Faça uma
simulação

Resumo da Política de Segurança Cibernética e da Informação

OBJETIVO

Este documento estabelece os princípios e práticas adotados pela Instituição para garantir a confidencialidade, integridade e disponibilidade dos dados, em conformidade com a Resolução nº 4.893/21 do Banco Central do Brasil, a Lei Geral de Proteção de Dados (Lei nº 13.709/18) e demais regulamentações aplicáveis. Nosso objetivo é prevenir, detectar e mitigar incidentes de segurança, assegurando a proteção dos direitos fundamentais à privacidade e à liberdade dos indivíduos, além de garantir a segurança dos sistemas e dados controlados pela Instituição.

PÚBLICO-ALVO

A Política de Segurança Cibernética e da Informação se aplica a todos os acionistas, administradores, correspondentes, colaboradores, prestadores de serviço, clientes, parceiros e quaisquer outros que tenham ou venham a ter acesso aos dados e sistemas de informação controlados pela Instituição.

DEFINIÇÕES

Para os fins da Política de Segurança Cibernética e da Informação, o termo “informação” inclui não apenas dados armazenados em sistemas, mas também conteúdos impressos ou comunicados verbalmente, tanto no ambiente interno quanto externo.

Os serviços, procedimentos e processos relacionados podem ser terceirizados, total ou parcialmente, para empresas de confiança, que devem estar cientes e seguir a Política de Segurança Cibernética e da Informação da Stara Financeira S.A. – CFI.

CICLO DE VIDA DA INFORMAÇÃO

A informação deve ser protegida em todas as etapas de seu ciclo de vida: geração, manuseio, armazenamento, transporte e descarte, conforme os princípios e diretrizes da Política de Segurança Cibernética e da Informação da Instituição.

PRINCÍPIOS

As ações da instituição regem-se pelos seguintes princípios:

  1. Confidencialidade: Acesso à informação permitido apenas a pessoas autorizadas, protegendo os dados contra acessos não autorizados.
  2. Disponibilidade: Garantia de que as informações estarão acessíveis para pessoas autorizadas sempre que necessário, prevenindo interrupções nas operações e garantindo cópias de segurança.
  3. Integridade: Garantia de que as informações serão mantidas precisas e não sofrerão alterações não autorizadas durante seu armazenamento ou transmissão.

 CLASSIFICAÇÃO DOS DADOS

As informações da Instituição são classificadas para garantir a aplicação das proteções necessárias, conforme os seguintes níveis:

  • Dado não pessoal: Público, Interno, Confidencial.
  • Dado pessoal: Não sensível, Sensível.

A divulgação de dados é proibida, exceto quando solicitada por órgãos competentes ou por decisão judicial. Dados sensíveis recebem proteção rigorosa, com rastreamento e controle de acesso adequados à sensibilidade das informações.

DIRETRIZES

A Segurança Cibernética na Instituição segue as seguintes diretrizes principais:

a) Informações devem ser tratadas com ética e confidencialidade, conforme a legislação vigente.

b) Dados devem ser usados de forma transparente e apenas para as finalidades coletadas.

c) Controles como autenticação, criptografia, prevenção de intrusões e testes regulares são aplicados para proteger informações

d) Acesso às informações é restrito a indivíduos autorizados, com responsabilidade pessoal pelo uso de credenciais.

Incidentes de segurança são tratados de forma integral, com investigação, correção e comunicação às autoridades quando necessário.

A Instituição adota planos contínuos de continuidade de negócios e recuperação de desastres para garantir a disponibilidade das operações.

CRITÉRIOS DE DECISÃO QUANTO À CONTRATAÇÃO DE EMPRESAS E PARCEIROS PARA PRESTAÇÃO DE SERVIÇOS, INCLUSIVE, PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

Ao contratar empresas e parceiros para prestação de serviços, a Instituição considera:

a) A contribuição do serviço para o negócio, levando em conta a criticidade e a sensibilidade dos dados.

b) A capacidade do prestador de cumprir a legislação e garantir a confidencialidade, integridade e disponibilidade dos dados.

c) A relevância dos serviços de processamento e armazenamento de dados, avaliando riscos, criticidade e sensibilidade das informações.

d) A aderência do prestador a certificações exigidas e o acesso a relatórios de auditoria especializada.

e) A segregação adequada dos dados dos clientes e a qualidade dos controles de acesso.

f) Irá coletar e analisar a documentação pertinente, conforme descrito nos procedimentos destinados ao conhecimento de colaboradores (KYE) e parceiros (KYP).

