1. OBJETIVO

Em atenção à Resolução nº 4.658/18 do Banco Central do Brasil e à Lei n. 13.709/2018, este documento estabelece os princípios, conceitos, valores e práticas a serem adotados visando assegurar a confidencialidade, a integridade e a disponibilidade dos dados da instituição ou por ela controlados e dos sistemas de informação por ela utilizados, permitindo à instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados à segurança da informação e ao ambiente cibernético e proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.  

2. PÚBLICO-ALVO

Este documento é dirigido a todos os sócios, administradores, colaboradores, empregados ou não, menores aprendizes, estagiários, correspondentes, prestadores de serviços a terceiros e todas e quaisquer pessoas que tenham acesso aos dados da instituição ou por ela controlados e aos sistemas por ela utilizados.  

3. DOS PRINCÍPIOS

As ações da Instituição regem-se pelos seguintes princípios:

1. Confidencialidade: limitação do acesso à informação, sendo permitido o acesso somente às pessoas autorizadas e em circunstâncias que se apresentem efetivamente necessário o acesso, protegendo informações que devem ser acessíveis apenas por um determinado grupo de usuários contra acessos não autorizados.
2. Disponibilidade: garantia de acesso das pessoas devidamente autorizadas à informação sempre que o acesso for necessário, prevenindo interrupções das operações da Instituição por meio de um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança.

• Integridade: garantia da veracidade, fidelidade e integridade da informação e dos métodos de seu processamento e eventual tratamento da informação, pois esta não deve ser alterada enquanto está sendo transferida ou armazenada, impedindo que a informação fique exposta ao manuseio por uma pessoa não autorizada e impedindo alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.

4. DAS DIRETRIZES DE SEGURANÇA CIBERNÉTICA

A Segurança Cibernética na Instituição segue as seguintes diretrizes:

1. As informações da Instituição, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
2. As informações e os dados devem ser utilizados de forma transparente e apenas para as finalidades para as quais foram coletadas.

• Os procedimentos e os controles deverão abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

1. A identificação daqueles que têm acesso às informações da Instituição deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas.
2. Somente deve ter concedido acesso às informações e recursos de informação imprescindíveis para o pleno desempenho das suas atividades do indivíduo autorizado
3. A senha é utilizada como assinatura eletrônica, sendo pessoal e intransferível, e deve ser mantida secreta, sendo proibido seu compartilhamento.

• Devem ser reportados à área de Tecnologia da Informação da Instituição os riscos às informações, bem como eventuais fatos ou ocorrências que possam colocar em risco tais informações, que será responsável pelo registro e controle dos efeitos de incidentes relevantes.
• As responsabilidades quanto à Segurança Cibernética devem ser amplamente divulgadas a todos aqueles considerados público-alvo desta política, que devem entender e assegurar o cumprimento do aqui disposto.

4.1. Das diretrizes para tratamento da Informação

A informação deve receber proteção adequada em observância aos princípios e diretrizes da Segurança Cibernética e da Informação da Instituição em todo o seu ciclo de vida, que compreende: Geração, Manuseio, Armazenamento, Transporte e Descarte.  

4.2. Das diretrizes para classificação de dados e das informações

As informações e os dados sob responsabilidade da instituição serão classificados, conforme descrito no plano de ação, para adequação das estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética. A referida classificação se dará, considerando a relevância, a confidencialidade e as proteções necessárias, nos seguintes níveis e subníveis:  

1. Dado NÃO Pessoal: informação não relacionada a pessoa natural identificada ou identificável:

1. Público: aquele explicitamente aprovado por seu responsável para consulta irrestrita e cuja divulgação externa não compromete o negócio. Possuem caráter informativo geral e são direcionadas ao público em geral.
2. Interno: destinado ao uso interno da Instituição disponível para todos os usuários. O acesso às informações dessa natureza, ainda que não autorizado, não afetaria os negócios da Instituição, seus funcionários ou seus clientes, contudo é considerado incidente de segurança de baixa relevância e, portanto, seu responsável está sujeito às sanções cabíveis. Essas informações não exigem proteções especiais salvo aquelas entendidas como mínimas para impedir o acesso não autorizado.
3. Restrito: dado com acesso autorizado a apenas um usuário específico ou grupo de usuários. Diferem das do dado interno uma vez que que não está disponível para todos os usuários e eventual divulgação poderia afetar significativamente os negócios da Instituição, funcionários, terceiros, clientes ou outros.

1. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável:

13. Dado pessoal não sensível: dado pessoal que não seja classificado como sensível pelo art. 5º, inciso II, da Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais) e que não possa ser utilizado para fins discriminatórios, ilícitos ou abusivos;
14. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, dado protegido pelo sigilo das operações ativas e passivas e serviços prestados, na forma da Lei Complementar nº 105/01, ou dado que possa ser utilizado para fins discriminatórios, ilícitos ou abusivos, quando vinculados a uma pessoa natural.

A divulgação desses dados é proibida, salvo se solicitada por órgãos fiscalizadores competentes, tais como o Banco Central do Brasil, a Receita Federal do Brasil e a Comissão de Valores Mobiliários ou por decisão judicial. Os dados pessoais sensíveis deverão ser protegidos de forma mais rígida, incluindo inciativas de rastreabilidade da informação e controle de acesso diferenciado, devendo ser compatível com as funções desempenhadas e com a sensibilidade das informações. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações. Uma vez classificada a informação deve ser protegida e receber tratamento e armazenamento adequados.  

4.3. Das diretrizes para a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios:

Deverão ser elaborados, no âmbito dos testes de continuidade de negócios, cenários de incidentes que impliquem em dano ou perigo de dano à confiabilidade, à integridade, à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação utilizados pela instituição, que tenham ou possam ter a capacidade de causar interrupção nos processos de negócios da instituição. Deverão ser consideradas para a elaboração desses cenários a ausência de ativos, humanos ou tecnológicos, que assegurem à confiabilidade, à integridade, à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação utilizados considerando as ausências de ativos causadas por:

1. vazamento de dados;
2. indisponibilidade de recursos computacionais;

• problemas relacionados a software, banco de dados, servidor de aplicação, rede;

1. quebra da integridade dos dados, via alteração ou injeção fraudulenta de dados/informações em sistemas e/ou bases de dados;
2. fraudes eletrônicas, incluindo a realização de transações fraudulentas em sistemas de informação da instituição;
3. desastres ou catástrofes, naturais ou não;

• danos físicos relevantes a instalações ou equipamentos críticos, intencionais ou não;
• falhas no fornecimento de energia elétrica;

1. ausência de colaboradores.

4.4. Das diretrizes para a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços

Na elaboração de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços, considerando as características do serviço a ser prestado e níveis de complexidade, abrangência e precisão, deverão ser analisados cenários de incidentes que impliquem em dano ou perigo de dano à confiabilidade, à integridade, à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação utilizados. Uma vez identificados os possíveis cenários serão analisados os controles voltados à prevenção e ao tratamento dos incidentes já utilizados pela prestadora, e, caso necessário, deverão ser estabelecidos com a respectiva prestadora de serviços outros procedimentos e controles prevenção e ao tratamento dos incidentes a serem adotados, de forma a suprir as possíveis lacunas relativas à prevenção, detecção e redução da vulnerabilidade a incidentes relacionados com o ambiente cibernético.  

4.5. Das diretrizes para definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes

Os parâmetros a serem utilizados na avaliação da relevância dos incidentes deverão considerar a frequência e o impacto dos cenários de incidentes que impliquem em dano ou perigo de dano à confiabilidade, à integridade, à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação utilizados, que tenham ou possam ter a capacidade de causar interrupção nos processos de negócios da instituição.  

5. PROCEDIMENTOS E OS CONTROLES

Para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética, a instituição, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias, adotará os seguintes procedimentos e os controles:  

5.1. Autenticação

Em segurança da informação, a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema, normalmente, no momento em que ele requisita um log in (acesso) em um programa ou computador. A autenticação normalmente depende de um ou mais “fatores de autenticação”. A instituição utiliza mecanismos de autenticação baseada no conhecimento (com login e senha) em vários níveis, delimitando e controlando o acesso às informações. Todas as informações armazenadas estão protegidas por sistemas que exigem a autenticação prévia para o acesso. Os acessos à arquivos na rede também exigem autenticação central. A instituição adota políticas para atualização periódica de senhas, bem como adota padrões de força para as senhas. As senhas são armazenadas de forma criptografada na base de dados. Os seguintes acessos exigem autenticação:

• Sistema de e-mails;
• Consultas a base de dados (em todos os canais);
• Sistemas ERP;
• APIs de Integração;
• Diretórios e arquivos na rede;
• Estação de trabalho.

