1. OBJETIVO
Criar uma referência interna para a implantação de um ambiente tecnológico e informacional seguro, facilitando o controle da informação e processos relacionados, incluindo atividades de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, como da segurança da informação em linha com as resoluções CMN N°4.658 DE 26/04/2018 e a Resolução BCB N°85 de 8/04/2021.
2. APLICAÇÃO E VIGÊNCIA
Aplica-se aos colaboradores, terceirizados e parceiros da Trust Payments, a partir de 17.10.2023.
3. CONSIDERAÇÕES
3.1. RESPONSABILIDADES E DEFINIÇÕES
3.1.1. Os Diretores e a área de Segurança da Informação da Trust Payments são responsáveis por garantir que o todos os colaboradores da entidade, em suas respectivas áreas de negócios, estejam cientes de suas obrigações.
3.1.2. A Segurança da Informação visa geração de valor aos stakeholders, além de contribuir para o fortalecimento da governança corporativa e do ambiente de controles internos e contempla os modelos definidos internamente, com técnicas de acompanhamento de riscos voltados à Segurança da Informação, pessoal especializado subordinado hierarquicamente aos departamentos ligados aos componentes corporativos de risco.
3.2. SEGURANÇA DA INFORMAÇÃO
3.2.1. A informação é um dos mais valorizados patrimônios no ambiente de negócios. Além da posse de uma informação estruturada e de qualidade ser um de seus objetivos estratégicos, a informação é um ativo fornecido pelos nossos clientes e parceiros, que deve ser tratado com o mais alto nível técnico, de sigilo e de confidencialidade, observando a legislação vigente.
3.2.2. São exemplos de informações confidenciais:
• Informações de clientes que devem ser protegidas por obrigatoriedade legal, incluindo dados cadastrais (CPF, RG, endereço etc.), situação financeira e movimentação bancária.
• Informações sobre produtos e serviços que revelem vantagens competitivas da Trust Payments frente ao mercado.
• Todo o material estratégico da Trust Payments (material impresso, armazenado em sistemas, em mensagens eletrônicas ou mesmo na forma de conhecimento de negócio da pessoa).
• Quaisquer informações da Trust Payments que não devam ser divulgadas ao meio externo antes da publicação pelas áreas competentes.
• Todos os tipos de senhas a sistemas, redes, estações e outras informações utilizadas na autenticação, lembrando que são dados pessoais e intransferíveis.
3.2.3. Um fluxo de informação de qualidade é capaz de decidir o sucesso de um empreendimento, de um projeto e de uma avaliação. Entretanto, esse poder, somado à crescente facilidade de acesso, faz desse “ativo” um alvo de constantes ameaças internas e externas.
3.2.4. Quando não gerenciados adequadamente, esses riscos e ameaças podem causar consideráveis danos à empresa, parceiros e clientes, prejudicando o crescimento e vantagem competitiva.
3.2.5. Todos os colaboradores da Trust Payments devem zelar pelas informações sob sua responsabilidade, atentando-se para os seguintes aspectos principais:
• Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
3.3. TRATAMENTO DAS INFORMAÇÕES
3.3.1. Categorizamos os tipos de informação a depender do seu uso, como:
• Informação Pública: pode ser acessada por usuários da organização, clientes, fornecedores, parceiros, prestadores de serviços e público em geral.
• Informação Interna: somente pode ser acessada por funcionários. Possuem um grau de sensibilidade que pode comprometer a imagem da organização e/ou impacto negativo nos objetivos e resultados. O acesso não é restringido por controles internos.
• Informação Confidencial: pode ser acessada apenas por funcionários da organização que detenham autorização especial. A divulgação não autorizada pode causar impacto ao negócio, clientes, parceiros ou à reputação. Acesso permitido apenas quando uma necessidade de trabalho tiver sido identificada e tal acesso for aprovado expressamente.
3.3.2. De forma geral, cabe a todos os funcionários, colaboradores e prestadores de serviços associados à Trust Payments:
• Cumprir fielmente a Política de Segurança da Informação.
• Proteger informações contra acessos indevidos, modificação, destruição ou divulgação não autorizados.
• Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas.
• Cumprir as leis e as normas que regulamentam a propriedade intelectual.
