Faça uma
simulação

Resumo da Política de Segurança Cibernética e da Informação

OBJETIVO

A Política de Segurança Cibernética e da Informação da Stara Financeira tem como objetivo estabelecer diretrizes para a proteção de dados e a segurança dos sistemas da instituição, assegurando a prevenção e mitigação de incidentes cibernéticos, a continuidade dos negócios e a conformidade com a Resolução nº 4.893/21 do Banco Central do Brasil, a Lei Geral de Proteção de Dados (LGPD) e as melhores práticas de mercado.
A Política também visa garantir a proteção dos direitos de liberdade e privacidade dos titulares de dados e proporcionar um ambiente seguro para clientes, parceiros e demais públicos de relacionamento.

DIRETRIZES

As Diretrizes da Política de Segurança Cibernética estabelecem princípios gerais para promover um ambiente seguro e assegurar o cumprimento dos requisitos regulatórios, com base em critérios de risco, proporcionalidade e relevância. A Política prevê a realização de testes de continuidade de negócios considerando a criticidade dos impactos, a adoção de medidas de prevenção e resposta a incidentes, inclusive por prestadores de serviços, a classificação e avaliação de dados e incidentes, e o fortalecimento da cultura de segurança por meio de ações de conscientização e capacitação. Também contempla a comunicação orientativa a clientes e usuários, o compromisso da alta administração com a melhoria contínua dos controles de segurança e o compartilhamento tempestivo de informações sobre incidentes relevantes com autoridades e instituições do Sistema Financeiro Nacional, observados os requisitos legais e de confidencialidade aplicáveis.

PRINCÍPIOS

As ações da instituição regem-se pelos seguintes princípios:

  • Confidencialidade: Acesso à informação permitido apenas a pessoas autorizadas, protegendo os dados contra acessos não autorizados.
  • Disponibilidade: Garantia de que as informações estarão acessíveis para pessoas autorizadas sempre que necessário, prevenindo interrupções nas operações e garantindo cópias de segurança.
  • Integridade: Garantia de que as informações serão mantidas precisas e não sofrerão alterações não autorizadas durante seu armazenamento ou transmissão.

INFORMAÇÕES GERAIS

A presente Política está integrada ao Plano de Ação e Resposta a Incidentes e ao Plano de Continuidade de Negócios, tratando a Segurança Cibernética e da Informação como elementos essenciais para a continuidade das operações e a mitigação de riscos. Além disso, estabelece diretrizes para que colaboradores e prestadores de serviços atuem de forma consciente e responsável, prevendo monitoramento, auditorias e medidas de controle para assegurar conformidade regulatória e a proteção dos ativos de informação.

 CLASSIFICAÇÃO DOS DADOS

A Stara Financeira adota um processo estruturado de classificação de dados, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e com a Resolução nº 4.893/21 do Banco Central do Brasil, com o objetivo de proteger informações sensíveis e estratégicas, garantindo sua confidencialidade, integridade e disponibilidade. Os dados são classificados conforme o nível de impacto em caso de exposição (público, interno e confidencial) e, quando aplicável, são categorizados como dado pessoal, dado pessoal sensível ou dado anonimizado, de acordo com a legislação vigente. Para cada nível, são aplicados controles proporcionais, incluindo restrição de acesso, mecanismos de rastreabilidade e auditoria, criptografia, proteção de redes e rotinas de backup, assegurando a conformidade regulatória e a adequada proteção das informações.

PAPÉIS E RESPONSABILIDADES

A governança da segurança cibernética na Stara Financeira é estruturada de forma a garantir que todas as áreas envolvidas cumpram com suas responsabilidades de forma clara e eficaz. A política de segurança cibernética e da informação distribui papéis de acordo com as melhores práticas de governança estabelecidas pelo BACEN e outras normativas aplicáveis.

COMPROMISSOS LEGAIS

Em conformidade com a Lei nº 13.709/2018 (LGPD) e com a Resolução CMN nº 4.893/2021, a Stara Financeira estabelece, no âmbito de seus compromissos legais, os seguintes procedimentos:

  • A comunicação de incidentes de segurança cibernética à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central do Brasil e aos titulares dos dados, conforme aplicável;
  • Indicação de colaborador para atuar como “Encarregado pelo Tratamento de Dados Pessoais”, também conhecido por DPO (Data Protection Officer), o qual serve como canal de comunicação com titulares e autoridades, sendo responsável por orientar colaboradores e adotar providências relacionadas à proteção de dados pessoais;
  • A comunicação ao Banco Central do Brasil sobre a contratação de serviços relevantes de processamento, armazenamento de dados, computação em nuvem e conexão à Rede do Sistema Financeiro Nacional, assegurando transparência, rastreabilidade e conformidade regulatória.

