efrete-logo-footer

Política de Segurança da Informação e cibernética

1. Objetivo

A presente Política de Segurança da Informação e Cibernética tem por objetivo estabelecer princípios e diretrizes que buscam assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pela IPC Instituição de Pagamento S.A., bem como orientar a implementação de processos, procedimentos e controles para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético da Instituição.

2. Abrangência

Esta política aplica-se a todos os sócios, administradores, diretores e demais colaboradores da instituição, clientes, parceiros e prestadores de serviços terceirizados, que tenham acesso aos dados da Instituição ou aos sistemas informatizados por ela utilizados.

3. Escopo do SGSI

O presente Sistema de Gestão de Segurança da Informação foi constituído com o intuito de atender e abranger a área de Tecnologia da Informação da IPC Instituição de Pagamento S/A, situada na Av. Coronel Marcos Konder, 1207 – sala 165, Centro, Itajaí/ SC – CEP: 88301- 902.

4. Definições e siglas

4.1. Definições

 Colaboradores: São as pessoas que trabalham juntas para alcançar os objetivos da empresa, sejam elas sócios administradores, diretores executivos, empregados, estagiários e prestadores de serviço que mantenham um contrato de trabalho firmado com a organização.

Ativos da informação: Todo bem tangível e intangível que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e dependências físicas).

Software: Programa, rotina ou conjunto de instruções que controlam o funcionamento de um

Hardware: Todos os dispositivos físicos e equipamentos utilizados no processo de informações.

Recursos Computacionais: São todos os equipamentos de informática, dispositivos e sistemas de informação que pertencem ou são alugados pela Instituição, incluindo, mas não se limitando, a computadores particulares (PC ou desktop), notebooks (laptops, ultrabooks e outras denominações), tablets, smartphones e qualquer outro equipamento computacional, redes de voz e dados, software, servidores, sistemas operacionais e mídias de

SGSI: Sistema de Gestão de Segurança da Informação, um sistema estratégico focado na proteção das empresas que trabalham com dados e informações Em suma, essa defesa é baseada nos três pilares da ISO 27001: confidencialidade, integridade e disponibilidade

Grupo de trabalho do SGSI: Grupo de colaboradores que produzem, revisam metodologicamente e auxiliam na elaboração de documentos de outras áreas, assim como no bom funcionamento do

Informações sensíveis: Toda informação que contenha dados de clientes, transações financeiras ou dados que possam infringir as leis regulamentadoras.

Informação documentada: Toda informação documentada da empresa está baseada em uma norma interna publicada e revisada pelo

Classificação da informação: o controle de classificação deve seguir os parâmetros definidos na norma da informação documentada.

Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a pessoas, processos e outras entidades não

Incidente de Segurança da Informação: Evento único ou uma série de eventos indesejados, inesperados ou sob suspeita, que comprometa ou ameace a confidencialidade, integridade, disponibilidade ou qualquer outro requisito referente à segurança das informações.

Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaça.

Local seguro Cofre, armário, gaveta com chave ou outro local com segurança adicional para acesso;

Mecanismos de reprodução da informação: Scanner, máquina fotográficas, celulares, etc;

Desastres Incêndio, enchente, explosão, dentre outros;

 

4.2. Siglas

G&C: Departamento de Gente e

SGSI: Sistema de Gestão de Segurança da Informação

TI: Departamento de Tecnologia da Informação

PSI: Política de Segurança da Informação

TLS/SSL: Protocolo de comunicação segura, são protocolos criptografados que oferecem ao usuário segurança de comunicação ao acessarem um ambiente e navegação em páginas (http), além de outros meios para a transferência de

5. Papel, responsabilidades e autoridades

O controle de Papel, Responsabilidades e Autoridades da Política estão descritos na planilha de controle nomeada como: PLA-SI-001-Papel_Responsabilidade_Autoridade.xlsx, que pode ser localizada no repositório de documentos gerenciado pelo SGSI.