O responsável pela decisão quanto à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, a ser devidamente documentada e arquivada na Instituição, deverá considerar a relevância do serviço a ser contratado, além dos seguintes critérios durante o processo decisório:

a) A representatividade nacional e internacional da confiabilidade do fornecedor em assegurar a confidencialidade, a integridade e a disponibilidade dos dados da instituição ou por ela controlados e dos sistemas de informação por ela utilizados;

b) A capacidade do fornecedor de cumprir com as normas legais, regulamentares e contratuais ou arcar com indenizações por eventuais danos por ele causados ou por eventuais descumprimentos contratuais;

c) A existência de acreditação e certificação da segurança oferecida pelo fornecedor, mediante avaliação realizada por órgãos governamentais ou por órgãos independentes não governamentais.

CENÁRIOS DE INCIDENTES CONSIDERADOS NOS TESTES DE CONTINUIDADE DE NEGÓCIOS

 Nos testes de continuidade de negócios, a Instituição considera cenários de incidentes que possam comprometer a confidencialidade, integridade e disponibilidade dos dados e sistemas. Os principais cenários incluem:

a) Desastres naturais ou causados pelo homem.

b) Danos físicos a instalações ou equipamentos críticos.

c) Indisponibilidade de recursos tecnológicos, como servidores e redes.

d) Incidentes de segurança cibernética, como vazamento de dados ou fraudes eletrônicas.

e) Falhas no fornecimento de energia ou ausência de colaboradores chave.

GESTÃO DE TERCEIROS

Empresas terceirizadas que tenham acesso aos dados ou sistemas da Instituição devem seguir rigorosamente as práticas de segurança estabelecidas. Os contratos devem conter cláusulas de confidencialidade, assegurando que os terceiros

a) Protejam a confidencialidade das informações.

b) Sigam as diretrizes da política de segurança e a legislação aplicável, como a Lei Geral de Proteção de Dados (LGPD) e a Resolução nº 4.893/21.

c) Utilizem os dados e sistemas apenas para os fins previstos no contrato.

d) Reportem imediatamente qualquer violação de segurança ou não conformidade.

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

  1. A indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
  2. A adoção de medidas de segurança para a transmissão e armazenamento dos dados;
  3. A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
  4. A obrigatoriedade, em caso de extinção do contrato, de:
  • Transferência dos dados ao novo prestador de serviços ou à Instituição contratante;
  • Exclusão dos dados pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;
  1. O acesso da Instituição contratante a:
  • Informações fornecidas pela empresa contratada, visando a verificar o cumprimento dessas obrigações;
  • Informações relativas às certificações e aos relatórios de auditoria especializada; e
  • Informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

2.A obrigação de a empresa contratada notificar a Instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

  1. A permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;
  2. A adoção de medidas pela Instituição contratante, em decorrência de determinação do Banco Central do Brasil; e
  3. A obrigação de a empresa contratada manter a Instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Os contratos devem prever, ainda, cláusulas específicas para o caso de decretação de regime de resolução da Instituição contratante pelo Banco Central do Brasil:

  1. A obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados anteriormente no item “g”, que estejam em poder da empresa contratada; e
  2. A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos 30 (trinta) dias de antecedência da data prevista para a interrupção, observado que:
  • A empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de 30 (trinta) dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
  • A notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da contratante.

CULTURA DE SEGURANÇA CIBERNÉTICA

A instituição promoverá a disseminação dos princípios e diretrizes da Segurança Cibernética por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de segurança e realizará avaliação periódica dos colaboradores.

VALIDAÇÃO E APROVAÇÃO DO DOCUMENTO

 A administração da Stara Financeira S.A. – CFI validou e aprovou a referida política, em sua totalidade, o que faz surtir efeitos desde sua emissão.

 Não-Me-Toque/RS, 27 de janeiro de 2025.

Utilizamos cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com a nossa política de privacidade e política de cookies, e ao continuar navegando, você concorda com estas condições.
Prosseguir