Menu
Fechar
Menu
A presente Política de Segurança da Informação e Cibernética tem por objetivo estabelecer princípios e diretrizes que buscam assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pela IPC Instituição de Pagamento S.A., bem como orientar a implementação de processos, procedimentos e controles para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético da Instituição.
Esta política aplica-se a todos os sócios, administradores, diretores e demais colaboradores da instituição, clientes, parceiros e prestadores de serviços terceirizados, que tenham acesso aos dados da Instituição ou aos sistemas informatizados por ela utilizados.
O presente Sistema de Gestão de Segurança da Informação foi constituído com o intuito de atender e abranger a área de Tecnologia da Informação da IPC Instituição de Pagamento S/A, situada na Av. Coronel Marcos Konder, 1207 – sala 165, Centro, Itajaí/ SC – CEP: 88301-902.
Colaboradores: São as pessoas que trabalham juntas para alcançar os objetivos da empresa, sejam elas sócios administradores, diretores executivos, empregados, estagiários e prestadores de serviço que mantenham um contrato de trabalho firmado com a organização.
Ativos da informação: Todo bem tangível e intangível que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e dependências físicas).
Software: Programa, rotina ou conjunto de instruções que controlam o funcionamento de um computador.
Hardware: Todos os dispositivos físicos e equipamentos utilizados no processo de informações.
Recursos Computacionais: São todos os equipamentos de informática, dispositivos e sistemas de informação que pertencem ou são alugados pela Instituição, incluindo, mas não se limitando, a computadores particulares (PC ou desktop), notebooks (laptops, ultrabooks e outras denominações), tablets, smartphones e qualquer outro equipamento computacional, redes de voz e dados, software, servidores, sistemas operacionais e mídias de armazenamento.
SGSI: Sistema de Gestão de Segurança da Informação, um sistema estratégico focado na proteção das empresas que trabalham com dados e informações confidenciais. Em suma, essa defesa é baseada nos três pilares da ISO 27001: confidencialidade, integridade e disponibilidade.
Grupo de trabalho do SGSI: Grupo de colaboradores que produzem, revisam metodologicamente e auxiliam na elaboração de documentos de outras áreas, assim como no bom funcionamento do SGSI.
Informações sensíveis: Toda informação que contenha dados de clientes, transações financeiras ou dados que possam infringir as leis regulamentadoras.
Informação documentada: Toda informação documentada da empresa está baseada em uma norma interna publicada e revisada pelo SGSI.
Classificação da informação: o controle de classificação deve seguir os parâmetros definidos na norma da informação documentada.
Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a pessoas, processos e outras entidades não autorizadas.
Incidente de Segurança da Informação: Evento único ou uma série de eventos indesejados, inesperados ou sob suspeita, que comprometa ou ameace a confidencialidade, integridade, disponibilidade ou qualquer outro requisito referente à segurança das informações.
Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaça.
Local seguro Cofre, armário, gaveta com chave ou outro local com segurança adicional para acesso.
Mecanismos de reprodução da informação: Scanner, máquina fotográficas, celulares, etc.
Desastres: Incêndio, enchente, explosão, dentre outros.
G&C: Departamento de Gente e Cultura.
SGSI: Sistema de Gestão de Segurança da Informação.
TI: Departamento de Tecnologia da Informação.
PSI: Política de Segurança da Informação.
TLS/SSL: Protocolo de comunicação segura, são protocolos criptografados que oferecem ao usuário segurança de comunicação ao acessarem um ambiente e navegação em páginas (http), além de outros meios para a transferência de dados.
O controle de Papel, Responsabilidades e Autoridades da Política estão descritos na planilha de controle nomeada como: PLA-SI-001-Papel_Responsabilidade_Autoridade.xlsx, que pode ser localizada no repositório de documentos gerenciado pelo SGSI.
Às Diretorias, Gerências e Coordenações cabe fazer cumprir esta Política na sua integralidade, assegurando que suas equipes possuam acesso e conhecimento deste documento.
Todo conteúdo produzido dentro da empresa ou que seja conflitante com as tarefas e processos internos, será tratado como propriedade intelectual da empresa, ficando o colaborador proibido de reproduzir, apagar ou tomar propriedade.
Todos os materiais com direitos de uso (copyright) ou direitos autorais, estejam eles disponibilizados de forma interna ou mesmo na internet devem ter seus direitos observados e respeitados, sendo os usuários proibidos de usarem, guardarem, reproduzirem, executarem ou copiarem quaisquer destes materiais sem prévia autorização por escrito de seu proprietário.
Os equipamentos computacionais da empresa estarão sob responsabilidade da equipe da TI, apenas salvo os casos em que seja necessário manutenção externa ou por pessoal autorizado.