• Não compartilhar informações confidenciais de qualquer tipo.
3.4. INFORMAÇÕES NÃO ESTRUTURADAS – CONVERSAS EM LOCAIS PÚBLICOS
3.4.1. Os seguintes cuidados devem ser observados quanto ao tratamento de informações não estruturadas (voz e armazenadas fora de sistemas informatizados):
• Não se deve discutir ou comentar assuntos confidenciais da Trust Payments em locais públicos ou por meio de mensagens de texto particulares.
• A informação difundida oralmente também deve ser objeto de cautela, tanto no âmbito das dependências internas quanto externas.
• Sempre que os colaboradores estiverem em locais públicos, faz-se necessária a adoção de práticas capazes de assegurar o sigilo das informações (ex.: não menção de nomes de clientes, parceiros e prospects).
• Outra cautela a ser tomada é a discrição e impessoalidade na referência a empresas e pessoas, bem como a não menção a questões sensíveis.
• De modo geral, objetivos, comentários, estratégias, orçamentos etc. devem ser discutidos em ambiente privado, tais como reuniões internas e/ou salas de chat privadas.
• É vedada a obtenção de informações de forma ilícita, com qualquer finalidade.
3.5. USO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO
3.5.1. O usuário autorizado é totalmente responsável pela correta posse e utilização de suas senhas e autorizações de acesso a sistemas, assim como pelas ações decorrentes da utilização.
3.5.2. O acesso e uso de todos os sistemas de informação, diretórios de rede, bancos de dados e demais recursos devem ser restritos a pessoas explicitamente autorizadas e de acordo com a necessidade para suas funções, observando-se a regra de “mínimo acesso necessário”.
3.5.3. Periodicamente, os acessos concedidos devem ser revisados pelo Gestor de Segurança da Informação da Trust Payments.
3.5.4. Todos os usuários devem adotar as seguintes práticas básicas:
• Manter atualizados nos servidores e redes compartilhadas os produtos dos trabalhos desenvolvidos no curso das atividades.
• Não manter cópias de seus arquivos em computador local.
• Utilizar senhas complexas e alterá-las periodicamente, que contenham caracteres compostos de letras, números e símbolos, evitando o uso de nomes, sobrenomes, números de documentos, telefones, datas que possam ser relacionadas com o usuário.
• Utilizar criptografia sempre que enviar ou receber dados contendo informações confidenciais/estratégicas, desde que autorizadas.
• No uso de internet, certificar a procedência de qualquer website e a utilização de conexões seguras (criptografadas) ao realizar transações.
• Verificar a integridade de websites cujos acessos sejam necessários ao exercício da atividade.
• Digitar no navegador o endereço desejado e não utilizar links desconhecidos como recurso para acessar um outro endereço de destino.
• Não abrir arquivos ou executar programas anexados a e-mails, sem antes verificá-los com um antivírus.
• Não utilizar o formato executável em arquivos compactados.
3.5.5. São expressamente proibidas pela presente Política, as seguintes atividades:
• Introduzir códigos nos sistemas de TI, utilizar, facilitar ou permitir entradas de terceiros por quaisquer meios.
• Revelar códigos de identificação, autenticação e autorização de uso pessoal (ex.: conta, senhas, chaves privadas etc.) ou permitir o uso por terceiros de recursos autorizados por intermédio desses códigos.
• Divulgar ou comercializar produtos, itens ou serviços a partir de qualquer recurso dos sistemas de TI.
• Tentar interferir sem autorização expressa em um serviço ou transação.
• Alterar registro de evento dos sistemas.
• Modificar protocolos de comunicação de dados.
• Obter acesso não autorizado, ou acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades.
• Monitorar ou interceptar o tráfego de dados nos sistemas de TI.
• Violar medida de segurança ou autenticação, sem autorização de função competente.
• Fornecer informações a terceiros sobre usuários ou serviços disponibilizados nos sistemas de TI, exceto os de natureza pública ou mediante autorização expressa.
• Armazenamento ou uso de jogos em recursos pertencentes ao ambiente da Trust Payments.
• Utilizar aplicativos não homologados e/ou com licença inativa ou não autorizada.
