Resumo da Política de Segurança Cibernética e da Informação
OBJETIVO
Em atenção à Resolução nº 4.893/21 do Banco Central do Brasil, à Lei nº 13.709/18 e demais dispositivos regulamentáveis relacionados ao assunto, este documento estabelece os princípios, conceitos, valores e práticas a serem adotados visando assegurar a confidencialidade, a integridade e a disponibilidade dos dados da Instituição ou por ela controlados e dos sistemas de informação utilizados, além de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados à segurança da informação, ao ambiente cibernético e proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
PÚBLICO-ALVO
A Política de Segurança Cibernética e da Informação é dirigida a todos os acionistas, administradores, correspondentes, colaboradores, prestadores de serviço ou quaisquer outros que tenham ou venham a ter acesso aos dados e sistemas de informação controlados pela Instituição.
DEFINIÇÕES
Além daquilo que está armazenado nos computadores, a informação, para fins da Política de Segurança Cibernética e da Informação abrange, também, mas não somente, conteúdos impressos e repassados através de conversas nos ambientes interno e externo.
Os serviços, procedimentos e processos descritos na Política de Segurança Cibernética e da Informação podem ser terceirizados no todo ou em parte por empresas de total confiança e credibilidade, que deverão conhecer e respeitar a Política de Segurança Cibernética e da Informação da Stara Financeira S.A. – CFI.
CICLO DE VIDA DA INFORMAÇÃO
A informação deve receber proteção adequada em observância aos princípios e diretrizes da Política de Segurança Cibernética e da Informação da Instituição em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.
PRINCÍPIOS
As ações da instituição regem-se pelos seguintes princípios:
- Confidencialidade: limitação do acesso à informação, sendo permitido somente às pessoas autorizadas e em circunstâncias que se apresentem efetivamente necessário, protegendo informações que devem ser acessíveis apenas por um determinado grupo de usuários contra acessos não autorizados.
- Disponibilidade: garantia de acesso das pessoas devidamente autorizadas à informação sempre que necessário, prevenindo interrupções das operações da Instituição por meio de um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança.
- Integridade: garantia da veracidade, fidelidade e integridade da informação e dos métodos de seu processamento e tratamento, pois esta não deve ser alterada enquanto está sendo transferida ou armazenada, impedindo que fique exposta ao manuseio por uma pessoa não autorizada e impedindo alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.
CLASSIFICAÇÃO DOS DADOS
As informações e os dados sob responsabilidade da instituição serão classificados para adequação das estruturas organizacional e operacional aos princípios e às diretrizes da Política de Segurança Cibernética e da Informação.
A referida classificação se dará, considerando a relevância, a confidencialidade e as proteções necessárias, nos seguintes níveis e subníveis:
- Dado não pessoal: Público; Interno; Confidencial.
- Dado pessoal: não sensível; sensível.
A divulgação desses dados é proibida, salvo se solicitada por órgãos fiscalizadores competentes, tais como Banco Central do Brasil, Receita Federal, Comissão de Valores Mobiliários, ou por decisão judicial.
Os dados sensíveis deverão ser protegidos de forma mais rígida, incluindo iniciativas de rastreabilidade da informação e controle de acesso diferenciado, devendo ser compatível com as funções desempenhadas e com a sensibilidade das informações.
