Norma de Segurança da Informação e Privacidade para Terceiros

1. TERMOS E DEFINIÇÕES

ANPD: corresponde à sigla da Autoridade Nacional de Proteção de Dados, autarquia responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Ativo de Informação: significa qualquer objeto que possa desenvolver, receber, transmitir, manusear, armazenar, trafegar e descartar informações essenciais e que gerem valor para os negócios de uma organização.

Autenticidade: significa a característica que garante a identidade e a origem de uma informação ou entidade, confirmando que ela é genuína e não foi falsificada ou adulterada. A autenticidade assegura que a informação é proveniente da fonte declarada e que se mantém inalterada desde sua origem.

Colaborador Stone: corresponde a qualquer colaborador(a)/empregado(a) da Stone, regime CLT ou estagiário (aquele que possui um termo de compromisso firmado entre a empresa e a instituição de ensino), inclusive jovens aprendizes.

Funcionário do Terceiro: corresponde a qualquer colaborador(a)/empregado(a) do Terceiro, regime CLT ou estagiário (aquele que possui um termo de compromisso firmado entre a empresa e a instituição de ensino), inclusive jovens aprendizes.

Confidencialidade: significa a propriedade de segurança da informação que visa assegurar que as informações tratadas sejam de conhecimento exclusivo de terceiros especificamente autorizados.

Dado Pessoal: significa a informação relacionada ao titular. O conceito inclui nome, e-mail, RG, CPF, qualquer tipo de documento de identidade, telefone, dados cadastrais, endereço, imagem dos Titulares captadas por câmeras, dados de Colaboradores (inclusive informações constantes no curriculum), informações sobre cargos e salários, dados de geolocalização (GPS), endereço IP, identificação do dispositivo, hábitos, preferências, comportamentos, histórico de consumo, etc.

Dado Pessoal Sensível: significa o Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um Titular.

Disponibilidade: significa a propriedade que garante (i) o funcionamento dos Ativos de Informação com prontidão, (ii) a confiabilidade e adequação temporal do acesso e do uso das informações e (ii) a utilização de serviços por usuários autorizados sem qualquer negação indevida.

Incidente de Segurança da Informação: significa um simples Evento ou uma série de Eventos de Segurança da Informação e/ou Privacidade, indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança das informações de qualquer da Stone.

Informação Confidencial: significa o termo definido conforme o item 6.4 desta Norma

Informação Pública: significa o termo definido conforme o item 6.4 desta Norma.

Informação Interna: significa o termo definido conforme o item 6.4 desta Norma.

Integridade: corresponde a propriedade de Segurança da Informação que visa assegurar que as informações sejam mantidas íntegras, sem modificações indevidas, acidentais ou propositais.

Inteligência Artificial: significa o ramo da ciência da computação que se dedica ao desenvolvimento de sistemas computacionais capazes de realizar tarefas que normalmente requerem inteligência humana. Envolve a criação de algoritmos e modelos que permitem que máquinas aprendam com dados, reconheçam padrões, tomem decisões, resolvam problemas e interajam com o ambiente de forma autônoma ou semi-autônoma.

LGPD: corresponde à Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709 de 14 de agosto de 2018), que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Norma: significa a presente Norma de Segurança da Informação e Privacidade para Terceiros.

Não Repúdio: significa o mecanismo que impede que uma entidade negue a autoria de uma ação ou a transmissão de uma informação. O não repúdio garante que as partes envolvidas em uma comunicação ou transação não possam negar seu envolvimento, fornecendo evidências irrefutáveis da autoria e integridade da informação.

Privacidade: significa o direito fundamental de um indivíduo de controlar a coleta, o uso, o acesso, a divulgação, a transferência e a eliminação de seus próprios dados pessoais. Envolve a capacidade de determinar quando, como e em que medida suas informações são compartilhadas com terceiros. A privacidade está intrinsecamente ligada à autonomia, à dignidade humana e ao direito à autodeterminação informativa.

Segurança da Informação: significa um conjunto de estratégias, medidas e controles que visam proteger a informação, em qualquer formato (físico ou digital), contra acessos não autorizados, uso indevido, divulgação, interrupção, modificação, destruição ou qualquer outra ação que possa comprometer sua confidencialidade, integridade e disponibilidade. Abrange aspectos tecnológicos, organizacionais, humanos e legais, com o objetivo de garantir a continuidade dos negócios, minimizar danos e maximizar o retorno sobre investimentos em tecnologia da informação.