5.2. Criptografia

A criptografia é um conjunto de técnicas que transformam dados em códigos que só podem ser decifrados por quem tenha a chave de acesso. Assim, a criptografia garante a proteção dessas informações e permite que apenas quem tem direito cedido de acesso (autenticação) consigam visualizar seu conteúdo. Esta instituição classifica suas informações de acordo com o seu sigilo. Assim criptografia as informações consideradas sigilosas, indiferente se estão na base de dados ou em sistemas de arquivos na rede. Para a base de dados, a maioria dos SGBD (Sistemas Gerenciadores de Base de Dados) comercializados, possuem suporte nativo à criptografia de informações. Para os sistemas de arquivos, é utilizado o sistema BitLocker, nativo do Windows e o Endpoint Encryption, da ESET.  

5.3. Prevenção e detecção de intrusão

Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos. Os Sistemas de Prevenção de Intrusões (IPS) também analisam pacotes, mas podem impedir que esses pacotes sejam entregues com base nos tipos de ataques detectados – ajudando a interromper o ataque. Basicamente, ambos são partes da infraestrutura de rede e comparam pacotes de rede em um banco de dados de ameaças cibernéticas, contendo assinaturas conhecidas e sinaliza todos os pacotes correspondentes. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle de intrusão. O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP. Esta instituição utiliza o DatAlert da Varonis. Ele monitora a atividade em tempo real dos dados e complementa o IDS/IPS. A solução não inclui apenas a detecção de ransomware baseada em assinatura, mas também reconhece as características e o comportamento de um ataque.

5.4. Prevenção de vazamento de informações

Esta instituição também utiliza o DatAlert, da Varonis, para prevenção de vazamento de informações.  

5.5. Testes e varreduras periódicos para detecção de vulnerabilidades

Os testes e varreduras periódicos serão executados através de softwares com tecnologia Scanner Ativo, que realizará varreduras nos sistemas e maquinas em busca de pontos sensíveis ou vulnerabilidades.  

5.6. Proteção contra software malicioso

Esta instituição utiliza a suíte de segurança da ESET, contemplando:

• Threat Intelligence – Permite o conhecimento profundo e atualizado sobre ameaças específicas e fontes de ataque tradicionalmente difíceis de serem detectadas por engenheiros de segurança que acessam a informação apenas dentro de suas próprias redes.
• Enterprise Inspector – Ferramenta sofisticada de detecção e resposta que permite o monitoramento abrangente, contínuo e em tempo real da atividade dos endpoints, bem como a análise de processos suspeitos para fornecer uma resposta imediata.

5.7. Mecanismos de rastreabilidade para informações sensíveis

Através da padronização de recebimento dos dados, a rastreabilidade das informações sensíveis são garantidas através do acesso controlado dos usuários ao sistema de informação, sendo que as senhas ficam armazenadas de forma criptografada na base de dados. Através do controle de acesso individual, as consultas na base de dados permite o registro e rastreio das informações.  

5.8. Controles de acesso

Esta Instituição utiliza mecanismos de controle de acesso por autenticação e todos os sistemas listados no item 6.1 permitem que apenas usuários autorizados possam acessar as informações, de acordo com o nível de sigilo e acesso.  

5.9. Segmentação da rede de computadores

A segmentação de rede é uma estratégia de segurança muito utilizada para proteger os dados de ataques cibernéticos. Ela permite a divisão da rede em subseções para que seja possível controlar a concessão de acessos dos usuários de acordo com suas necessidades no trabalho. As redes da Instituição são segmentadas de acordo com o tipo de informação e local de acesso. Atualmente dispomos de recursos e sistemas que permitem a criação e controle de políticas avançadas pela atribuição de perfis de acesso que são dissociadas do controle por endereços IP. Assim, estabelecemos políticas de controle simples, baseadas nesses perfis para segmentar o acesso de forma dinâmica, sem a complexidade de utilização de múltiplas VLANs, replicação de listas de controle de acesso (ACLs) extensas e complexas por toda a rede, ou alteração da arquitetura de rede.  

5.10. Manutenção de cópias de segurança dos dados e das informações

Esta instituição instituiu a política de backup, na qual são registradas todas as decisões sobre armazenamento de dados. Assim são definidos:

• quais são os dados a serem copiados;
• frequência de realização do processo;
• tipo de backup a ser realizado;
• métricas de avaliação do processo;
• funcionários envolvidos no processo.