3.5.6. As solicitações de acesso devem seguir as seguintes premissas:
• As solicitações de novas identificações de usuários e alterações de privilégios devem ser feitas por escrito e aprovadas pela área de Segurança da Informação, sendo mapeadas as suas necessidades conforme o escopo de trabalho de cada colaborador.
• Em caso de alterações, os usuários devem fundamentar a necessidade das mudanças em seus privilégios e a relação de tais alterações com as atividades exercidas.
• Privilégios devem ser imediatamente revogados quando da finalização de projetos específicos, caso o profissional atuante esteja trabalhando como colaborador ou parceiro.
• O mesmo deverá ser observado no desligamento, sendo o colaborador desligado inteiramente responsável pelas atividades e atos perpetrados durante a sua permanência.
• Os privilégios para todos os usuários dos serviços da rede deverão ser revisitados a cada 12 (doze) meses pela área de Segurança da Informação.
3.5.7. Os colaboradores devem observar as seguintes diretrizes, no que tange às senhas de acesso:
• As senhas de acesso são os controles de segurança para os sistemas do ambiente de TI da Trust Payments e são pessoais, sigilosas e intransferíveis.
• Em caso de suspeita de exposição indevida, o fato deve ser comunicado imediatamente à área de Segurança da Informação e todas as senhas devem ser alteradas.
• Os usuários devem possuir orientação sobre a manutenção sigilosa das suas senhas de acesso e as responsabilidades envolvidas com seu mau uso.
• Em caso de comprometimento comprovado da segurança do ambiente de TI por algum evento não previsto, todas as senhas de acesso deverão ser modificadas.
• Da mesma forma, todas as alterações recentes de usuários e privilégios do sistema devem ser revisadas para detectar eventuais modificações não autorizadas de dados.
• Todos os usuários precisam ser identificados antes de estarem aptos a realizar qualquer atividade em ambiente de TI.
3.5.8. Quanto ao uso de equipamentos e recursos de comunicação:
• Equipamentos corporativos assim como os softwares da Trust Payments devem ser disponibilizados e homologados pela área de Segurança da Informação.
• Os computadores com informações sensíveis e/ou classificadas deverão, obrigatoriamente, ser desligados ou bloqueados na ausência do usuário.
• Quando os equipamentos ou contas de usuário não estiverem em uso deverão ser imediatamente bloqueados ou desligados.
• É vedado o acesso não autorizado às caixas postais de terceiros e eventuais tentativas de acesso devem ser registradas em log.
• É vedado o envio de informações críticas para pessoas ou organizações não autorizadas, observando-se, quando aplicável, orientações para informações classificadas.
• É vedado o envio de material obsceno, ilegal ou não ético, propaganda, mensagem de entretenimento ou mensagens de qualquer natureza relacionadas com nacionalidade, raça, orientação sexual, religiosa, convicção política ou qualquer outro assunto que não tenha relação com
o escopo de trabalho.
• Deve ser evitado o envio de mensagens simultâneas a todos os usuários da rede.
• Aplicativos de comunicação devem ser utilizados sempre baseados no bom senso e de acordo com os preceitos legais.
• Produtos resultantes do trabalho de usuários autorizados (coleta de dados e documentos, sistema, metodologia, resultados, dentre outros) são propriedade da Trust Payments. Em caso de extinção ou rescisão de contrato, esses usuários devem devolver todas as informações confidenciais geradas e manuseadas em decorrência da prestação dos serviços, ou emitir declaração de destruição.
• Todos os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis. Documentos não devem ser abandonados após a sua impressão ou cópia.
• Seguindo a melhor orientação legal, a Trust Payments reserva-se ao direito de monitorar equipamentos, correio eletrônico e ferramentas de comunicação corporativas sempre que necessário, independentemente de comunicação e/ou autorização prévia do usuário.
3.6. PROCESSAMENTO, ARMAZENAMENTO E COMPUTAÇÃO EM NUVEM
3.6.1. Em linha com a resolução BCB 85° de 8 de abril de 2021, a Trust Payments deve manter em sua operação as premissas definidas por esta política, assim como os controles para assegurar a confidencialidade, a integridade e disponibilidade dos dados e dos sistemas suporte em conformidade com a estrutura de negócios, perfil de risco e natureza das atividades da Trust Payments.