DIRETRIZES
A Segurança Cibernética na Financeira seguirá as seguintes diretrizes:
a) As informações da Instituição, dos clientes e do público em geral devem ser tratadas de forma ética, sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida;
b) As informações e os dados devem ser utilizados de forma transparente e apenas para as finalidades para as quais foram coletadas;
c) Os procedimentos e os controles deverão abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações;
d) A identificação daqueles que têm acesso às informações da Instituição deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
e) Somente deverá ser concedido acesso às informações e recursos de informação imprescindíveis para o pleno desempenho das atividades do indivíduo autorizado;
f) A senha é utilizada como assinatura eletrônica, sendo pessoal e intransferível, e deve ser mantida secreta, sendo proibido seu compartilhamento;
g) Devem ser reportados à área responsável, os riscos às informações e eventuais fatos ou ocorrências que possam colocar em risco tais informações, que será responsável pelo registro e controle dos efeitos de incidentes relevantes;
h) Tratar integralmente incidentes de segurança da informação, garantindo que eles sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas;
i) Os parâmetros a serem utilizados na avaliação da relevância dos incidentes serão frequência e Impacto;
j) Garantir a continuidade do negócio através da adoção, implementação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;
k) As responsabilidades quanto à Segurança Cibernética devem ser amplamente divulgadas a todos aqueles considerados público-alvo, que devem entender e assegurar o cumprimento da Política de Segurança Cibernética e da Informação;
l) A Instituição disponibilizará no seu site informações de boas práticas a clientes sobre precauções na utilização de produtos e serviços financeiros;
m) Os recursos que permitem o acesso à informação são autorizados e disponibilizados exclusivamente para o usuário desempenhar suas funções na Instituição. Somente se houver permissão formal poderão ser utilizados tais recursos para outros fins;
n) Os conteúdos acessados e transmitidos através dos recursos de tecnologia da Instituição devem ser legais, inclusive de acordo com o Código de Ética e Conduta da instituição, e devem contribuir para as atividades profissionais do usuário;
o) Os recursos de tecnologia da Instituição, disponibilizados para os usuários, é de uso pessoal e intransferível e não podem ser repassados para outra pessoa interna ou externa à organização, podendo ser examinado, auditado ou verificado pela Instituição;
p) Cada usuário é responsável pelo uso dos recursos que lhe foram fisicamente entregues, e estão sob sua custódia, garantindo a conservação, guarda e legalidade dos programas (softwares) instalados;
q) O usuário é responsável por cumprir com as normas estabelecidas na Política de Segurança Cibernética e da Informação e atentar para os perigos do uso de programas não homologados, para a necessidade de manter o programa de antivírus instalado, atualizado e ativo no equipamento computacional e verificar, com o programa de antivírus, os arquivos recebidos por correio eletrônico ou por outro meio, como pen-drive, logo após o seu recebimento;
r) Os Diretores e Supervisores são responsáveis por garantir que todos estejam cientes das responsabilidades atribuídas a eles pela Política de Segurança Cibernética e da Informação, assegurar que as normas estabelecidas sejam comunicadas e compreendidas por todas as pessoas envolvidas, zelar pelo cumprimento, e comunicar à área responsável a necessidade de revisão e atualização do conteúdo estabelecido na Política de Segurança Cibernética e da Informação;
s) O Compliance da instituição alertará todos os usuários que a instalação ou utilização de softwares não autorizados constitui em crime contra a propriedade intelectual, de acordo com a Lei nº 9.609/1998, sujeitando os infratores à pena de detenção e multa. A Stara Financeira não se responsabiliza por qualquer ação individual que esteja em desacordo com a Lei mencionada acima;
t) Melhorar continuamente a Segurança Cibernética e da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.
CRITÉRIOS DE DECISÃO QUANTO À CONTRATAÇÃO DE EMPRESAS E PARCEIROS PARA PRESTAÇÃO DE SERVIÇOS, INCLUSIVE, PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM
Em linhas gerais, a instituição estabelece como critérios de decisão quanto à contratação de empresas e parceiros para prestação de serviços, no país ou no exterior:
- A potencial contribuição do serviço para o posicionamento do negócio, considerando a criticidade do serviço e a sensibilidade das informações e dados a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação dos dados;
- A relação do serviço com a estratégia do negócio;
- Capacidade da contratada de assegurar à instituição contratante o cumprimento da legislação e da regulamentação em vigor, bem como a capacidade da contratada de assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Para os casos de contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, deve ser avaliada a relevância do serviço a ser contratado, considerando:
- Os riscos aos quais a Instituição estará exposta;
- A criticidade do serviço;
- A sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado;
- A classificação da informação a ser tratada pelo prestador.
Antes da contratação deve ser considerada e documentada a verificação da capacidade do potencial prestador de serviço de assegurar:
a) O cumprimento da legislação e da regulamentação em vigor;
b) O acesso da Instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
c) A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
d) A sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;
e) O acesso da Instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
f) O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
g) A identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e
h) A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da Instituição.
O responsável pela decisão quanto à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, a ser devidamente documentada e arquivada na Instituição, deverá considerar a relevância do serviço a ser contratado, além dos seguintes critérios durante o processo decisório:
- A representatividade nacional e internacional da confiabilidade do fornecedor em assegurar a confidencialidade, a integridade e a disponibilidade dos dados da instituição ou por ela controlados e dos sistemas de informação por ela utilizados;
- A capacidade do fornecedor de cumprir com as normas legais, regulamentares e contratuais ou arcar com indenizações por eventuais danos por ele causados ou por eventuais descumprimentos contratuais;
- A existência de acreditação e certificação da segurança oferecida pelo fornecedor, mediante avaliação realizada por órgãos governamentais ou por órgãos independentes não governamentais.