5.11. Registro, análise da causa e do impacto e controle dos efeitos de incidentes relevantes

Para que seja possível a melhoria contínua dos procedimentos relacionados à segurança cibernética, permitindo que sejam realizadas as adequações necessárias à correção de vulnerabilidades nas medidas e procedimentos relativos à segurança cibernética, deve ser realizado o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição, abrangendo, inclusive, informações recebidas de empresas prestadoras de serviços a terceiros, sendo elaborado relatório próprio pela área responsável.  

5.12. Gestão de Prestadores de Serviço

  Quando da contratação de prestadores de serviço, inclusive serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, a instituição adotará as seguintes práticas de governança corporativa e de gestão:  

5.12.1. Abrangência

Devem ser consideradas para fins de aplicação do disposto nesta política aquelas empresas prestadoras de serviços a terceiros que tiverem acesso:

1. aos dados da instituição, ou por ela controlados; ou
2. aos sistemas por ela utilizados; ou

• aos ambiente s físicos ou tecnológicos, que possam ser utilizados para acessar aos dados e sistemas de que tratam os incisos I e II.

5.12.2. Cláusulas contratuais

Os contratos com empresas prestadoras de serviços a terceiros deverão conter cláusulas de confidencialidade e responsabilidades entre as partes, bem como cláusulas que garantam que os profissionais das empresas prestadoras de serviços a terceiros:

1. Protejam e zelem pelo sigilo das informações da Instituição.
2. Tenham conhecimento e cumpram esta política.

• Cumpram as leis e normas que regulamentam a propriedade intelectual e a proteção de dados, especialmente a Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais) e a Resolução nº 4.658 do Banco Central do Brasil.

1. Utilizem os dados da instituição, ou por ela controlados, os sistemas por ela utilizados, bem como os ambientes físico e tecnológico da Instituição, apenas para as finalidades objeto do contrato de prestação de serviço.
2. Comuniquem imediatamente qualquer violação desta Política e/ou outras Normas.

5.12.3. Procedimentos e controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros

A instituição somente contratará prestadores de serviços que demonstrarem a adoção dos seguintes mecanismos de prevenção e tratamento de incidentes:

1. Adoção de software de proteção contra softwares maliciosos, mantendo-o sempre ativado e atualizado;
2. Adoção de Firewall, mantendo-o sempre ativado e atualizado;

• Adoção de processo de manutenção de cópias de segurança dos dados e das informações, seja ele realizado para servidor físico ou em nuvem, a ser executado no mínimo semanalmente;

1. Adoção de mecanismos de controles de acesso e de autenticação que permitam identificar e rastrear o usuário que tiver acesso aos sistemas ou dados da instituição e seus clientes no ambiente cibernético;
2. Adoção de mecanismos de criptografia que permitam criptografar os dados pessoais de clientes e os dados pertencentes à instituição armazenados pelo prestador de serviço ou enviado por meios de comunicação;
3. Adoção de mecanismos de segmentação da rede pela qual o prestador de serviço acessa aos sistemas ou dados da instituição ou dos clientes da instituição;

6. CONTRATAÇÃO DE SERVIÇOS RELEVANTES DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

  Quando da contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, além das práticas de governança corporativa e de gestão referidas acima, a instituição adotará as seguintes práticas de governança corporativa e de gestão:  

6.1. Abrangência

Além dos serviços relevantes de processamento e armazenamento de dados, para fins desta política os serviços de computação em nuvem abrangem a disponibilidade à instituição, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

1. processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;
2. implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

• execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

6.2. Avaliação da relevância do serviço a ser contratado

Previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem deve ser avaliada a relevância do serviço a ser contratado, considerando:

1. os riscos a que estará exposta;
2. considerando a criticidade do serviço;

• sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado;

1. classificação da informação a ser tratada pelo prestador.

 

6.3. Critérios de decisão quanto à contratação

A instituição estabelece como critérios de decisão quanto à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, a capacidade do potencial prestador de serviço de assegurar:

1. o cumprimento da legislação e da regulamentação em vigor;
2. o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

• a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processadas ou armazenadas;

1. a sua aderência às certificações exigidas por lei para a prestação do serviço a ser contratado;
2. o acesso da instituição aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços contratados;
3. provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados

• a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos;
• a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