Subcontratado: significa as empresas ou os indivíduos que são contratados pelo Terceiro para realizar parte de um trabalho ou projeto específico.

Terceiro: corresponde tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Stone, como os prestadores de serviço em si, parceiros, franquias, auditores ou qualquer outro que se enquadre como fornecedor da Stone.

Transferência Internacional de Dados: significa a transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro, nos termos da Resolução CN/ANPD nº 19 de 23 de agosto de 2024.

2. OBJETIVO

Esta Norma de Segurança da Informação e Privacidade para Terceiros (“Norma”) tem por objetivo estabelecer as diretrizes dos controles mínimos de Segurança da Informação e Privacidade para Terceiros, visando a proteção das informações da Stone, de modo a preservar a Confidencialidade, Integridade e Disponibilidade dos dados e sistemas de informação utilizados, bem como orientar quanto ao uso adequado de seus Ativos de Informação e garantir a capacidade da Stone em prevenir, detectar e reduzir a vulnerabilidade à Incidentes de Segurança da Informação.

3. ABRANGÊNCIA

Esta Norma aplica-se conforme a natureza do fornecimento dos serviços e/ou parceria, a relevância dos serviços ou a classificação das informações às quais o Terceiro tem acesso, de acordo com o item 6 desta Norma.

4. APROVAÇÃO

Esta Norma e suas atualizações deverão ser aprovadas pelo Fórum de Riscos da Stone.

5. VIGÊNCIA

Esta Norma entra em vigor a partir de sua data de aprovação, podendo ser revogada ou atualizada em até 01 (um) ano ou em prazo inferior, nas hipóteses de alteração da legislação aplicável ou de direcionamento estratégico da Stone.

6. DIRETRIZES

6.1. Os Terceiros devem assegurar a implantação de controles de Segurança da Informação que atendam as diretrizes e requisitos estabelecidos nesta Norma, bem como com os frameworks de Segurança da Informação padrões de mercado e com as legislações e resoluções vigentes e aplicáveis.

6.2. Controles adicionais poderão ser exigidos ou recomendados, a depender da natureza do contrato, da relevância dos serviços ou parcerias e da classificação das informações às quais o Terceiro tem acesso.

6.3. Todos os requisitos aplicáveis ao Terceiro, também são aplicáveis a qualquer Subcontratado envolvido na prestação do serviço ou parceria.

6.4. Tais requisitos devem ser seguidos por Terceiros que prestam serviços nos quais:

Inclua tratamento de Informações Confidenciais, estratégicas, financeiras – de clientes e da Empresa -, Dados Pessoais, incluindo Dados Pessoais Sensíveis e de crianças/adolescentes/idosos e dados de transação;
Incluam serviços e tecnologias específicas, tais como consultorias que tratem informações sensíveis, serviços no escopo do PCI-DSS e da SOx, qualquer software ou aplicativo, Inteligência Artificial, novas versões/modelos de POS e TEF, equipamentos corporativos, desenvolvimento de sistemas e APIs, transferência de informações entre a Stone e Terceiros, integração entre sistemas ou consultoria com Terceiros alocados na Stone.

6.5. Requisitos de Segurança da Informação e Privacidade para Terceiros

6.5.1 Estrutura Organizacional Relacionada à Segurança da Informação

O terceiro deve ter papéis e responsabilidades relacionados à Segurança da Informação claramente definidos e alocados de acordo com as necessidades da Stone.

Deve haver um processo de segregação de funções, determinando quais funções e áreas de responsabilidade precisam ser segregadas.

Além disso, a Segurança da Informação deve estar integrada aos projetos, em especial, àqueles que possam impactar, direta ou indiretamente, o serviço contratado pela Stone.

6.5.2 Alta Liderança do Terceiro

Deve demonstrar comprometimento com a Segurança da Informação e Privacidade, disponibilizando os recursos necessários e contribuindo para sua eficácia.