Como detentora de todos os recursos computacionais e responsável pelo destino dos dados e informações que são por eles trafegados e viabilizados, e que estes se deem apenas para o uso restrito às atividades relacionadas às funções e responsabilidades. Assim, se reserva o direito de monitorar e auditar, a qualquer momento e a seu exclusivo critério, o uso e o conteúdo de todos os arquivos e comunicação eletrônica que estejam nos seus recursos computacionais ou fazendo deles, não necessitando de consentimento ou acordo.
Este monitoramento e auditoria poderá ser conduzido pelo Departamento de TI, segurança da Informação (SI) em conjunto com o Compliance, que deverá por sua vez estar expressamente autorizado pela diretoria ou chefia imediata. Isto inclui, mas não se limita a: e-mails, acesso a histórico de navegação de internet, documentos, ligações telefônicas, imagens de câmeras, entre outros.
O não cumprimento desta política de uso pode resultar em ações disciplinares sendo as penalidades tratadas pelo código de conduta da organização.
Deve ser respeitado o sigilo profissional de conteúdo pessoal ou que possa ferir os princípios da Lei Geral de Proteção de Dados – LGPD, conforme determinado na política de privacidade da organização.
Todos os colaboradores e terceiros que tenham acesso às informações privilegiadas, pessoais ou sensíveis da organização ou sob sua custódia não poderão utilizá-las para fins pessoais ou divulgá-las a pessoas não autorizadas. As restrições incluem a utilização de dados em palestras, apresentações, publicações ou qualquer ato de divulgação para o público externo sem aprovação prévia da liderança responsável.
As informações relacionadas à atividade profissional, devem ser discutidas preferencialmente utilizando os meios e métodos seguros para tratamento.
As informações devem ser classificadas, manuseadas, tratadas, armazenadas e descartadas de acordo com sua criticidade, sensibilidade, requisitos legais e valor.
As informações tratadas em reuniões (sejam elas virtuais ou presenciais) requerem o mesmo grau de segurança, sigilo e zelo para não visualização por pessoas não autorizadas.
Todos os colaboradores devem seguir as restrições de padrão, tamanho e complexidade estabelecidos em norma de Tecnologia da informação, assim como se comprometer em nunca reutilizar, nunca replicar e nunca compartilhar uma senha com qualquer colaborador ou terceiro. O acesso é pessoal e intransferível.
Caso o colaborador não possua acesso a determinado recurso necessário, não justifica o compartilhamento de usuário e senha e está necessidade deve ser informada ao superior ou chefe do departamento para que sejam liberados os acessos necessários.
Caso o colaborador suspeite que sua senha foi comprometida, deve trocá-la imediatamente e avisar a área de Segurança da Informação.
O uso de internet nos equipamentos da empresa poderá passar por controle de conteúdo, ficando vedado o uso inadequado ou mesmo para fins ilícitos. Também deve estar em conformidade com todas as normas da empresa assim como com a legislação vigente.
A utilização do e-mail fornecido pela empresa deve ser utilizada com ponderação e apenas profissionalmente. Não é permitido a utilização de e-mails pessoais para uso profissional ou de quaisquer funções relacionadas à empresa. Toda a comunicação deve ser formal e utilizar o e-mail fornecido e controlado pela empresa.
Todos os e-mails enviados deverão conter a assinatura padrão da empresa, definida e autorizada pelo setor de Marketing.
O ambiente possui instalado software de antivírus para a proteção contra vírus, arquivos e softwares maliciosos, atualizados periodicamente. Todas as atualizações de segurança dos sistemas operacionais são gerenciadas e atualizadas frequentemente.
Fornecedores ou terceiros que não forem colaboradores da ORGANIZAÇÃO devem garantir que seus próprios equipamentos estejam de acordo com todas as políticas de segurança da ORGANIZAÇÃO, incluindo, mas não se limitando, a manter ativos/instalados/atualizados firewalls pessoais e antivírus.
Determina-se como proibido a conexão e uso, nos dispositivos computacionais administrados pela ORGANIZAÇÃO, de dispositivos de armazenamento removíveis ou em massa, assim como equipamentos celulares conectados e em uso nos dispositivos da organização.
Deve-se evitar o uso de aplicativo de troca de mensagens utilizando número ou recurso particular em nome da ORGANIZAÇÃO. A troca de mensagens deve preferencialmente ser feita apenas com números ou recursos da própria empresa ou assinaturas de aplicativos corporativos que possuam controles, logs ou outras maneiras de auditorias e/ou restrições.
Para o caso de colaboradores que possuam a necessidade de trabalho remoto, deve seguir alguns procedimentos, conforme descrito abaixo:
Assim como descreve o item, política de acesso remoto, o acesso ao ambiente de rede da empresa, deve ser totalmente controlado através de software homologado.
Quando por eventualidade tentar acesso ao sistema ou aplicações web disponibilizados pela empresa, fazendo isso de um equipamento não gerenciado pela empresa ou mesmo em locais públicos, o colaborador deverá repensar e se possível desistir do uso deste recurso, solicitando a algum colaborador presente na empresa que execute sua necessidade.