1. o acesso da instituição às informações a serem fornecidas pelo prestador de serviço, visando verificar o cumprimento do disposto nas cláusulas referentes à:
2. indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
3. adoção de medidas de segurança para a transmissão e armazenamento dos dados;
4. manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
5. aderência do prestador de serviço às certificações exigidas por lei;
6. concessão de acesso aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços aqui contratados, quando aplicável;
7. concessão de acesso às informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
8. confidencialidade, integridade e disponibilidade dos dados da instituição, bem como pelo cumprimento da legislação e da regulamentação em vigor;
9. prestação dos serviços, armazenamento, processamento e gerenciamento dos dados unicamente nos países e regiões previamente estabelecidos e comprometendo-se a não mudar a localização indicada sem a prévia autorização.
10. transferência dos dados recebidos para a prestação do serviço ao novo prestador de serviços ou à instituição em caso de extinção do contrato e a excluir os dados recebidos para a prestação do serviço, após a transferência dos dados e a confirmação da integridade e da disponibilidade;
11. não promoção de subcontratação de serviços sem autorização prévia.
12. concessão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação do serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações.
13. obrigação de mantê-la permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
14. obrigação de, em caso de decretação de regime de resolução da instituição pelo Banco Central do Brasil:
15. prestador de serviço conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso códigos de acesso aos dados e às informações, que estejam em poder da prestador de serviço;
16. o prestador de serviço notificar previamente ao responsável pelo regime de resolução sobre a intenção de interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:
17. o prestador de serviço obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
18. a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição.

6.4. Cláusulas contratuais

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

1. a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
2. a adoção de medidas de segurança para a transmissão e armazenamento dos dados;

• a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;

1. a obrigatoriedade, em caso de extinção do contrato, de:
2. transferência dos dados ao novo prestador de serviços ou à instituição contratante; e
3. exclusão dos dados pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;
4. o acesso da instituição contratante a:
5. informações fornecidas pela empresa contratada, visando a verificar o cumprimento dessas obrigações;
6. informações relativas às certificações e aos relatórios de auditoria especializada; e
7. informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
8. a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

• a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;
• a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e

1. a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Os contratos devem prever, ainda, cláusulas específicas para o caso de decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil:

1. a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso VII do caput, que estejam em poder da empresa contratada; e
2. a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

1. a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
2. a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da contratante.

6.5. Comunicação da contratação ao Banco Central do Brasil

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada ao Banco Central do Brasil, devendo a comunicação conter as seguintes informações:

1. a denominação da empresa a ser contratada;
2. os serviços relevantes a serem contratados; e

• a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados,

A referida comunicação deve ser realizada, no máximo, até 10 (dez) dias após a contratação dos serviços e as alterações contratuais que impliquem modificação dessas informações devem ser comunicadas ao Banco Central do Brasil, no máximo, até 10 (dez) dias após a alteração contratual. Para a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior devem ser observados requisitos dispostos no art. 16 da Resolução 4.658 do BACEN.  

6.2. Documentação

Devem ser documentadas as práticas de governança corporativa e de gestão adotadas, proporcionais à relevância do serviço a ser contratado e aos riscos aos quais a instituição se expõe. Da mesma forma, deve ser documentada a verificação da capacidade do potencial prestador de serviço de assegurar:

1. o cumprimento da legislação e da regulamentação em vigor;
2. o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

• a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

1. a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;
2. o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
3. o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

• a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e
• a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

7. COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA À AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

A instituição comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados a ocorrência de incidente de segurança, seja ele relativo ao ambiente cibernético ou não, que possa acarretar risco ou dano relevante aos titulares. A referida comunicação deverá ser feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

1. a descrição da natureza dos dados pessoais afetados;
2. as informações sobre os titulares envolvidos;

• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

1. os riscos relacionados ao incidente;
2. a causa do incidente;
3. o impacto do incidente;

• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente.

8. COMUNICAÇÃO DE INCIDENTES RELEVANTES RELACIONADOS AO AMBIENTE CIBERNÉTICO AO BANCO CENTRAL DO BRASIL

A instituição comunicará ao Banco Central do Brasil as ocorrências de incidentes relevantes e das interrupções dos serviços relevantes que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades, mencionando, no mínimo, o itens descritos no item 7 desta política.  

9. MECANISMOS PARA DISSEMINAÇÃO DA CULTURA DE SEGURANÇA CIBERNÉTICA NA INSTITUIÇÃO

Para a disseminação da cultura de segurança cibernética a instituição adotará os seguintes mecanismos:

1. a instituição promoverá a disseminação dos princípios e diretrizes da Segurança Cibernética por meio de programas de conscientização, capacitação e avaliação periódicas de pessoal.
2. a política e as regras de segurança da informação e segurança cibernética serão divulgadas e compartilhadas com todo o público alvo desta política, e devem ser disponibilizadas de maneira que seu conteúdo possa ser consultado a qualquer momento, protegidas contra alterações.