Deve, ainda, garantir que todos os Funcionários e Subcontratados apliquem as medidas de Segurança da Informação de acordo com a política de Segurança da Informação, as políticas específicas de cada tema e com os procedimentos estabelecidos pelo Terceiro.

6.5.3 Política de Segurança da Informação

A política de Segurança da Informação do Terceiro, bem como as demais políticas específicas por temas relacionados, devem ser definidos, aprovados pela alta liderança, publicados, comunicados e reconhecidos pelos seus respectivos Funcionários, Subcontratados e demais partes que tenham contato com as informações do serviço prestado.

O Terceiro deve, ainda, garantir a ciência de seus Funcionários quanto à Norma de Segurança da Informação e Cibernética da Stone, disponível no Studa e em nosso site corporativo.

6.5.4 Segurança da Informação e Privacidade na Área de Recursos Humanos

Os critérios de triagem de histórico de Funcionários contratados pelo Terceiro devem incluir, sempre que aplicável e quando não vedado pela legislação e/ou jurisprudência aplicável, a verificação de antecedentes criminais, bem como a avaliação de competências técnicas e comportamentais compatíveis com o cargo.

Deve haver um programa de conscientização em Segurança da Informação e Privacidade, com conteúdos obrigatórios e estes devem ser revisados e realizados anualmente pelos Funcionários. Além disso, deve existir um processo de gestão de consequências e medidas disciplinares formalizado, vigente e comunicado aos Funcionários.

6.5.5 Classificação da Informação e Rotulagem

As informações envolvidas no escopo da contratação devem ser classificadas e rotuladas, seguindo as seguinte classificação:

Informações Confidenciais: são informações restritas a um grupo específico de pessoas, incluindo estratégias, objetivos, Dados Pessoais, Dados Pessoais Sensíveis e informações financeiras, cujo acesso ou divulgação indevida pode causar danos ou comprometimento da Segurança da Informação e Privacidade.
Informações Internas: são informações relacionadas às atividades da Stone, como por exemplo, suas políticas, normas e procedimentos.
Informações Públicas: são informações destinadas ao domínio público e de conhecimento do público geral, antes mesmo de sua divulgação. Ela pode ser acessada por todos os Funcionários e Terceiros, sem que represente riscos à Stone.

6.5.6 Gestão de Ativos

Todos os Ativos de Informação do Terceiro, incluindo software e hardware, devem ser inventariados. Devem ser definidas regras para utilização desses ativos e procedimentos para o manuseio de informações e demais ativos associados. Todos os ativos corporativos da Stone devem ser devolvidos após a mudança ou o encerramento da contratação/acordo.

Os dados enviados ou recebidos eletronicamente devem ser protegidos contra códigos maliciosos, por meio de inspeção de vírus em rede ou varredura de vírus. No caso dos Ativos de Informação da Stone, os acessos privilegiados – como administradores de domínios, recursos de rede e telecomunicações, aplicações, banco de dados e outros recursos de infraestrutura crítica – são concedidos exclusivamente pela Stone aos Funcionários do Terceiro, com base na necessidade, seguindo os critérios estipulados nas normas internas, mediante a solicitação e aprovação formal do responsável pelo ambiente ou recurso solicitado.

Devem ser mantidos os seguintes mecanismos mínimos de proteção, devidamente configurados, atualizados e gerenciados:

Antivírus e ferramentas de Segurança da Informação em servidores e estações de trabalho;
Proteção de tela por inatividade;
Bloqueio da liberação de compartilhamentos administrativos (acesso de administrador local);
Bloqueio da adição de contas de administração no grupo de administradores locais, bem como a renomeação e troca de senhas;
Restrição e monitoramento das portas USB, incluindo o uso de modems e dispositivos de cópia/ armazenamento;
Administração do sistema operacional deve ser realizada somente por Funcionários e/ou Terceiros devidamente credenciados e capacitados para a função;
Download e upload de dados, informações e software da Internet devem ser evitados e monitorados;
Controle formal e monitorado de aquisição/licenciamento de software, garantindo a não utilização de software não autorizados;
Controle e monitoramento de versionamento, atualização e manutenção de software;
Controle, revisão e monitoramento de acesso remoto, considerando fatores de autenticação forte e mecanismos de criptografia atualizados na conexão e na transferência dos dados e informações;
Caso o Terceiro utilize infraestrutura ou plataforma como serviço (“as a service”), o provedor deste serviço deve possuir a certificação ISO 27001 e/ou relatório de asseguração SOC 2 (tipos 1 e/ou 2), dentro da validade e que cubra os serviços contratados.