Caso esta opção não seja possível, o colaborador deverá utilizar da seguinte forma:
A informação deve ser transmitida apenas por ferramentas homologadas pelo TI, de forma a mitigar as possibilidades de interceptação, cópia, modificação, desvio e destruição da informação transmitida, além de proteção de informações eletrônicas sensíveis enviadas.
Toda e qualquer mensagem é de responsabilidade do seu emissor, sendo o colaborador responsável pelas mensagens originadas pelo seu equipamento, enquanto utilizado, eximindo a responsabilidade da organização de mensagens que possam vir a ser classificadas como difamação, assédio, falsa identidade, propagação de “correntes”, compras não autorizadas, dentre outras possibilidades, sendo que mensagens dessas naturezas podem dar início a punição regulada pelo Processo Disciplinar na organização.
A transferência de informação que envolva o negócio deve ser realizada utilizando softwares que garantam criptografia e confidencialidade.
Deve ser analisado a necessidade e a possibilidade de adotar proteção criptográfica em dispositivos móveis e mídias removíveis as quais possam dispor de informações relacionadas ao negócio.
Os sistemas de utilizados na organização devem ser protegidos utilizando protocolos TLS/SSL como forma de mitigar as possibilidades de que dados, eventualmente, interceptados estarem protegidos contra leitura desautorizada.
As chaves criptográficas devem ser armazenadas de tal forma que somente o setor de TI ou o próprio responsável pela chave possa ter acesso.
Para chaves do tipo certificado-CPF, o colaborador deve manter o arquivo em local seguro, não utilizar em equipamentos não gerenciados pela ORGANIZAÇÃO e usar somente o certificado correspondente ao seu CPF, ficando vedado o uso compartilhado entre mais de um colaborador.
Para certificados do tipo CNPJ, a área de Segurança da Informação guardará o arquivo digital em local restrito e com controle de acesso, para o caso de token físico, armazenar em local seguro.
O comitê é responsável pela tomada de decisão nos assuntos apontados pelo SGSI nos aspectos físicos e lógicos. Cabe aos membros do comitê propor ajustes, melhorias, aprimoramentos e modificações desta Política; convocar, coordenar, lavrar atas e prover apoio às reuniões que discutam a respeito da mesma, prover todas as informações de Gestão de Segurança das Informações solicitadas por Gestores.
A cada 12 meses deverá ser realizada revisão das Políticas de Segurança da Informação devido às possíveis mudanças a nível organizacional, sistemático e legal no âmbito das atividades realizadas pela organização.
Uma revisão da Política de Segurança da Informação e Cibernética poderá ser realizada em caso de excepcionalidade fora do prazo quando constatação eminente de mudança significativa em algum dos critérios supramencionados de nível organizacional, sistemático e/ou legal, onde seja necessária adequação para manutenção da sua pertinência e eficácia.
O grupo de trabalho do SGSI subsidiará o comitê em suas funções. Também é responsável por propor ajustes, melhorias, aprimoramentos e modificações pertinente(s) a Segurança da Informação. É de competência do grupo atuar em auditorias ou consultorias, providenciando os recursos necessários para o correto trabalho dos auditores ou consultores.
Os componentes do grupo também devem atuar como agentes de divulgação desta política e auxiliar o Gestor do SGSI, no fluxo de tratamento das informações documentadas e nos treinamentos internos.
A metodologia aplicada na análise de riscos baseia-se na avaliação das vulnerabilidades existentes nos ativos da informação, considerando-se como referência os controles descritos no Anexo A da norma ABNT NBR ISO 27001.
Os riscos identificados são analisados quanto à confidencialidade, integridade e disponibilidade. O resultado é analisado e para cada um é atribuída uma decisão (tratar, aceitar, não aplicável ou transferir), gerando um controle, que ao ser implementado mitiga o impacto nos negócios da organização caso venha a transformar-se em um incidente.
As decisões tomadas no tratamento dos riscos são submetidas à aprovação da direção por meio de reuniões onde são apresentadas. O registro do tratamento dos riscos é realizado por meio da planilha Matriz de Riscos de Segurança da Informação e serão reavaliados conforme intervalo mínimo estabelecido no documento de controle de riscos.
A organização estabelece como objetivos para o SGSI a efetividade do alcance das metas estabelecidas para cada grupo de controles descritos no Anexo A da norma NBR ISO 27001.
Para auxiliar a gestão de indicadores do SGSI, controla-se através da Planilha de indicadores do SGSI, centralizando todos os indicadores necessários para garantir o pleno funcionamento do SGSI e prover melhoria contínua do processo.
Revisão 04 – Data de publicação 02/10/2023.
Av. Coronel Marcos Konder, 1207 Centro | Itajaí SC 88301-902
IPC Instituição de Pagamento S.A 01.648.418/0001-72