Política de Segurança da Informação e Cibernética

Diretrizes

  1.  Preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das suas informações;
  2. Orientar quanto ao uso adequado de seus Ativos e proteger as atividades finalísticas e a gestão;
  3. Estabelecer medidas técnicas e administrativas capazes de proteger as informações, inclusivedados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento de informação
  4.  Nortear a definição de procedimentos específicos de controles e processos para a gestão dos riscos de segurança da informação.
  5. Os níveis gerencias devem zelar pelo cumprimento dessa política no âmbito de sua competência, dedicando especial atenção aos aspectos de segurança da informação e cibernética.

Dados coletados

  • Essa política destina-se a todas as informações coletadas, criadas, recebidas, armazenadas,processadas, transmitidas ou impressas, com o auxílio de qualquer sistema, meio detransmissão ou de armazenamento, por colaboradores, parceiros, fornecedores e prestadores de serviços, devendo estar disponível a todo tempo a todos
  • É indispensável assegurar que todos, independentemente do seu nível hierárquico, função e/ou vínculo contratual, entidades externas ou outros contratados pela Sociedade tenha conhecimento desta política e acesso adequado à informação necessária para o desempenho das suas funções

Propriedade das informações

  • É de propriedade da Sociedade toda a informação gerada ou tramitada por meio dos seus recursos.
  • Toda informação de propriedade ou custodiada pela Sociedade:
  1.  Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal, emanada por instância competente para fazê-lo;
  2.  Deve ser classificada segundo critérios definidos.
  3. Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas ou que não tenham direito ao seu conhecimento;
  4. Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária. Testes de restore de “backup” deve ser aplicado a cada encerramento do exercício.

Gestão de Vulnerabilidades e Prevenção a Incidentes

  • Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da Instituição.
  • As verificações de vulnerabilidades devem ser realizadas pelo menos semestralmente ou após qualquer alteração significativa no ambiente. Isso deve se aplicar a todos os ambientes que mantêm dados de produção.
  • Os testes de intrusão, sejam eles internos ou externos, devem ser realizados pelo menos uma vez por ano e/ou após qualquer atualização, modificação significativa da infraestrutura ou dos sistemas. Isso se aplica a todos os ambientes que mantêm dados de produção
  • As falhas de segurança identificadas nos testes deverão ser tratadas com alta prioridade com vistas a mitigar os riscos envolvidos, e os resultados obtidos através dos testes deverão ser devidamente registrados, sendo que as falhas que oferecerem “alto risco” deverão passar por um novo teste após a implementação das medidas de mitigação.

Gestão de Patches

  • O processo de gestão de patches é uma prática proativa destinada a prevenir, dentro da infraestrutura de tecnologia da informação, exploração de vulnerabilidades que poderiam comprometer a confidencialidade, integridade ou disponibilidade das informações manipuladas por componentes dessa infraestrutura

Senhas de Usuários

  • A política de senhas estabelece que elas sejam de uso confidencial, pessoal e intransferível, além de conter requisitos mínimos de segurança de acordo com o seu grau de criticidade. Os sistemas, redes e aplicativos de informação devem ser protegidos pelo uso de senhas fortes para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis incorretamente.

Gestão de Acessos

  • Todas as informações, sistemas, redes e aplicativos devem ser protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.
  • Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da Sociedade devem estar relacionados com os seus negócios, exclusivamente.
  • No ato da contratação, mudança de área ou desligamento de Funcionários / Colaboradores e Terceiros, deve-se existir processos que registrem, revisem e ajustem os acessos físicos e lógicos de acordo com as novas funções desempenhadas e que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função

Concessão de Acesso Privilegiado

  • Devem ser identificados todos os Ativos ou grupos de Ativos da Instituição, classificando-os quanto ao nível de confidencialidade da informação, a fim possibilitar a criação, uso, monitoramento, e gestão de acessos privilegiados, os quais habilitam usuários autorizados a executar tarefas que usuários comuns não tem permissões para realizar

Proteção Contra Código Malicioso

  • Devem ser implementados controles para prevenção e detecção de softwares maliciosos em todos os Ativos de tecnologia da Informação

Segurança de Rede

  • Toda a comunicação entre as redes da Sociedade e a Internet ou qualquer outra rede pública deve necessariamente passar por um sistema de controle de acesso de conexões (Firewall), configurado com política restritiva, com monitoramento bidirecional dos fluxos de comunicação e com proteção contra-ataques, tais como negação de serviço, entre outros

Cópias de segurança (backup)

  • A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança. 

Criptografia e gerenciamento de chaves

  • O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia.