6.5.7 Transferência de Informações

As transferências de informações realizadas pelo Terceiro devem ser feitas de maneira segura, observando os seguintes critérios mínimos:

Adoção de medidas de segurança contra interceptação, acesso não autorizado, cópia, modificação, desvio, destruição e negação de serviço;
Controle de acessos;
Garantir a rastreabilidade e Não Repúdio;
Detecção e proteção contra malware;
Criptografia dos dados em trânsito;
Para casos envolvendo Dados Pessoais, nos quais o Terceiro necessite realizar a Transferência Internacional de Dados Pessoais, deve observar as disposições previstas na LGPD e na Resolução CD/ANPD nº 19, de 23 de agosto de 2024, conforme aplicável.

6.5.8 Segurança Física e Ambiental

Devem ser implementados controles de segurança física em todas as instalações que estejam dentro do escopo da contratação e/ou parceria, assegurando a existência de portas de entrada e saída com alarme e/ou monitoramento por guardas de segurança, bem como registros de acesso. Além disso, devem haver controles ambientais, como, detecção e supressão de incêndio, em instalações seguras, a fim de proteger computadores e demais ativos físicos.

6.5.9 Segurança de Operações

Os registros que contenham informações da Stone e/ou que impactem os serviços prestados devem ser protegidos pelo Terceiro contra perdas, destruição, falsificação, acesso não autorizado e liberação não autorizada. Deve existir um processo formalizado de controle de mudanças nos serviços contratados, garantindo que os clientes sejam notificados previamente sempre que houver alterações que possam impactar seus serviços. Além disso, os sistemas e dispositivos de rede devem utilizar um serviço comum de sincronização de horários.

6.5.10 Gestão de Riscos de Segurança da Informação

O Terceiro deve ter um processo para estabelecer diretrizes e padrões a serem adotados, de modo a garantir o atendimento às regulamentações aplicáveis e às boas práticas de mercado. Esse processo deve incluir procedimentos de gerenciamento de riscos, contemplando as etapas de identificação, análise, avaliação e tratamento de riscos.

6.5.11 Gestão de Riscos de SI em Terceiros

O Terceiro deve monitorar, analisar criticamente, avaliar e gerenciar regularmente as mudanças nas práticas da Segurança da Informação de seus fornecedores e na prestação de serviços. Devem ser estabelecidos requisitos de Segurança da Informação e acordados com cada Terceiro, bem como diretrizes e procedimentos para o gerenciamento de riscos relacionados à terceirização de serviços.

Os Incidentes de Segurança da Informação e Privacidade nos serviços terceirizados que impactem o escopo da contratação/parceria devem ser comunicados à Stone em até 24 (vinte e quatro) horas após a identificação, pelo e-mail: [email protected].

6.5.12 Inteligência de Ameaças

As informações relacionadas a ameaças à Segurança da Informação e Privacidade devem ser coletadas e analisadas pelo Terceiro com o objetivo de produzir inteligência de ameaças. Sempre que forem identificadas ameaças com alto potencial de materialização e impacto sobre o serviço contratado, estas devem ser informadas à Área de Segurança da Informação da Stone.

6.5.13 Gestão de Continuidade de Negócios e Recuperação de Desastres

Devem ser implementados planos de continuidade de negócios documentados, comunicados, testados e revisados periodicamente, garantindo a identificação dos serviços essenciais e contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção. A Segurança da Informação deve ser mantida em nível apropriado durante eventuais disrupções do serviço contratado.

Devem ser implementados planos de recuperação de desastres e de gestão de crises devidamente documentados, testados e revisados periodicamente. Além disso, deve existir uma política e/ou processo de backup de dados de produção, incluindo testes de recuperação. Os erros de backup e replicação devem ser revisados e resolvidos conforme necessário.

Deve ser assegurada Alta Disponibilidade (HA), de acordo com as premissas de nível de serviço definidas em contrato.

