Política de Segurança da Informação e Cibernética para Parceiros e Fornecedores

1. Objetivo

Estabelecer as principais diretrizes e consolidar as informações descritas na Política de Segurança da Informação e Cibernética da NSTECH IP INSTITUICAO DE PAGAMENTO S.A. (“NSTECH IP” e/ou “efrete”), visando assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informações tratados com parceiros e fornecedores.

2. Abrangência

Esta política deve abranger a todos os colaboradores, membros de Comitês, parceiros e terceirizados, que tenha acesso aos dados da NSTECH IP ou aos sistemas informatizados por ela utilizados.

3. Definições e siglas

3.1. Siglas

a) LGPD: Lei Geral de Proteção de Dados;

b) PSI: Política de Segurança da Informação e Cibernética;

c) SGSI: Sistema de Gestão de Segurança da Informação;

d) TLS/SSL: Protocolo de comunicação segura, são protocolos criptografados que oferecem ao usuário segurança de comunicação ao acessarem um ambiente e navegação em páginas (http), além de outros meios para a transferência de dados.

3.2. Definições

a) Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a pessoas, processos e outras entidades não autorizadas;

b) Incidente de Segurança da Informação: Evento único ou uma série de eventos indesejados, inesperados ou sob suspeita, que comprometa ou ameace a confidencialidade, integridade, disponibilidade ou qualquer outro requisito referente à segurança das informações;

c) Informação documentada: Toda informação documentada da empresa está baseada em uma norma interna publicada e revisada pelo SGSI;

d) Informações sensíveis: Toda informação que contenha dados de clientes, transações financeiras ou dados que possam infringir as leis regulamentadoras;

e) Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaça.

4. Diretrizes

Para garantir o objetivo desta Política, os procedimentos de segurança da informação e segurança cibernética seguirão, principalmente, as diretrizes abaixo:

a) Controle de acessos;
b) Atendimento personalizado;
c) Finalidade;
d) Proteção de dados;
e) Controle e monitoramento de vulnerabilidades;
f) Registro de incidentes;
g) Treinamento contínuo;
h) Comitê especializado;
i) Comunicação com autoridades.

4.1. Controle de Acessos

A NSTECH IP garante controles rígidos que não permitam acessos indevidos, buscando assegurar acessos pessoais, intransferíveis e restritos, tratando os dados e informações de maneira ética e sigilosa, adotando mecanismos de troca periódica de senhas e guarda de histórico.

4.2. Atendimento

A NSTECH IP disponibiliza canal de atendimento específico para tratamento de casos relacionados à segurança da informação, reportados através do canal oficial [email protected].

4.3. LGPD

Os dados coletados serão sempre utilizados para a finalidade específica e os demais preceitos da Lei nº 13.709/2018 – LGPD serão aplicados, incluindo os requisitos de classificação dos dados e das informações, de acordo com a relevância e sensibilidade.

4.4. Controle e Monitoramento de Vulnerabilidades

A NSTECH IP busca assegurar que os procedimentos e controles para redução de vulnerabilidades de incidentes, observa as práticas de autenticação, criptografia, prevenção e detecção de intrusão, prevenção ao vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade, controles de acesso, segmentação de redes e manutenção de cópias de segurança dos dados e informações.

Além disso, a NSTECH IP providencia e gerencia controles específicos voltados para rastreabilidade da informação, definindo procedimentos que devem ser adotados para a condução das atividades.

4.5. Controles Criptográficos

A transferência de informação que envolva o negócio deve ser realizada utilizando métodos de criptografia relacionados com o meio ao qual a informação está trafegando.

Deve ser analisado a necessidade e a possibilidade de adotar proteção criptográfica em dispositivos móveis e mídias removíveis as quais possam dispor de informações relacionadas ao negócio.

Os sistemas utilizados devem ser protegidos utilizando protocolos TLS/SSL como forma de mitigar as possibilidades de que dados, eventualmente, interceptados estarem protegidos contra leitura desautorizada. Essas chaves e certificados tem por padrão um prazo de validade, e devem ser renovadas conforme a sua validade.

