POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO

 

1. Objetivo deste documento

 

Esta Política visa descrever as diretrizes, atribuições e regras que devem ser observados para a proteção dos ativos tangíveis e intangíveis da Instituição, dos clientes e interesses do público em geral, visando assegurar que todas as informações processadas, transferidas e/ou armazenadas recebam a proteção e o tratamento adequado.

2. Público ? Alvo

 

Esta Política é aplicável a todos os colaboradores, gestores, fornecedores e prestadores de serviço da Pagsmile, abrangendo todos os dados, inclusive os do ambiente PCI-DSS (Payment Card Industry - Data Security Standard), por meio de programas de capacitação, prestação de informações à clientes e usuários sobre precaução na utilização de produtos e serviços e o comprometimento da Alta Administração com a melhoria contínua dos procedimentos.

3. Base Normativa

 

Circular BCB Nº 3.909/2018

Resolução CMN Nº 4.658/2018

4. Estrutura

 

A área de Segurança da Informação, sob gestão do Diretor Presidente, é responsável por zelar pela aplicação das diretrizes desta política.

5. Atribuições 

 

A Diretoria deve zelar pela aprovação do acesso, compartilhamento, divulgação e manutenção do sigilo das informações, para que seja vedada a divulgação de quaisquer tipos de informações para terceiros, sem a prévia autorização.

 

A área de Segurança da Informação é responsável pela criação de controles e processos, para a melhoria contínua da proteção das informações; por disseminar a cultura de segurança da informação; por garantir o efetivo cumprimento desta política, e o uso ético, seguro e legal das informações; por orientar e informar os colaboradores, fornecedores e prestadores de serviços para que comuniquem sempre que identificarem possíveis violações de segurança dos dados; por zelar pela guarda e proteção das informações; pela não divulgação de informações sem a devida aprovação; e por zelar para que os direitos e as permissões de uso concedidas sejam respeitados.

 

A área de Compliance é responsável por orientar a área de Segurança da Informação e demais áreas sobre os normativos aplicáveis ao tema, e também é responsável pela divulgação desta Política.

 

A Diretoria e a Área de Compliance devem ser comunicadas sempre que houver qualquer incidente de segurança ou suspeita.

 

A área de Recursos Humanos deve observar a segurança da informação nos processos de contratação, encerramento e modificação das atividades dos colaboradores.

6. Compromisso de Sigilo e Confidencialidade 

 

Terceiros e parceiros deverão assumir o dever de sigilo e confidencialidade, por si, seus empregados, prepostos ou terceiros sob suas ordens e efetuar uso, com prévia autorização, dos dados e informações da Pagsmile ou seus clientes, gestores e colaboradores, seja qual for o meio de divulgação destes dados.

7. Contratação de Fornecedores e Prestadores de Serviços

 

A contratação de fornecedores deverá observar a idoneidade, conduta social, ambiental e ética, e o compromisso pela segurança de dados e informações.

 

A área de Segurança da Informação deve zelar pela segurança dos processos, serviços e sistemas em ambiente de Cloud Computing, abrangendo todas as informações processadas, transferidas ou armazenadas.

8. Diretrizes de Segurança para Colaboradores e Prestadores de serviços

 

 Uso do e-mail e Internet 

 

O e-mail corporativo deve ser utilizado apenas para fins profissionais e em atenção aos interesses da empresa. A Pagsmile reserva o direito de monitorar e auditar, sem aviso prévio, as informações acessadas e manipuladas, podendo utilizar tais evidências para detectar e analisar incidentes. Essa medida visa preservar os direitos da empresa e prover um ambiente seguro e controlado aos colaboradores, fornecedores e prestadores de serviço.

 

5.2. Uso de Rede Sociais

Não é permitido ao colaborador comentar ou responder em nome da empresa, divulgar ou compartilhar informações, fotos, vídeos e gravações no ambiente de trabalho ou em eventos corporativos, que exibam documentos e informações internas, exceto quando expressamente autorizado.

 

 

9. Proteção contra Vírus e Softwares Maliciosos

 

Servidores, estações de trabalho ou notebook, deverão ser protegidos por software de antimalware homologado pela Pagsmile. A área de Segurança da Informação tem autonomia para, caso julguem necessário, tomar medidas pró-ativas para combater ou prevenir a disseminação de agentes maliciosos.

