditoria (logs), que deverão ser mantidas de acordo com as legislações vigentes, protegido contra acessos não autorizados.
Avaliação periódica
- A Sociedade deve avaliar periodicamente as práticas de Segurança Cibernética e da Informação de forma a aferir a conformidade das ações de seus Funcionários / Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.
Responsabilidades
Diretoria
- Aprovar esta Política de Segurança Cibernética e da Informação;
- Prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação e acompanhar periodicamente a evolução dos indicadores e resultados das medidas de segurança implementadas;
Segurança da Informação
- Assegurar a divulgação desta Política a todos os Funcionários / Colaboradores, Terceiros e demais partes interessadas, inclusive suas atualizações, realizar treinamentos periódicos de conscientização sobre os procedimentos e controles de segurança aqui previstos
- Gerir a segurança da informação criando e acompanhando os indicadores de performance e eficiência;
Tecnologia da Informação
- Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software;
- Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia;
- Conduzir a gestão dos acessos a sistemas e informações da Sociedade;
Comitê de Segurança da Informação e Cibernética e Privacidade
- Aprovar a realização de investigações e determinar a adoção de medidas necessárias.
- Assegurar que as infrações e violações sejam seguidas de ações disciplinares aplicáveis.
- Tomar ciência de riscos corporativos;
- Assegurar a conformidade de rotinas, práticas e procedimentos;
- Apreciar os relatórios emitidos pelos Órgãos Reguladores e Auditorias;
Por meio desta comunicação, temos o prazer de disponibilizar a você um documento de extrema relevância e interesse, o qual é essencial para que possa compreender os pormenores de um assunto de significativa importância.
O referido documento em questão abrange uma série de tópicos e informações de suma importância para o âmbito em que estamos envolvidos. Sua leitura minuciosa é fundamental para que possamos estabelecer uma compreensão abrangente e consistente das questões abordadas, e consequentemente, tomar decisões embasadas e assertivas.
Nesse sentido, reiteramos a importância de uma leitura completa do documento, a fim de se obter uma visão holística do conteúdo, bem como a capacidade de identificar todos os detalhes e nuances nele contidos. Além disso, aprofundar-se em seus conteúdos permitirá que você esteja plenamente ciente dos prazos de vigência associados aos diversos elementos tratados no texto.
Salientamos que o cumprimento dos prazos é um aspecto crucial em nossas atividades, pois assegura a conformidade com as normas e regulamentos vigentes, além de demonstrar nosso comprometimento com a pontualidade e o rigor na gestão de questões de alta relevância.
Por conseguinte, disponibilizamos a seguir, anexo a esta mensagem, um botão que lhe permitirá realizar o download integral do referido documento. Ao acessá-lo, recomendamos que se dedique ao exame cuidadoso de seu conteúdo, contemplando cada seção e ponto abordado, a fim de internalizar plenamente o conhecimento transmitido.
Atenciosamente
Equipe CDC Bank