• a prestação, na página da instituição na internet, de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros

1. a divulgação ao público, na página da instituição na internet, de resumo contendo as linhas gerais da política de segurança cibernética.

10. PROGRAMA DE SEGURANÇA CIBERNÉTICA

Conforme sua criticidade, o programa de segurança cibernética divide-se em:

• Ações críticas: Correções emergências e imediatas para mitigar riscos iminentes.
• Ações de Sustentação: Iniciativas de curto / médio prazo, para mitigação de risco no ambiente atual, mantendo o ambiente seguro e permitindo que ações de longo prazo/estruturantes possam ser realizadas.
• Ações Estruturantes: Iniciativas de médio / longo prazo que tratam a causa raiz dos riscos, voltadas para o futuro da Instituição.

 

11. GOVERNANÇA COM AS ÁREAS DE NEGÓCIO E TECNOLOGIA

As iniciativas e projetos das áreas de negócio e tecnologia devem estar alinhadas com as diretrizes e arquiteturas da Segurança Cibernética, garantindo a confidencialidade, integridade e disponibilidade das informações.  

12. SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS DE APLICAÇÃO

O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança da instituição e às boas práticas de segurança.  

13. RELATÓRIO ANUAL SOBRE A IMPLEMENTAÇÃO DO PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES

A Instituição elaborará relatório anual sobre a implementação do plano de ação e de resposta a incidentes, tendo como data-base o dia 31 de dezembro de cada ano. O relatório deverá ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou, na sua inexistência, à diretoria até 31 de março do ano seguinte ao da data-base, devendo abordar:

1. A efetividade da implementação das ações desenvolvidas pela Instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;
2. O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes;

• Os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

1. Os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

14. MANUTENÇÃO DE DOCUMENTAÇÃO

Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

1. o documento relativo à política de segurança cibernética;
2. o documento relativo ao plano de ação;

• o documento relativo ao plano de resposta a incidentes;

1. os relatórios anuais de que trata esta política;
2. a documentação referente às práticas de governança corporativa e de gestão e a verificação da capacidade do potencial prestador de serviço;
3. os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, contado o prazo a partir da extinção do contrato.

• os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle da implementação e da efetividade:

1. da política de segurança cibernética, contado o prazo a partir da implementação;
2. do plano de ação, contado o prazo a partir da implementação;
3. do plano de resposta a incidentes, contado o prazo a partir da implementação;
4. dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, contado o prazo a partir da implementação.

15. DA DIVULGAÇÃO

A Política de Segurança Cibernética e da Informação e as demais políticas e normas complementares da Instituição aqui referenciadas devem ser divulgadas ao Público-Alvo, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, devendo estar disponíveis em local acessível aos colaboradores e protegidas contra alterações. Além disso, será divulgado ao público, na página da instituição na internet,  resumo contendo as linhas gerais da política de segurança cibernética.  

16. MEDIDAS DISCIPLINARES

As violações a esta política estão sujeitas às sanções disciplinares previstas, nas normas internas da Instituição e na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas, tais como: advertências (verbal e/ou escritas), suspensões e demissões com e sem justa causa.  

17. REVISÃO ANUAL

Esta política será documentada e revisada anualmente.  

18. REVISÕES EXCEPCIONAIS

Esta política será atualizada em três meses após a aprovação da instituição no Banco Central para que sejam integradas ao seu escopo as respectivas modificações a serem implementadas no curto e médio prazo, conforme plano de ação da instituição. No longo prazo, as revisões anuais poderão contemplar novas modificações.  

19. COMPROMETIMENTO DA ALTA ADMINISTRAÇÃO

A Diretoria da instituição, ao aprovar esta Política de Segurança Cibernética e da Informação, institui um compromisso para com a melhoria contínua dos procedimentos relacionados com a segurança cibernética e da informação, buscando sempre manter a instituição em conformidade com normas legais e regulamentares sobre os referidos temas, guiada pelos princípios, conceitos, valores e práticas aqui adotados, com o objetivo de assegurar a confidencialidade, a integridade e a disponibilidade dos dados da instituição ou por ela controlados e dos sistemas de informação por ela utilizados, permitindo à instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados à segurança da informação e ao ambiente cibernético e proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.