Menu
Estabelecer as principais diretrizes e consolidar as informações descritas na Política de Segurança da Informação e Cibernética da NSTECH IP INSTITUICAO DE PAGAMENTO S.A. (“IP” e/ou “efrete”), visando assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informações tratados com parceiros e fornecedores.
Esta política deve abranger a todos os colaboradores, membros de Comitês, parceiros e terceirizados, que tenha acesso aos dados da IP ou aos sistemas informatizados por ela utilizados.
a) LGPD: Lei Geral de Proteção de Dados;
b) PSI: Política de Segurança da Informação e Cibernética;
c) SGSI: Sistema de Gestão de Segurança da Informação;
d) TLS/SSL: Protocolo de comunicação segura, são protocolos criptografados que oferecem ao usuário segurança de comunicação ao acessarem um ambiente e navegação em páginas (http), além de outros meios para a transferência de dados.
a) Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a pessoas, processos e outras entidades não autorizadas;
b) Incidente de Segurança da Informação: Evento único ou uma série de eventos indesejados, inesperados ou sob suspeita, que comprometa ou ameace a confidencialidade, integridade, disponibilidade ou qualquer outro requisito referente à segurança das informações;
c) Informação documentada: Toda informação documentada da empresa está baseada em uma norma interna publicada e revisada pelo SGSI;
d) Informações sensíveis: Toda informação que contenha dados de clientes, transações financeiras ou dados que possam infringir as leis regulamentadoras;
e) Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaça.
Para garantir o objetivo desta Política, os procedimentos de segurança da informação e segurança cibernética seguirão, principalmente, as diretrizes abaixo:
a) Controle de acessos;
b) Atendimento personalizado;
c) Finalidade;
d) Proteção de dados;
e) Controle e monitoramento de vulnerabilidades;
f) Registro de incidentes;
g) Treinamento contínuo;
h) Comitê especializado;
i) Comunicação com autoridades.
A IP garante controles rígidos que não permitam acessos indevidos, buscando assegurar acessos pessoais, intransferíveis e restritos, tratando os dados e informações de maneira ética e sigilosa, adotando mecanismos de troca periódica de senhas e guarda de histórico.
A IP disponibiliza canal de atendimento específico para tratamento de casos relacionados à segurança da
informação, reportados através do canal oficial [email protected].
Os dados coletados serão sempre utilizados para a finalidade específica e os demais preceitos da Lei nº 13.709/2018 – LGPD serão aplicados, incluindo os requisitos de classificação dos dados e das informações, de acordo com a relevância e sensibilidade.
A IP busca assegurar que os procedimentos e controles para redução de vulnerabilidades de incidentes, observa as práticas de autenticação, criptografia, prevenção e detecção de intrusão, prevenção ao vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade, controles de acesso, segmentação de redes e manutenção de cópias de segurança dos dados e informações.
Além disso, a IP providencia e gerencia controles específicos voltados para rastreabilidade da informação, definindo procedimentos que devem ser adotados para a condução das atividades.
A transferência de informação que envolva o negócio deve ser realizada utilizando métodos de criptografia relacionados com o meio ao qual a informação está trafegando.
Deve ser analisado a necessidade e a possibilidade de adotar proteção criptográfica em dispositivos móveis e mídias removíveis as quais possam dispor de informações relacionadas ao negócio.
Os sistemas utilizados devem ser protegidos utilizando protocolos TLS/SSL como forma de mitigar as possibilidades de que dados, eventualmente, interceptados estarem protegidos contra leitura desautorizada. Essas chaves e certificados tem por padrão um prazo de validade, e devem ser renovadas conforme a sua validade.
A IP busca assegurar o registro, a análise e o impacto de incidentes relevantes para o exercício de suas atividades, definindo os parâmetros para avaliação da relevância dos incidentes e criando cenários de incidentes em testes de continuidade dos negócios.
A IP aplica metodologias de análise de riscos baseada na avaliação das vulnerabilidades existentes nos ativos da informação, considerando as referências de controles descritas no Anexo A da Norma ABNT NBR ISSO 27001.
A IP tem o objetivo de manter disseminada a cultura da segurança da informação e da segurança cibernética, incluindo, para tanto, a promoção e a implementação de programas de capacitação e avaliação periódica de pessoal.
A IP constituiu e mantém, para os devidos fins, Comitê multidisciplinar, que busca garantir o cumprimento das diretrizes e dos objetivos.
A IP garante iniciativas de compartilhamento de informações sobre incidentes relevantes com as autoridades competentes, incluindo o Banco Central do Brasil.
Sem prejuízo das condições contratuais e das condutas de boas práticas esperadas, o terceiro, parceiro ou fornecedor da IP obriga-se a estabelecer e evidenciar, sempre que solicitado:
a) A Política de Segurança da Informação adotada por ele;
b) O plano de gerenciamento de incidentes de segurança da informação e a definição do fluxo de comunicação com a IP;
c) A adequada proteção da informação recebida contra ações de interceptação, cópia não autorizada, modificação, indisponibilidade e desvio;
d) A guarda e o sigilo dos códigos de usuários e demais credenciais de acesso que vier a receber da IP, para acessos aos ativos de informação;
e) A manutenção e a promoção de programas de educação, treinamento e conscientização sobre segurança da informação para funcionários que tiveram acesso às informações corporativas;
f) A comunicação imediata com a IP, sempre que detectar anormalidades que possam comprometer a segurança das informações recebidas;
g) A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, de acordo com a Resolução 4.893/2021 CMN, sendo certo que para serviços prestados no exterior é necessária a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados.
Considerando que a presente Política não pretende esgotar todas as situações que venham a ocorrer, as demais diretrizes e responsabilidades para a condução das atividades regulares devem ser verificados nas políticas internas correspondentes, que complementam os princípios e diretrizes aqui expressos.
Lei nº 12.846/2013;
Decreto nº 11.129/2022;
Resolução nº 260/2022 do Banco Central do Brasil;
Resolução nº 3.681/2013 do Banco Central do Brasil;
Resolução nº 65/2021 do Banco Central do Brasil;
NBR ISO 27001;
Política de Governança Corporativa;
Política de Gestão de Riscos Corporativos e Controles Internos;
Política de Prevenção à Lavagem de Dinheiro;
As atividades e promoções promovidas pela IP serão documentadas e arquivadas, permitindo o acompanhamento e identificação delas. Além disso, as deficiências identificadas serão formalizadas e tratadas, para os devidos fins.
A presente Política será revisada com a periodicidade mínima de 01 (um) ano e ajustada, de imediato, quando ocorrerem eventos considerados relevantes.
Competirá ao departamento de Cyber Segurança a aprovação, revisão e publicação desta Política
Revisão 00 – Data: 17/01/2024.
Av. Coronel Marcos Konder, 1207 Centro | Itajaí SC 88301-902
NSTECH IP INSTITUICAO DE PAGAMENTO S.A.
01.648.418/0001-72
Caso não tenha o certificado, consulte os padrões aceitos na Receita. (Clique aqui)
Item 3.1.12 sobre detalhes esperados na CN.
Caso não possua certificado válido, entrar em contato através do departamento de suporte, para que possamos providenciar emissão gratuita.