CONFORMIDADE DE PRESTADORES DE SERVIÇO

A Stara Financeira exige que todos os prestadores de serviço que tenham acesso à informações sensíveis ou sistemas da empresa mantenham rigorosos padrões de segurança, alinhados com as políticas internas, a legislação vigente e as melhores práticas de mercado. Para garantir essa conformidade, são adotados os seguintes procedimentos:

  • Avaliação de Risco e Segurança Inicial: A Stara Financeira realiza análise criteriosa de segurança, incluindo avaliação de risco;
  • Acordo de Níveis de Serviço e Confidencialidade: Os prestadores de serviço devem assinar Acordos de Nível de Serviço (SLA) e Termos de Confidencialidade específicos;
  • Controles de Prevenção e Resposta a Incidentes: Os prestadores devem manter controles adequados de prevenção, detecção e tratamento de incidentes, compatíveis com os serviços prestados;
  • Responsabilidade pela Notificação de Incidentes: Prestadores de serviço devem reportar imediatamente incidentes de segurança ou eventos suspeitos que possam afetar a Stara Financeira, bem como cooperar com a investigação, mitigação e comunicação de incidentes;
  • Requisitos de Continuidade e Recuperação: Prestadores de serviços essenciais devem manter Plano de Continuidade de Negócios e Recuperação de Desastres, com testes periódicos para assegurar a resiliência dos serviços prestados.

GESTÃO DE PRESTADORES DE SERVIÇOS

A Stara Financeira adota práticas robustas de governança corporativa e de gestão para assegurar conformidade com normas de segurança e proteção de dados, garantindo que todos os prestadores atuem em alinhamento com os valores e diretrizes da instituição. Na gestão de prestadores de serviço, incluem-se os prestadores de serviço que tiverem acesso:

  • Aos dados da instituição ou dados por ela controlados;
  • Aos sistemas utilizados pela instituição;
  • Aos ambientes físicos ou tecnológicos que possam ser usados para acessar dados e sistemas conforme especificado nos itens acima.

No âmbito da gestão de prestadores de serviços, a Stara Financeira utiliza critérios de decisão quanto à contratação, os quais incluem contribuição para o posicionamento do negócio, alinhamento com a estratégia do negócio, capacidade técnica e conformidade do prestador e análise documental. Também, os contratos com os prestadores deverão incluir cláusulas específicas que assegurem confidencialidade, adesão às Políticas de Segurança da instituição, conformidade com a legislação, uso limitado de dados e sistemas e notificação de incidentes. Além disso, os prestadores contratados deverão seguir uma série de responsabilidades, dentre as quais se incluem o zelo pelo uso ético e seguro de dados e sistemas da instituição, a colaboração em iniciativas de melhoria contínua de segurança e a participação proativa em treinamentos de conscientização.

GESTÃO DE SERVIÇOS E COMPUTAÇÃO EM NUVEM

A gestão de serviços de computação em nuvem inclui:

  • Processamento de dados, armazenamento, infraestrutura de redes e outros recursos computacionais para execução de sistemas e aplicativos desenvolvidos ou adquiridos pela Stara Financeira;
  • Implantação e execução de aplicativos da instituição, usando recursos do prestador de serviços;
  • Execução remota de aplicativos via internet, utilizando a infraestrutura do prestador de serviço.

Na contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, a Stara Financeira adota práticas rigorosas de governança e gestão para assegurar a segurança, a disponibilidade e a conformidade regulatória. Dentre essas práticas, inclui-se a avaliação da relevância do serviço a ser contratado, a avaliação da capacidade do prestador de serviço, os critérios para decisão de contratação, a documentação de práticas de governança e gestão, as cláusulas contratuais obrigatórias, as cláusulas para regime de resolução e a comunicação da contratação ao Banco Central do Brasil.

PROCEDIMENTOS E CONTROLES

Para reduzir a vulnerabilidade a incidentes e atender aos objetivos de segurança cibernética, a Stara Financeira implementa os seguintes procedimentos e controles ao adotar novas tecnologias:

