Conductor – Política de Segurança Cibernética

1. Objetivo

A Conductor, como uma empresa de meio de pagamentos, define neste documento a Política de Segurança Cibernética, com o intuito de aplicar os princípios e diretrizes de proteção das informações da instituição e clientes contra ameaças e ataques cibernéticos promovendo a melhoria contínua da segurança dos dados e continuidade do negócio possibilitando a manutenção da confidencialidade, da integridade e da disponibilidade das informações sob responsabilidade da empresa. A Conductor possui e desenvolve soluções em meios de pagamento para empresas de todos os tamanhos e áreas de atuação, tanto no varejo como no setor financeiro e com isso processa dados sensíveis.
A alta Administração da Conductor, compromete-se com a melhoria contínua dos procedimentos e controles relacionados nesta Política.

2. Abrangência

Esta Política abrange todas as ferramentas, aplicações, processos e monitoramento de Segurança da Informação e Segurança Cibernética no ambiente da Conductor, independente da sua localização física.

3. Papéis e responsabilidade

O time de Segurança da Informação é o responsável pela criação, manutenção e disponibilidade das normas, políticas e procedimentos de Segurança da Informação, mencionadas abaixo.

4. Normas, políticas e procedimentos

A Conductor possui normas, políticas e procedimentos para assegurar a proteção dos dados adequadamente, reduzindo vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, de acordo aos requerimentos dos órgãos reguladores e melhores práticas reconhecidas pelo mercado, tais como Política de:

  • Gestão de Riscos;
  • Identidade e Gestão de Acessos;
  • Segurança Física;
  • Segurança da Informação;
  • Segurança nos Recursos Móveis;
  • Firewall;
  • Guarda e Descarte Seguro de Dados;
  • Gestão de Incidentes de TI;
  • Resposta a Incidentes;
  • Gestão de Vulnerabilidades;
  • Realização de Testes de Segurança;
  • Classificação da Informação;
  • Ativos da Informação;
  • Criptografia de Dados;
  • Mesa limpa;
  • Antivírus;
  • Internet;
  • Software;
  • Acesso remoto;
  • Correio Eletrônico;
  • Desenvolvimento Seguro;
  • Gestão de Fornecedores;
  • Armazenamento de Logs e Controles de Trilhas de Auditoria.

Os controles que buscam garantir a segurança das informações sensíveis são definidos nas políticas mencionadas acima. Já os incidentes são tratados de acordo com a política de Gestão de Incidentes de TI e de Resposta a Incidentes, onde são também definidos os parâmetros a serem utilizados na avaliação da relevância dos incidentes.

Backups e Restore: os backups e restore são realizados conforme a norma de backup da instituição, que define como executar, garantir a segurança e testar os backups bem como a realização do planejamento e estratégia.

Prevenção e detecção de intrusão feita por meio das soluções de segurança adotadas, bem como o Intrusion Preventions System (IPS).

Prevenção de vazamento de informações é realizada por meio das soluções de segurança adotadas, bem como o Data Loss Prevention (DLP).

Segmentação de rede: Realização da segmentação de rede a fim de separar adequadamente a comunicação dos computadores e diminuir o risco de tentativa de comunicação indevida.

5. Diretrizes

3.1 Incidentes
A fim de minimizar os impactos no ambiente e nos processos de negócio, a política de Resposta a Incidentes descreve as regras de reporte e tratamento de incidentes de segurança da informação ocorridos no ambiente da Conductor.
* A equipe de Segurança da Informação analisa a suspeita de incidente;
* Caso a suspeita seja confirmada, deve-se classificar o incidente de acordo com os critérios da política de resposta a incidentes e faz o tratamento adequado, envolvendo as áreas cabíveis;
* A equipe de Segurança da Informação deve documentar todo incidente;
* O reporte de incidentes envolvendo dados ou serviços de emissores deve ser enviado ao mesmo, podendo ter o apoio do time de Governança de TI e do Relacionamento;
* O compartilhamento de informações sobre os incidentes relevantes com as demais instituições, requisitado na Resolução 4658 do BACEN, deve ser realizado pelo emissor.
Cenários de incidentes dos testes de continuidade de negócio: os cenários de incidentes considerados nos testes de continuidade do negócio são definidos de acordo com as ameaças potenciais inerentes aos negócios e os possíveis impactos nas operações provenientes de tais ameaças, definidos no Plano de Continuidade de Negócios.
Prevenção de incidentes possivelmente causados por fornecedores: Os fornecedores são avaliados de acordo ao Procedimento de Avaliação de Fornecedores. Dentre os objetivos estão: a avaliação dos riscos, acompanhamento e monitoramento de planos de ação junto ao fornecedor. A fim de prevenir incidentes que possam ser causados por fornecedores e empresas prestadoras de serviços a terceiros, estes devem seguir os procedimentos indicados nas políticas já mencionadas, principalmente Política de Segurança da Informação e Política de Gestão de Identidade e Acessos.