CENÁRIOS DE INCIDENTES CONSIDERADOS NOS TESTES DE CONTINUIDADE DE NEGÓCIOS
Deverão ser elaborados, no âmbito dos testes de continuidade de negócios, cenários de incidentes que impliquem em dano ou perigo de dano à confidencialidade, à integridade e à disponibilidade dos dados e dos sistemas de informação utilizados e que tenham ou possam ter a capacidade de causar interrupção nos processos de negócios da instituição.
Serão consideradas para a elaboração desses cenários as ausências de ativos humanos ou tecnológicos causadas por:
- desastres e catástrofes, naturais ou não;
- danos físicos relevantes a instalações ou equipamentos críticos, intencionais ou não;
- incidentes devido a indisponibilidade de recursos computacionais de modo geral (servidores, banco de dados, servidores de aplicação, servidores de arquivo, servidores de e-mail, ativos de rede, entre outros);
- Incidentes relacionados à segurança cibernética e da informação (incluindo vazamento de dados/informações, quebra da integridade dos dados, via alteração ou injeção fraudulenta de dados/informações em sistemas e/ou bases de dados, fraudes eletrônicas, incluindo a realização de transações fraudulentas em sistemas de informação da instituição);
- falhas no fornecimento de energia elétrica; ausência de colaboradores por greves; ausência de colaboradores chave por licença médica ou maternidade/ paternidade.
GESTÃO DE TERCEIROS
Devem ser consideradas para fins de aplicação do disposto nesta política aquelas empresas prestadoras de serviços a terceiros que tiverem acesso:
- Aos dados da Instituição, ou por ela controlados; ou
- Aos sistemas por ela utilizados; ou
- Aos ambientes físicos ou tecnológicos, que possam ser utilizados para acessar aos dados e sistemas de que tratam os itens “a” e “b”.
Os contratos com empresas prestadoras de serviços deverão conter cláusulas de confidencialidade e responsabilidades entre as partes, bem como cláusulas que garantam que seus profissionais adotem as seguintes práticas:
- Protejam e zelem pelo sigilo das informações da Instituição;
- Tenham conhecimento e cumpram a política;
- Cumpram as leis e normas que regulamentam a propriedade intelectual e a proteção de dados, especialmente a Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais) e a Resolução CMN nº 893/21;
- Utilizem os dados da Instituição, ou por ela controlados, os sistemas por ela utilizados, bem como os ambientes físico e tecnológico da Instituição, apenas para as finalidades objeto do contrato de prestação de serviço;
- Comuniquem imediatamente qualquer violação desta Política e/ou outras Normas.
Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:
- A indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
- A adoção de medidas de segurança para a transmissão e armazenamento dos dados;
- A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
- A obrigatoriedade, em caso de extinção do contrato, de:
Transferência dos dados ao novo prestador de serviços ou à Instituição contratante;
Exclusão dos dados pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos; - O acesso da Instituição contratante a:
Informações fornecidas pela empresa contratada, visando a verificar o cumprimento dessas obrigações;
Informações relativas às certificações e aos relatórios de auditoria especializada; e
Informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados; - A obrigação de a empresa contratada notificar a Instituição contratante sobre a subcontratação de serviços relevantes para a instituição;
- A permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;
- A adoção de medidas pela Instituição contratante, em decorrência de determinação do Banco Central do Brasil; e
- A obrigação de a empresa contratada manter a Instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
Os contratos devem prever, ainda, cláusulas específicas para o caso de decretação de regime de resolução da Instituição contratante pelo Banco Central do Brasil:
- A obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados anteriormente no item “g”, que estejam em poder da empresa contratada; e
- A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos 30 (trinta) dias de antecedência da data prevista para a interrupção, observado que:
- A empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de 30 (trinta) dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
- A notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da contratante.
CULTURA DE SEGURANÇA CIBERNÉTICA
A instituição promoverá a disseminação dos princípios e diretrizes da Segurança Cibernética por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de segurança e realizará avaliação periódica dos colaboradores.
VALIDAÇÃO E APROVAÇÃO DO DOCUMENTO
A administração da Stara Financeira S.A. – CFI validou e aprovou a referida política, em sua totalidade, o que faz surtir efeitos desde sua emissão.
Não-Me-Toque/RS, 01 de dezembro de 2023.