6.5.13 Gestão de Incidentes de Segurança da Informação

O Terceiro deve possuir processos efetivos de gestão de Incidentes de Segurança da Informação e Privacidade para proteção, detecção, resposta e recuperação contra ataques cibernéticos. Em caso de incidentes, o Terceiro deverá comunicar à Stone em até 24 (vinte e quatro) horas após a identificação, através do e-mail: [email protected].

6.5.14 Controle de Acesso

No momento da contratação, mudança de área ou desligamento de Colaboradores, assim como na finalização do vínculo com Subcontratados, o Terceiro deve ter processos que registrem, revisem e ajustem os acessos físicos e lógicos, garantindo o gerenciamento completo do ciclo de vida das identidades. Os Colaboradores devem ser conscientizados sobre o manuseio adequado de informações de autenticação e, deve haver um processo formal para solicitação e aprovação de acesso aos sistemas envolvidos no escopo da contratação. As evidências da concessão e revogação de acessos devem ser mantidas por 5 (cinco) anos, e os acessos devem ser provisionados conforme o princípio do menor privilégio, observando a segregação de funções na aprovação, implementação e concessão de acesso.

Os sistemas devem seguir requisitos específicos de segurança, como, primeiro login, alteração periódica de senhas, comprimento e complexidade adequados, e autenticação de multifator. Além disso, os acessos devem ser revisados formalmente e periodicamente.

Nos casos em que o escopo da contratação envolva aplicativo ou software, devem ser implementados os seguintes requisitos:

Integração de Single-Sign-On (SSO);
Exigir logoff de terminais, computadores ou servidores ao encerrar a sessão;
Exigir o encerramento ou a proteção automática das sessões ativas ao serem finalizadas;
Funcionalidade de Just-in-time (JIT) para escalonamento pontual de acesso;
Features de provisionamento de acessos via API ou SCIM (System for Cross-domain Identity Management);
API de administração para gestão de acessos (criação, revogação e alterações);
Matriz de acessos e de Segregação de funções (SoD – Segregation of Duties) para as funcionalidades da aplicação/software;
Criação de perfis customizáveis;
Restrição de gestão de acessos a um grupo específico de usuários;
Restrição de gestão e API Keys a um grupo específico de usuários;
No caso em que houver a possibilidade de geração de API Keys, deve-se listar os tipos disponíveis e o grau de visibilidade dessas APIs dentro do sistema;
Deve existir uma lista formal dos perfis privilegiados/administrativos;
Funcionalidades que permitam alterações e/ou extrações de dados devem ser limitadas, geridas e controladas, incluindo controles de segregação de função.

6.5.15 Criptografia

Os dados relacionados ao escopo da contratação ou parceria devem ser criptografados tanto em trânsito quanto em repouso.

6.5.16 Segurança de Redes

Os ativos de redes, como firewalls, roteadores, switches e pontos de acesso sem fio do Terceiro, devem possuir controles para restringir o acesso de usuários e de segmentação de redes. As interfaces administrativas dos dispositivos de rede devem ser configuradas para exigir autenticação e criptografia, e a senha padrão deve ser alterada ou desabilitada antes de colocar o dispositivo de rede em produção.

Deve haver informações suficientes nos logs do dispositivo de rede para apoiar a investigação de incidentes. Os patches de segurança de alto risco, disponíveis, devem ser aplicados e verificados regularmente nos dispositivos de rede. Tecnologias de rede devem ser utilizadas para isolar sistemas críticos e sensíveis em segmentos de rede separados daqueles com sistemas menos sensíveis.

Todas as conexões com uma rede externa devem ser encerradas em um firewall, os dispositivos de rede devem negar todo o acesso por padrão e os recursos de detecção e prevenção (IDS/IPS) devem ser aplicados.

