efrete-logo-footer

Política de Segurança da Informação e Cibernética para Parceiros e Fornecedores

1. Objetivo

Estabelecer as principais diretrizes e consolidar as informações descritas na Política de Segurança da Informação e Cibernética da IPC Instituição de Pagamentos S.A (“IPC” e/ou “efrete”), visando assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informações tratados com parceiros e fornecedores.

2. Abrangência

Esta política deve abranger a todos os colaboradores, membros de Comitês, parceiros e terceirizados, que tenha acesso aos dados da IPC ou aos sistemas informatizados por ela utilizados.

3. Definições e siglas

3.1. Siglas

a) LGPD: Lei Geral de Proteção de Dados;

b) PSI: Política de Segurança da Informação e Cibernética;

c) SGSI: Sistema de Gestão de Segurança da Informação;

d) TLS/SSL: Protocolo de comunicação segura, são protocolos criptografados que oferecem ao usuário segurança de comunicação ao acessarem um ambiente e navegação em páginas (http), além de outros meios para a transferência de dados.

3.2. Definições

a) Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a pessoas, processos e outras entidades não autorizadas;

b) Incidente de Segurança da Informação: Evento único ou uma série de eventos indesejados, inesperados ou sob suspeita, que comprometa ou ameace a confidencialidade, integridade, disponibilidade ou qualquer outro requisito referente à segurança das informações;

c) Informação documentada: Toda informação documentada da empresa está baseada em uma norma interna publicada e revisada pelo SGSI;

d) Informações sensíveis: Toda informação que contenha dados de clientes, transações financeiras ou dados que possam infringir as leis regulamentadoras;

e) Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaça.

4. Diretrizes

Para garantir o objetivo desta Política, os procedimentos de segurança da informação e segurança cibernética seguirão, principalmente, as diretrizes abaixo:

a) Controle de acessos;
b) Atendimento personalizado;
c) Finalidade;
d) Proteção de dados;
e) Controle e monitoramento de vulnerabilidades;
f) Registro de incidentes;
g) Treinamento contínuo;
h) Comitê especializado;
i) Comunicação com autoridades.

4.1. Controle de Acessos

A IPC garante controles rígidos que não permitam acessos indevidos, buscando assegurar acessos pessoais, intransferíveis e restritos, tratando os dados e informações de maneira ética e sigilosa, adotando mecanismos de troca periódica de senhas e guarda de histórico.

4.2. Atendimento

A IPC disponibiliza canal de atendimento específico para tratamento de casos relacionados à segurança da
informação, reportados através do canal oficial [email protected].

4.3. LGPD

Os dados coletados serão sempre utilizados para a finalidade específica e os demais preceitos da Lei nº 13.709/2018 – LGPD serão aplicados, incluindo os requisitos de classificação dos dados e das informações, de acordo com a relevância e sensibilidade.

4.4. Controle e Monitoramento de Vulnerabilidades

A IPC busca assegurar que os procedimentos e controles para redução de vulnerabilidades de incidentes, observa as práticas de autenticação, criptografia, prevenção e detecção de intrusão, prevenção ao vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade, controles de acesso, segmentação de redes e manutenção de cópias de segurança dos dados e informações.

Além disso, a IPC providencia e gerencia controles específicos voltados para rastreabilidade da informação, definindo procedimentos que devem ser adotados para a condução das atividades.

4.5. Controles Criptográficos

A transferência de informação que envolva o negócio deve ser realizada utilizando métodos de criptografia relacionados com o meio ao qual a informação está trafegando.

Deve ser analisado a necessidade e a possibilidade de adotar proteção criptográfica em dispositivos móveis e mídias removíveis as quais possam dispor de informações relacionadas ao negócio.

Os sistemas utilizados devem ser protegidos utilizando protocolos TLS/SSL como forma de mitigar as possibilidades de que dados, eventualmente, interceptados estarem protegidos contra leitura desautorizada. Essas chaves e certificados tem por padrão um prazo de validade, e devem ser renovadas conforme a sua validade.

4.6. Registro de Incidentes

A IPC busca assegurar o registro, a análise e o impacto de incidentes relevantes para o exercício de suas atividades, definindo os parâmetros para avaliação da relevância dos incidentes e criando cenários de incidentes em testes de continuidade dos negócios.

4.6.1. Planejamento para Tratamento de Riscos

A IPC aplica metodologias de análise de riscos baseada na avaliação das vulnerabilidades existentes nos ativos da informação, considerando as referências de controles descritas no Anexo A da Norma ABNT NBR ISSO 27001.

4.7. Treinamento Contínuo

A IPC tem o objetivo de manter disseminada a cultura da segurança da informação e da segurança cibernética, incluindo, para tanto, a promoção e a implementação de programas de capacitação e avaliação periódica de pessoal.

4.8. Comitê SGSI

A IPC constituiu e mantém, para os devidos fins, Comitê multidisciplinar, que busca garantir o cumprimento das diretrizes e dos objetivos.

4.9. Comunicação com Autoridades

A IPC garante iniciativas de compartilhamento de informações sobre incidentes relevantes com as autoridades competentes, incluindo o Banco Central do Brasil.

5. Disposições especiais para parceiros e fornecedores

Sem prejuízo das condições contratuais e das condutas de boas práticas esperadas, o terceiro, parceiro ou fornecedor da IPC obriga-se a estabelecer e evidenciar, sempre que solicitado:

a) A Política de Segurança da Informação adotada por ele;
b) O plano de gerenciamento de incidentes de segurança da informação e a definição do fluxo de comunicação com a IPC;
c) A adequada proteção da informação recebida contra ações de interceptação, cópia não autorizada, modificação, indisponibilidade e desvio;
d) A guarda e o sigilo dos códigos de usuários e demais credenciais de acesso que vier a receber da IPC, para acessos aos ativos de informação;
e) A manutenção e a promoção de programas de educação, treinamento e conscientização sobre segurança da informação para funcionários que tiveram acesso às informações corporativas;
f) A comunicação imediata com a IPC, sempre que detectar anormalidades que possam comprometer a segurança das informações recebidas;
g) A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, de acordo com a Resolução 4.893/2021 CMN, sendo certo que para serviços prestados no exterior é necessária a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados.

6. Disposições gerais

Considerando que a presente Política não pretende esgotar todas as situações que venham a ocorrer, as demais diretrizes e responsabilidades para a condução das atividades regulares devem ser verificados nas políticas internas correspondentes, que complementam os princípios e diretrizes aqui expressos.

7. Documentação complementar

Lei nº 12.846/2013;
Decreto nº 11.129/2022;
Resolução nº 260/2022 do Banco Central do Brasil;
Resolução nº 3.681/2013 do Banco Central do Brasil;
Resolução nº 65/2021 do Banco Central do Brasil;
NBR ISO 27001;
Política de Governança Corporativa;
Política de Gestão de Riscos Corporativos e Controles Internos;
Política de Prevenção à Lavagem de Dinheiro;

8. Informação e divulgação

As atividades e promoções promovidas pela IPC serão documentadas e arquivadas, permitindo o acompanhamento e identificação delas. Além disso, as deficiências identificadas serão formalizadas e tratadas, para os devidos fins.

9. Aprovação e revisão

A presente Política será revisada com a periodicidade mínima de 01 (um) ano e ajustada, de imediato, quando ocorrerem eventos considerados relevantes.
Competirá ao departamento de Cyber Segurança a aprovação, revisão e publicação desta Política

Revisão 00 – Data: 17/01/2024.