Segurança Física

  1. As instalações da Instituição devem estar protegidas contra acesso não autorizado, sendo obrigatório o registro de entrada e o registro de saída de todos os diretores, empregados, prestadores de serviços terceirizados e visitantes. A autorização de acesso deve ser aprovada e liberada por empregado com alçada para essa ação.
  2. Todos os prestadores de serviço enquanto presentes no ambiente da Sociedade devem estar devidamente identificados e acompanhados por um Funcionário / Colaborador.
  3. A presença de uma pessoa não autorizada em área de acesso controlado caracteriza um Incidente de segurança que deve ser reportado à área de Segurança da Informação

Classificação da informação

Todas as informações custodiadas ou de propriedade da Sociedade devem ser classificadas em uma das seguintes categorias:
  • Pública: informações de caráter informativo, profissional ou que, em função da legislação vigente, são divulgadas a todo o público interno e externo, mediante a avaliação da Assessoria de Comunicação ou Unidade equivalente.
  • Interna: informações pertencentes ou custodiadas pela Sociedade, que podem ser acessadas por todos os colaboradores, mediante autorização do respectivo proprietário.
  • Confidencial: informações pertencentes ou custodiadas pela Sociedade e que, se reveladas, podem trazer impactos negativos aos negócios ou repercussões para a imagem dele, embaraços administrativos com colaboradores ou vantagens a terceiros e outras informações protegidas por legislação específica. 

Gestão de incidentes de segurança da informação

  • Todos os Colaboradores devem reportar imediatamente quaisquer incidentes de segurança que tomarem conhecimento à liderança da área de Segurança da Informação, para que estes possam ser classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade
  • Na ocorrência de incidente envolvendo dados pessoais, a área de Segurança Cibernética deverá acionar, por sua vez, o Encarregado, para que este tome todas as providências. Adicionalmente, em relação ao processo de Tecnologia da Informação, é preciso ainda assegurar que os incidentes e riscos deles decorrentes sejam categorizados e tratados de forma efetiva, permitindo o adequado registro, investigação e tomada de ação corretiva em tempo hábil para mitigar eventuais impactos negativos sobre os sistemas e ativos de informação

Desenvolvimento seguro e segurança nas aplicações

  • Todo o ciclo de vida do desenvolvimento dos softwares deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança
  • Uma metodologia padronizada de desenvolvimento seguro de aplicações deve ser aplicada no desenvolvimento de novos sistemas ou na manutenção evolutiva de sistemas já existentes.

Registro e monitoramento

  • A Sociedade deve criar, proteger, monitorar e manter registros (logs) de eventos, a fim de acompanhar e analisar possíveis violações da segurança.
  • Todas as transações relacionadas aos clientes devem gerar trilhas de auditoria (logs), que deverão ser mantidas de acordo com as legislações vigentes, protegido contra acessos não autorizados.

Avaliação periódica

  • A Sociedade deve avaliar periodicamente as práticas de Segurança Cibernética e da Informação de forma a aferir a conformidade das ações de seus Funcionários / Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

Responsabilidades

Diretoria

  • Aprovar esta Política de Segurança Cibernética e da Informação;
  •  Prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação e acompanhar periodicamente a evolução dos indicadores e resultados das medidas de segurança implementadas;

Segurança da Informação

  • Assegurar a divulgação desta Política a todos os Funcionários / Colaboradores, Terceiros e demais partes interessadas, inclusive suas atualizações, realizar treinamentos periódicos de conscientização sobre os procedimentos e controles de segurança aqui previstos
  • Gerir a segurança da informação criando e acompanhando os indicadores de performance e eficiência;

Tecnologia da Informação

  • Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software;
  • Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia;
  • Conduzir a gestão dos acessos a sistemas e informações da Sociedade;

Comitê de Segurança da Informação e Cibernética e Privacidade

  • Aprovar a realização de investigações e determinar a adoção de medidas necessárias.
  • Assegurar que as infrações e violações sejam seguidas de ações disciplinares aplicáveis.
  • Tomar ciência de riscos corporativos;
  • Assegurar a conformidade de rotinas, práticas e procedimentos;
  • Apreciar os relatórios emitidos pelos Órgãos Reguladores e Auditorias;

Por meio desta comunicação, temos o prazer de disponibilizar a você um documento de extrema relevância e interesse, o qual é essencial para que possa compreender os pormenores de um assunto de significativa importância.

O referido documento em questão abrange uma série de tópicos e informações de suma importância para o âmbito em que estamos envolvidos. Sua leitura minuciosa é fundamental para que possamos estabelecer uma compreensão abrangente e consistente das questões abordadas, e consequentemente, tomar decisões embasadas e assertivas.

Nesse sentido, reiteramos a importância de uma leitura completa do documento, a fim de se obter uma visão holística do conteúdo, bem como a capacidade de identificar todos os detalhes e nuances nele contidos. Além disso, aprofundar-se em seus conteúdos permitirá que você esteja plenamente ciente dos prazos de vigência associados aos diversos elementos tratados no texto.

Salientamos que o cumprimento dos prazos é um aspecto crucial em nossas atividades, pois assegura a conformidade com as normas e regulamentos vigentes, além de demonstrar nosso comprometimento com a pontualidade e o rigor na gestão de questões de alta relevância.

Por conseguinte, disponibilizamos a seguir, anexo a esta mensagem, um botão que lhe permitirá realizar o download integral do referido documento. Ao acessá-lo, recomendamos que se dedique ao exame cuidadoso de seu conteúdo, contemplando cada seção e ponto abordado, a fim de internalizar plenamente o conhecimento transmitido.

Atenciosamente 

Equipe CDC Bank

plugins premium WordPress