3.6.2. Aplicativos de comunicação devem ser utilizados sempre baseados no bom senso e de acordo com os preceitos legais.
3.7. TRATAMENTO DE EVENTOS DE SEGURANÇA DA INFORMAÇÃO
3.7.1. A responsabilidade da comunicação para as áreas competentes é atribuída a todos colaboradores da Trust Payments.
3.7.2. Toda a comunicação de eventos que impactem negativamente as premissas da segurança de informação deverão ser comunicadas oportunamente à área Segurança da Informação.
3.7.3. Cabe à área de Segurança da Informação a coleta dos dados e evidências dos eventos que impactam negativamente a segurança da informação da Trust Payments.
3.7.4. Todas as evidências coletadas devem ser devidamente arquivadas e direcionadas à área de Compliance da Trust Payments por meio magnético e/ou em diretório com restrição de acessos.
3.7.5. A área de Segurança da Informação deve aplicar a análise com base na causa-raiz do evento, assim como documentar em relatório internos, as características do evento.
3.7.6. Não será permitida a realização da análise por parte dos agentes envolvidos
ou por quem identificou o evento.
3.7.7. Deverá ser destacado nos relatórios internos o plano de ação para mitigar o seventos identificados pela entidade, assim como as datas para a implementação das melhorias por parte das áreas envolvidas.
3.7.8. Cabe à área da Segurança da Informação realizar o monitoramento da implantação dos planos de ação e à área de Compliance certificar sua eficácia.
3.7.9. Todas as análises de eventos deverão ser suportadas por classificação de acordo com o impacto esperado, conforme a seguir:
• Alto (Impacto Grave): Evento que afeta sistemas relevantes ou informações críticas, com potencial para gerar impacto negativo sobre a receita ou clientes ou que afete continuidade dos negócios da Inter Payment.
• Médio (Impacto Significativo): Evento que afeta sistemas ou informações não críticas, sem impacto negativo à receita ou clientes, decorrente de erros não intencionais ou fragilidade nos processos.
• Baixo (Impacto Mínimo): Possível evento, sistemas não críticos, investigações de incidentes ou de colaboradores, investigações de longo prazo envolvendo pesquisa extensa e/ou trabalho forense detalhado.
3.7.10. São classificados como eventos negativos ou adversos:
• Qualquer evento adverso confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes, bem como estruturas físicas e lógicas, que comprometa a confidencialidade, a integridade e a disponibilidade do ambiente da organização.
• Indisponibilidade do ambiente tecnológico por ataques maliciosos.
• Vazamento de informações confidenciais ou dados pessoais.
• Tentativas internas ou externas de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI.
• Violação da política de segurança (ex: compartilhamento de senhas).
• Uso ou acesso não autorizado a um sistema.
• Modificações em um sistema, sem conhecimento/consentimento prévio.
3.8. VIOLAÇÕES À POLÍTICA
3.8.1. Violações de segurança devem ser informadas à área de Segurança da Informação.
3.8.2. Toda violação ou desvio será devidamente investigado para a determinação das medidas necessárias, visando a correção da falha ou reestruturação de processos.
3.8.3. Abaixo algumas violações que podem resultar em sanções administrativas, cíveis e criminais:
• Uso ilegal de software.
• Introdução de vírus ou programa malicioso (intencional ou não).
• Tentativas de acesso não autorizados a dados e sistemas.
• Compartilhamento de informações confidenciais/sensíveis do negócio.
• Divulgação de informações de clientes, parceiros ou operações contratadas.
3.8.4. A não-conformidade com as diretrizes desta política e a violação de normas derivadas sujeita os infratores às penas de responsabilidade civil e criminal nos termos previstos em lei, sem prejuízo da imediata rescisão do contrato de prestação de serviços do colaborador envolvido.
3.8.5. É de responsabilidade do usuário conhecer e cumprir a legislação, em especial a obrigação de sigilo prevista no artigo 5º, XII, da Constituição Federal, a Lei n. 12.737/2012 (tipificação criminal de delitos informáticos) e as disposições do Marco Civil da Internet (Lei n. 12.965/2014), entre outras.