  • Plano de Ação e Resposta a Incidentes: diretrizes para garantir o tratamento adequado de incidentes que possam impactar ativos e serviços de informação ou recursos computacionais da Stara Financeira;
  • Autenticação: Procedimentos e controles para autenticação, para proteger o ambiente digital e garantir que apenas pessoas autorizadas acessem os recursos. • Prevenção, Detecção e Proteção contra Ameaças de Intrusão e Software Malicioso e Mecanismos de Proteção de Rede: A instituição adota uma abordagem abrangente para mecanismos de proteção de rede e dos dispositivos contra ameaças de intrusão e softwares maliciosos, utilizando tecnologias de detecção, prevenção e resposta automatizada.
  • Gestão de vulnerabilidades: A instituição adota um programa robusto de gestão de vulnerabilidades, com o objetivo de identificar, priorizar e corrigir vulnerabilidades em seus sistemas e redes de forma proativa e eficiente. O programa é composto por diversas práticas, cujo objetivo é mitigar riscos de ciberataques e proteger os ativos tecnológicos da empresa.
  • Segmentação da rede de computadores: A instituição adota a segmentação de rede para proteger os dados contra ataques cibernéticos e para controlar acessos. • Manutenção de cópias de segurança de dados e informações: A instituição possui procedimento de backup, garantindo a proteção e disponibilidade dos dados.
  • Plano de testes: A instituição realiza e documenta testes anuais para avaliar a eficácia dos controles de segurança cibernética. Dentre os testes, incluem-se o Pentest (Teste de Invasão) e testes de intrusão.
  • Ações de inteligência no ambiente cibernético: A instituição adota ações de inteligência no ambiente cibernético com a finalidade de prevenir ataques e incidentes, por meio de ferramenta que realiza o monitoramento contínuo da internet (web, deep web e dark web).
  • Prevenção de vazamento de informações: A instituição adota um conjunto de controles técnicos, físicos e administrativos destinados a impedir a exposição, extração, divulgação ou transferência não autorizada de informações, abrangendo dados corporativos, confidenciais e sensíveis.

POLÍTICAS DE TREINAMENTO E CONSCIENTIZAÇÃO

A instituição mantém um programa contínuo de treinamento e conscientização em segurança cibernética para os colaboradores e prestadores de serviço, em conformidade com a Resolução nº 4.893/21 do BACEN. O programa inclui um treinamento inicial, treinamento periódico, campanhas de conscientização e avaliações de eficácia.

SANÇÕES E PUNIÇÕES

A Stara Financeira adota medidas disciplinares proporcionais e adequadas em caso de violações às políticas de Segurança Cibernética e da Informação, em conformidade com a Resolução nº 4.893/21 do BACEN e demais regulamentações aplicáveis. As sanções são determinadas com base na gravidade da violação, podendo incluir orientação, advertência verbal ou escrita, suspensão e demissão. A instituição também poderá tomar medidas legais em caso de crimes cibernéticos ou infrações à LGPD.

MANUTENÇÃO DE DOCUMENTAÇÃO

Ficará à disposição do Banco Central do Brasil a Política de Segurança Cibernética e da Informação, bem como os documentos relativos ao Plano de Ação e Resposta a Incidentes, os relatórios anuais de que trata esta Política e demais dados, registros e informações relativas aos mecanismos de acompanhamento e de controle da implementação e da efetividade deles, bem como outros documentos exigidos pela Resolução CMN nº 4.893/2021. A Stara Financeira manterá tais documentos em repositório seguro, garantindo que fiquem armazenados por no mínimo 5 anos.

REVISÃO

A Política de Segurança Cibernética e da Informação será revisada anualmente com a data-base em 31 de dezembro de cada ano e submetida à aprovação da Diretoria até 31 de março do ano seguinte. Além da revisão anual obrigatória, a política poderá ser revista de forma extraordinária nos seguintes cenários:

  • mudanças significativas na legislação aplicável;
  • alterações relevantes na estrutura organizacional processos de negócios ou tecnologia;
  • ocorrência de incidentes cibernéticos críticos que exijam revisão das políticas e controles; • identificação de novas ameaças ou vulnerabilidades significativas no ambiente cibernético.

DIVULGAÇÃO E DISPONIBILIZAÇÃO

A cada atualização anual, a Política será disponibilizada em repositório interno para leitura dos colaboradores. Além disso, será divulgado resumo da Política no site da instituição (starafinanceira.com.br), disponível ao público geral.

APROVAÇÃO

A Diretoria validou e aprovou integralmente esta Política, tornando-a vigente a partir de sua emissão. Ao aprovar esta Política, a Diretoria reafirma seu compromisso com a melhoria contínua dos processos de segurança cibernética, assegurando a conformidade com as normas legais e regulatórias aplicáveis. A Política visa garantir a confidencialidade, integridade e disponibilidade das informações e sistemas, prevenindo e mitigando incidentes e protegendo os direitos fundamentais de liberdade e privacidade. O Plano de Ação e Resposta a Incidentes foi formalizado em documento específico, o qual também foi aprovado pela Diretoria.

Não-Me-Toque/RS, 20 de Fevereiro de 2026

Utilizamos cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com a nossa política de privacidade e política de cookies, e ao continuar navegando, você concorda com estas condições.
Prosseguir