3.2 Classificação das informações:
As informações são classificadas de acordo a Política de Classificação da Informação, com a seguinte diretriz:
1. Informação pública: informação que pode ou deve ser tornada disponível para distribuição pública. Sua divulgação não causa qualquer dano à empresa.
2. Informação interna: informação que pode ser divulgada para os colaboradores da empresa, enquanto estiverem desempenhando atividades profissionais. Sua divulgação não autorizada ou acesso indevido podem causar impactos na empresa.
3. Informação setorial: As informações Setoriais são aquelas pertinentes a escopo interno de departamento ou área. Incluem-se nesta classificação as informações que tratam de assuntos setoriais como operacionais, ou de relacionamento com clientes, cuja revelação pode comprometer os princípios de segurança da informação (confidencialidade, disponibilidade e integridade) ou prejudicar o andamento dos processos aos quais se refere. As informações Setoriais podem envolver mais de uma área, neste caso as áreas envolvidas devem garantir o devido tratamento da informação.
4. Informação confidencial: informação exclusiva a quem se destina requer tratamento especial contendo dados pessoais e/ou sigilosos, que, se divulgados, podem afetar a reputação e a imagem da empresa ou causar impactos graves, sob o aspecto financeiro, legal e normativo.
Rotulagem da informação: quando se tratar de informações não públicas, devem ser rotuladas no momento que forem geradas, armazenadas ou disponibilizadas.

3.3 Disseminação da cultura de segurança cibernética
A Conductor busca, por meio do programa de conscientização de segurança da informação e programas de capacitação e avaliação, garantir a disseminação dos princípios e diretrizes de Segurança cibernética e capacitação, fortalecendo a cultura de segurança da informação.

6. Plano de Segurança Cibernética

* Proteger as informações contra acesso, modificações, destruição ou divulgação não autorizada.
* Prover a adequada classificação da informação, sob os critérios de confidencialidade, disponibilidade e integridade.
* Garantir a continuidade do processamento das informações críticas de negócios.
* Selecionar os mecanismos de segurança da informação, balanceando fatores de riscos, tecnologia e custo.

7. Proteção do Ambiente

Devem ser constituídos controles e responsabilidades pela gestão e operação dos recursos de processamento das informações que garantem a segurança na infraestrutura tecnológica de redes locais e internet, através de um gerenciamento efetivo no monitoramento, tratamento e respostas aos incidentes, para minimizar o risco de falhas e a administração segura de redes de comunicações, incluindo a gestão de serviços contratados de processamento e armazenamento de dados e informações em nuvem.

8. Segurança Física e Lógica

Os equipamentos e instalações de processamento de informação críticas ou sensíveis devem ser mantidos em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.

9. Gestão de Acesso

Os acessos às informações devem ser controlados, monitorados, restringidos à menor permissão e privilégios possíveis, revistos periodicamente com a aprovação do gestor do responsável e o da informação, e cancelados tempestivamente ao término do contrato de trabalho do colaborador ou do prestador de serviço.

10. Processamento, Armazenamento de Dados e Computação em Nuvem

Conforme a Resolução 3.909/2018 do Banco Central do Brasil, para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a Conductor deve possuir procedimentos efetivos para a aderência às regras previstas na regulamentação em vigor.

11. Continuidade de Negócios

O processo de gestão de continuidade de negócios relativo a segurança da informação, deve ser implementado para minimizar os impactos e recuperar perdas de ativos da informação, após um incidente crítico, a um nível aceitável, através da combinação de requisitos como operações, funcionários chaves, mapeamento de processos críticos, análise de impacto nos negócios e testes periódicos de recuperação de desastres. Incluem-se nesse processo, a continuidade de negócios relativos aos serviços contratados de nuvem e os testes previstos para os cenários de ataques cibernéticos.

12. Penalidades

Em nenhum momento será admitido, a qualquer usuário, invocar o desconhecimento desta política para justificar violações ou falta de cumprimento desta. As violações a esta política estão sujeitas a sanções disciplinares de acordo com as políticas da Conductor e legislação vigente. Distorções estão sujeitas a sanções disciplinares.

13. Glossário

* Backup: cópia de segurança de um dado ou ativo.
* Colaborador: Funcionário contratado no regime CLT.
* Data Loss Prevention (DLP): solução de prevenção a vazamento de dados e extrações indevidas.
* Firewall: dispositivo que aplica uma política de segurança a um determinado ponto da rede, controlando o acesso permitindo de conexões.
* Intrusion Prevention System (IPS): sistema que permite a prevenção de ataques de segurança.
* Restore: execução do processo de restauração do backup do dado ou ativo;
Terceiro/Fornecedor: Qualquer pessoa no regime PJ que presta serviço à Conductor e afiliadas.