6. Responsabilidades e deveres gerais dos colaboradores

Às Diretorias, Gerências e Coordenações cabe fazer cumprir esta Política na sua integralidade, assegurando que suas equipes possuam acesso e conhecimento deste documento.

Todo conteúdo produzido dentro da empresa ou que seja conflitante com as tarefas e processos internos, será tratado como propriedade intelectual da empresa, ficando o colaborador proibido de reproduzir, apagar ou tomar propriedade.

Todos os materiais com direitos de uso (copyright) ou direitos autorais, estejam eles disponibilizados de forma interna ou mesmo na internet devem ter seus direitos observados e respeitados, sendo os usuários proibidos de usarem, guardarem, reproduzirem, executarem ou copiarem quaisquer destes materiais sem prévia autorização por escrito de seu proprietário.

Os equipamentos computacionais da empresa estarão sob responsabilidade da equipe da TI, apenas salvo os casos em que seja necessário manutenção externa ou por pessoal autorizado.

7. Monitoramento e do Cumprimento da Política

Como detentora de todos os recursos computacionais e responsável pelo destino dos dados e informações que são por eles trafegados e viabilizados, e que estes se deem apenas para o uso restrito às atividades relacionadas às funções e responsabilidades. Assim, se reserva o direito de monitorar e auditar, a qualquer momento e a seu exclusivo critério, o uso e o conteúdo de todos os arquivos e comunicação eletrônica que estejam nos seus recursos computacionais ou fazendo deles, não necessitando de consentimento ou acordo.

Este monitoramento e auditoria poderá ser conduzido pelo Departamento de TI, segurança da Informação (SI) em conjunto com o Compliance, que deverá por sua vez estar expressamente autorizado pela diretoria ou chefia imediata. Isto inclui, mas não se limita a: e-mails, acesso a histórico de navegação de internet, documentos, ligações telefônicas, imagens de câmeras, entre outros.

O não cumprimento desta política de uso pode resultar em ações disciplinares, sendo as penalidades tratadas pelo código de conduta da organização.

8. Políticas de Segurança da Informação

8.1. Sigilo

Deve ser respeitado o sigilo profissional de conteúdo pessoal ou que possa ferir os princípios da Lei Geral de Proteção de Dados – LGPD, conforme determinado na política de privacidade da organização.

Todos os colaboradores e terceiros que tenham acesso às informações privilegiadas, pessoais ou sensíveis da organização ou sob sua custódia não poderão utilizá-las para fins pessoais ou divulgá-las a pessoas não autorizadas. As restrições incluem a utilização de dados em palestras, apresentações, publicações ou qualquer ato de divulgação para o público externo sem aprovação prévia da liderança responsável.

As informações relacionadas à atividade profissional, devem ser discutidas preferencialmente utilizando os meios e métodos seguros para tratamento.

As informações devem ser classificadas, manuseadas, tratadas, armazenadas e descartadas de acordo com sua criticidade, sensibilidade, requisitos legais e valor.

As informações tratadas em reuniões (sejam elas virtuais ou presenciais) requerem o mesmo grau de segurança, sigilo e zelo para não visualização por pessoas não autorizadas.

8.2. Política de senhas

Todos os colaboradores devem seguir as restrições de padrão, tamanho e complexidade estabelecidos em norma de Tecnologia da informação, assim como se comprometer em nunca reutilizar, nunca replicar e nunca compartilhar uma senha com qualquer colaborador ou terceiro. O acesso é pessoal e intransferível.

Caso o colaborador não possua acesso a determinado recurso necessário, não justifica o compartilhamento de usuário e senha e está necessidade deve ser informada ao superior ou chefe do departamento para que sejam liberados os acessos necessários.

Caso o colaborador suspeite que sua senha foi comprometida, deve trocá-la imediatamente e avisar a área de Segurança da Informação.

4.3 Uso de Internet e E-mail

O uso de internet nos equipamentos da empresa poderá passar por controle de conteúdo, ficando vedado o uso inadequado ou mesmo para fins ilícitos. Também deve estar em conformidade com todas as normas da empresa assim como com a legislação vigente.