4.6. Registro de Incidentes

A NSTECH IP busca assegurar o registro, a análise e o impacto de incidentes relevantes para o exercício de suas atividades, definindo os parâmetros para avaliação da relevância dos incidentes e criando cenários de incidentes em testes de continuidade dos negócios.

4.6.1. Planejamento para Tratamento de Riscos

A NSTECH IP aplica metodologias de análise de riscos baseada na avaliação das vulnerabilidades existentes nos ativos da informação, considerando as referências de controles descritas no Anexo A da Norma ABNT NBR ISSO 27001.

4.7. Treinamento Contínuo

A NSTECH IP tem o objetivo de manter disseminada a cultura da segurança da informação e da segurança cibernética, incluindo, para tanto, a promoção e a implementação de programas de capacitação e avaliação periódica de pessoal.

4.8. Comitê SGSI

A NSTECH IP constituiu e mantém, para os devidos fins, Comitê multidisciplinar, que busca garantir o cumprimento das diretrizes e dos objetivos.

4.9. Comunicação com Autoridades

A NSTECH IP garante iniciativas de compartilhamento de informações sobre incidentes relevantes com as autoridades competentes, incluindo o Banco Central do Brasil.

5. Disposições especiais para parceiros e fornecedores

Sem prejuízo das condições contratuais e das condutas de boas práticas esperadas, o terceiro, parceiro ou fornecedor da NSTECH IP obriga-se a estabelecer e evidenciar, sempre que solicitado:

a) A Política de Segurança da Informação adotada por ele;
b) O plano de gerenciamento de incidentes de segurança da informação e a definição do fluxo de comunicação com a NSTECH IP;
c) A adequada proteção da informação recebida contra ações de interceptação, cópia não autorizada, modificação, indisponibilidade e desvio;
d) A guarda e o sigilo dos códigos de usuários e demais credenciais de acesso que vier a receber da NSTECH IP, para acessos aos ativos de informação;
e) A manutenção e a promoção de programas de educação, treinamento e conscientização sobre segurança da informação para funcionários que tiveram acesso às informações corporativas;
f) A comunicação imediata com a NSTECH IP, sempre que detectar anormalidades que possam comprometer a segurança das informações recebidas;
g) A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, de acordo com a Resolução 4.893/2021 CMN, sendo certo que para serviços prestados no exterior é necessária a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados.

6. Disposições gerais

Considerando que a presente Política não pretende esgotar todas as situações que venham a ocorrer, as demais diretrizes e responsabilidades para a condução das atividades regulares devem ser verificados nas políticas internas correspondentes, que complementam os princípios e diretrizes aqui expressos.

7. Documentação complementar

Lei nº 12.846/2013;
Decreto nº 11.129/2022;
Resolução nº 260/2022 do Banco Central do Brasil;
Resolução nº 3.681/2013 do Banco Central do Brasil;
Resolução nº 65/2021 do Banco Central do Brasil;
NBR ISO 27001;
Política de Governança Corporativa;
Política de Gestão de Riscos Corporativos e Controles Internos;
Política de Prevenção à Lavagem de Dinheiro;

8. Informação e divulgação

As atividades e promoções promovidas pela NSTECH IP serão documentadas e arquivadas, permitindo o acompanhamento e identificação delas. Além disso, as deficiências identificadas serão formalizadas e tratadas, para os devidos fins.

9. Aprovação e revisão

A presente Política será revisada com a periodicidade mínima de 01 (um) ano e ajustada, de imediato, quando ocorrerem eventos considerados relevantes.
Competirá ao departamento de Cyber Segurança a aprovação, revisão e publicação desta Política

Revisão 00 – Data: 17/01/2024.

Informações importantes

Para gerar o CIOT com Chave de acesso GRATUITO é necessário:

Possuir uma Chave de acesso credenciado em seu computador;

Utilizar um navegador que o comporte a Chave de Acesso. É recomendável o uso do Google Chrome.

Caso não tenha o certificado, consulte os padrões aceitos na Receita. (Clique aqui)
Item 3.1.12 sobre detalhes esperados na CN.

Caso não possua certificado válido, entrar em contato através do departamento de suporte, para que possamos providenciar emissão gratuita.