10.  Cópia de Segurança (backup)

 

A área de Segurança da Informação deverá zelar pelo controle de backup, estabelecendo dados a serem copiados e a periodicidade de retenção, a fim de garantir a recuperação em caso de falha ou desastre e ainda atender requisitos legais e fiscais. O armazenamento deverá ser efetuado com a identificação de cada mídia, data do backup e tempo de retenção.

11.  Criptografia

 

As informações confidenciais internamente tratadas são armazenadas e trafegadas de forma criptografada, conforme nível de criticidade e confidencialidade definidos nos documentos de classificação da informação.

12.  Monitoramento

 

Com objetivo de identificar atividades não autorizadas, os sistemas e recursos de rede são monitorados e os eventos de segurança analisados.

13.  Controle de Acesso

 

Os acessos às informações são controlados, monitorados e restringidos à menor permissão possível, e cancelados e/ou revogados conforme processo de revisão periódica ou ao término do contrato de trabalho ou prestação de serviço.

 

O login e senha fornecidos são de uso pessoal, intransferível, limitados às finalidade designada, de acordo com suas funções e responsabilidades.

 

Toda violação de acesso identificada deve ser registrada e analisada pelas áreas responsáveis.

14.  Aquisição, Desenvolvimento e Manutenção dos Sistemas de Informação

 

Aquisições, desenvolvimentos ou manutenções de aplicações deverão observar os requisitos de segurança, e o processo deverá compreender controles a serem implementados, monitorados, revisados e aprimorados.

 

Toda alteração em ambiente de produção deverá ser planejada e homologada.

15.  Rastreabilidade da informação

 

Toda informação classificada como confidencial, sensível ou restrita deve possuir logs para monitorar o acesso, a inclusão e a alteração dessas informações.

16. Classificação e tratamento da informação

 

As informações criadas internamente ou recebidas de fontes externas, independentemente do formato, devem ser classificadas conforme sua criticidade, o custo financeiro e de risco de imagem da exposição dessas informações.

17. Gestão de Vulnerabilidades 

 

Deverão ser adotadas medidas para correção de fragilidade das aplicações de hardenings e patches de segurança, e periodicamente revistas pela área de Segurança da Informação. Deverão ser consideradas como críticas, patches e correções de segurança para vulnerabilidades, considerando a seguinte classificação: a) urgente; b) crítica; c) alta.

18. Respostas a Incidentes de Segurança da Informação

 

O processo de resposta aos incidentes de segurança compreende: detecção, triagem e análise, mitigação, investigação, resposta e educação. A resposta aos incidentes deverá ser tratada de forma a limitar os danos e minimizar o tempo e os custos de recuperação.

 

Todo incidente de segurança da informação deve ser reportado para análise da área de Segurança da Informação.

19.  Gestão de Continuidade de Negócios

 

A Pagsmile deverá manter um plano de continuidade de negócios relativo a segurança da informação e operação, para minimizar os impactos e recuperar perdas de ativos da informação, após um incidente crítico, com base em seu processo de BIA ?C (Business Impact Analysis).

 

Serão realizados testes de continuidade de negócio, a fim de garantir a confidencialidade, integridade e disponibilidade dos serviços em Cloud Computing. As áreas de Tecnologia e Segurança da Informação deverão garantir a continuidade e recuperação nos serviços em Cloud Computing, e o gerenciamento das interrupções que possam ocorrer.

20.  Disseminação da Cultura de Segurança Cibernética

 

A Pagsmile promoverá periodicamente treinamento de conscientização de segurança aos colaboradores.

 

21.  Penalidades

 

As violações das Políticas e procedimentos de segurança, após apuração e constatação de responsabilidades, poderão desencadear ações disciplinares, rescisão de contrato e medidas administrativas e judiciais cabíveis.

22. Comunicação

 

Quaisquer indícios de irregularidades no cumprimento das determinações desta Política serão alvo de investigação interna e devem ser comunicadas imediatamente à área de Segurança da Informação.

23. Vigência

 

Esta Política deve ser revisada e aprovada pela Diretoria, anualmente ou em prazo inferior no caso de alteração na legislação aplicável ou se houver alguma alteração das práticas de negócios da Pagsmile que justifiquem a atualização desta Política. A Política deverá ser divulgada internamente e estar disponível para consulta.

 

 

 

 

 

Área Responsável:

Segurança da Informação

Revisado e Aprovado por:

Área de Compliance

Versão

1.0

Data da última atualização:

23/03/2021