A utilização do e-mail fornecido pela empresa deve ser utilizada com ponderação e apenas profissionalmente. Não é permitido a utilização de e-mails pessoais para uso profissional ou de quaisquer funções relacionadas à empresa. Toda a comunicação deve ser formal e utilizar o e-mail fornecido e controlado pela empresa.

Todos os e-mails enviados deverão conter a assinatura padrão da empresa, definida e autorizada pelo setor de Marketing.

8.4. Medidas Contra Vírus e Malware

O ambiente possui instalado software de antivírus para a proteção contra vírus, arquivos e softwares maliciosos, atualizados periodicamente. Todas as atualizações de segurança dos sistemas operacionais são gerenciadas e atualizadas frequentemente.

Fornecedores ou terceiros que não forem colaboradores da ORGANIZAÇÃO devem garantir que seus próprios equipamentos estejam de acordo com todas as políticas de segurança da ORGANIZAÇÃO, incluindo, mas não se limitando, a manter ativos/instalados/atualizados firewalls pessoais e antivírus.

Determina-se como proibido a conexão e uso, nos dispositivos computacionais administrados pela ORGANIZAÇÃO, de dispositivos de armazenamento removíveis ou em massa, assim como equipamentos celulares conectados e em uso nos dispositivos da organização.

8.5.  Aplicativos para Troca de Mensagens

Deve-se evitar o uso de aplicativo de troca de mensagens utilizando número ou recurso particular em nome da ORGANIZAÇÃO. A troca de mensagens deve preferencialmente ser feita apenas com números ou recursos da própria empresa ou assinaturas de aplicativos corporativos que possuam controles, logs ou outras maneiras de auditorias e/ou restrições

8.6. Política de Acesso Remoto

 Para o caso de colaboradores que possuam a necessidade de trabalho remoto, deve seguir alguns procedimentos, conforme descrito abaixo:

  • Equipamento: utilizar preferencialmente equipamento disponibilizado pela empresa, salvo os casos previamente acordados e revisados pela TI ou pelo SI;
  • Acesso à rede: para acessar a rede de dados da empresa, deve-se utilizar VPN, utilizando apenas os softwares homologados e autorizados pelo SI. A conexão deverá criptografar a comunicação de ponta a ponta a fim de dificultar a intercepção dos dados

8.7. Política de proteção das informações acessadas em locais remotos

 Assim como descreve o item, política de acesso remoto, o acesso ao ambiente de rede da empresa, deve ser totalmente controlado através de software homologado.

Quando por eventualidade tentar acesso ao sistema ou aplicações web disponibilizados pela empresa, fazendo isso de um equipamento não gerenciado pela empresa ou mesmo em locais públicos, o colaborador deverá repensar e se possível desistir do uso deste recurso, solicitando a algum colaborador presente na empresa que execute sua necessidade.

Caso esta opção não seja possível, o colaborador deverá utilizar da seguinte forma:

  • Aplicativo WEB: navegar em aba segura e/ou anônima, não importar no computador certificados ou mesmo gravar dados de autenticação
  • VPN: não poderá ser instalado aplicativo de VPN em equipamentos não gerenciados pela

8.8. Política para transferência de Informações

A informação deve ser transmitida apenas por ferramentas homologadas pelo TI, de forma a mitigar as possibilidades de interceptação, cópia, modificação, desvio e destruição da informação transmitida, além de proteção de informações eletrônicas sensíveis enviadas.

Toda e qualquer mensagem é de responsabilidade do seu emissor, sendo o colaborador responsável pelas mensagens originadas pelo seu equipamento, enquanto utilizado, eximindo a responsabilidade da organização de mensagens que possam vir a ser classificadas como difamação, assédio, falsa identidade, propagação de “correntes”, compras não autorizadas, dentre outras possibilidades, sendo que mensagens dessas naturezas podem dar início a punição regulada pelo Processo Disciplinar na organização.

8.9. Política para uso de controles criptográficos

A transferência de informação que envolva o negócio deve ser realizada utilizando softwares que garantam criptografia e confidencialidade.

Deve ser analisado a necessidade e a possibilidade de adotar proteção criptográfica em dispositivos móveis e mídias removíveis as quais possam dispor de informações relacionadas ao negócio.

Os sistemas de utilizados na organização devem ser protegidos utilizando protocolos TLS/SSL como forma de mitigar as possibilidades de que dados, eventualmente, interceptados estarem protegidos contra leitura desautorizada.

8.10. Política para gerenciamento de chaves criptográficas

 As chaves criptográficas devem ser armazenadas de tal forma que somente o setor de TI ou o próprio responsável pela chave possa ter acesso.

Para chaves do tipo certificado-CPF, o colaborador deve manter o arquivo em local seguro, não utilizar em equipamentos não gerenciados pela ORGANIZAÇÃO e usar somente o certificado correspondente ao seu CPF, ficando vedado o uso compartilhado entre mais de um colaborador.

Para certificados do tipo CNPJ, a área de Segurança da Informação guardará o arquivo digital em local restrito e com controle de acesso, para o caso de token físico, armazenar em local seguro.



9. Comitê de Segurança na Informação

O comitê é responsável pela tomada de decisão nos assuntos apontados pelo SGSI nos aspectos físicos e lógicos. Cabe aos membros do comitê propor ajustes, melhorias, aprimoramentos e modificações desta Política; convocar, coordenar, lavrar atas e prover apoio às reuniões que discutam a respeito da mesma, prover todas as informações de Gestão de Segurança das Informações solicitadas por Gestores.

A cada 12 meses deverá ser realizada revisão das Políticas de Segurança da Informação devido às possíveis mudanças a nível organizacional, sistemático e legal no âmbito das atividades realizadas pela organização.

Uma revisão da Política de Segurança da Informação e Cibernética poderá ser realizada em caso de excepcionalidade fora do prazo quando constatação eminente de mudança significativa em algum dos critérios supramencionados de nível organizacional, sistemático e/ou legal, onde seja necessária adequação para manutenção da sua pertinência e eficácia.

10. Grupo de Trabalho do SGSI

O grupo de trabalho do SGSI subsidiará o comitê em suas funções. Também é responsável por propor ajustes, melhorias, aprimoramentos e modificações pertinente(s) a Segurança da Informação. É de competência do grupo atuar em auditorias ou consultorias, providenciando os recursos necessários para o correto trabalho dos auditores ou consultores.

 

Os componentes do grupo também devem atuar como agentes de divulgação desta política e auxiliar o Gestor do SGSI, no fluxo de tratamento das informações documentadas e nos treinamentos internos.

11. Planejamento para tratamento de riscos

A metodologia aplicada na análise de riscos baseia-se na avaliação das vulnerabilidades existentes nos ativos da informação, considerando-se como referência os controles descritos no Anexo A da norma ABNT NBR ISO 27001.

Os riscos identificados são analisados quanto à confidencialidade, integridade e disponibilidade. O resultado é analisado e para cada um é atribuída uma decisão (Tratar, Aceitar, não aplicável ou transferir), gerando um controle, que ao ser implementado mitiga o impacto nos negócios da organização caso venha a transformar-se em um incidente.

As decisões tomadas no tratamento dos riscos são submetidas à aprovação da direção por meio de reuniões onde são apresentadas. O registro do tratamento dos riscos é realizado

por meio da planilha Matriz de Riscos de Segurança da Informação e serão reavaliados conforme intervalo mínimo estabelecido no documento de controle de riscos.

12. Objetivos para o SGSI

A organização estabelece como objetivos para o SGSI a efetividade do alcance das metas estabelecidas para cada grupo de controles descritos no Anexo A da norma NBR ISO 27001.

12.1. Indicadores do SGSI

A organização estabelece como objetivos para o SGSI a efetividade do alcance das metas estabelecidas para cada grupo de controles descritos no Anexo A da norma NBR ISO 27001.