6.5.17 Aquisição, Desenvolvimento e Manutenção de Sistemas

O Terceiro deve ter um processo de desenvolvimento seguro, integrado ao ciclo de vida do desenvolvimento de software, que cumpra, no mínimo, os seguintes requisitos:

Ambientes Dedicados: manter ambientes de produção, teste e desenvolvimento fisicamente e logicamente separados.
Processo Formal: estabelecer um processo formal e documentado de gestão de mudanças, incluindo aprovações, testes e reversão em caso de problemas.
Modelagem de Ameaça: estabelecer um processo que envolva a identificação das ameaças que a aplicação pode enfrentar e a definição das contramedidas necessárias para mitigá-las.
Rastreamento: manter um registro completo de todas as mudanças, incluindo informações sobre quem realizou a alteração, quando ocorreu e por quê.
Testes de Segurança: realizar testes de segurança abrangentes em todas as fases do desenvolvimento, incluindo testes de penetração, análise de código estático e dinâmico, e revisões de arquitetura.
Correção de Vulnerabilidades: corrigir todas as vulnerabilidades identificadas antes de implantar as novas versões em produção.
Monitoramento Contínuo: implementar o monitoramento contínuo de segurança, a fim de detectar e responder a ameaças em tempo real.
Treinamento: fornecer treinamento regular em desenvolvimento seguro para todos os desenvolvedores, abordando práticas de codificação segura, prevenção de injeção de código, proteção contra ataques de cross-site scripting (XSS) e outras vulnerabilidades.
Revisão de Código: implementar um processo de revisão de código por pares, visando identificar e corrigir erros e vulnerabilidades de segurança.
Ferramentas de Segurança: utilizar ferramentas de análise de código estático (SAST, Secret Scanning e SCA) e dinâmico (DAST) para identificar vulnerabilidades durante o desenvolvimento.
Atualizações de Segurança: aplicar patches e atualizações de segurança para a correção de vulnerabilidades conhecidas.
Gerenciamento de Vulnerabilidades: manter um inventário atualizado de todos os sistemas e componentes de software, incluindo suas versões e respectivas vulnerabilidades conhecidas.
Resposta a Incidentes: ter um plano de resposta a Incidentes de Segurança da Informação bem definido e testado, permitindo a atuação rápida e eficaz diante de violações de segurança .
Minimização de Dados: coletar apenas os dados estritamente necessários para o funcionamento do sistema. Evitar a coleta excessiva reduz os riscos em caso de incidentes de segurança e garante conformidade com a LGPD.
Anonimização: quando aplicável, remover quaisquer dados que possam identificar um indivíduo, impossibilitando a associação das informações a uma pessoa específica. Esta técnica deve ser utilizada para dados que não precisam ser vinculados a um indivíduo específico para análise.
Pseudoanonimização: quando aplicável, substituir dados identificadores (como nome ou CPF) por pseudônimos. A identificação do indivíduo só é possível por meio de informações adicionais, mantidas separadamente. Esta técnica é ideal para casos em que os dados precisam ser vinculados a uma pessoa, mas sua identidade deve ser protegida.
Criptografia: deve ser aplicada tanto para dados confidenciais em repouso (armazenados em servidores e bancos de dados) quanto para dados em trânsito (transferidos entre sistemas e servidores).
Controle de Acesso: garantir que apenas usuários autorizados tenham acesso aos dados, seguindo o princípio do menor privilégio.
Gerenciamento de Logs e Monitoramento: manter o registro de logs para todas as atividades relevantes e realizar o monitoramento contínuo dos sistemas.
Exclusão: os sistemas devem oferecer mecanismos claros e fáceis para que os usuários possam solicitar a exclusão permanente e segura de seus Dados Pessoais.
Portabilidade: permitir que os usuários exportem seus dados em um formato interoperável.
Conformidade Legal: garantir que os processos de exclusão e portabilidade de dados estejam em conformidade com as leis de proteção de dados, como a LGPD.

Os Dados da Stone não devem ser utilizados em ambientes de testes ou desenvolvimento, e os dados confidenciais da Stone devem ser segregados, de forma física ou lógica, dos dados dos demais clientes do Terceiro.

Para garantir a segurança das aplicações fornecidas, todos os Terceiros devem realizar testes de penetração (pentests) de forma recorrentes, com frequência mínima anual, . Esses testes devem seguir padrões reconhecidos da indústria, como OWASP e NIST, e abranger todas as áreas críticas da aplicação, incluindo autenticação, autorização, gerenciamento de sessões, validação de entrada de dados e armazenamento de dados sensíveis.

Em caso de identificação de vulnerabilidades críticas ou Incidentes de Segurança da Informação, os Terceiros devem notificar imediatamente a Stone, por meio do e-mail [email protected], e tomar todas as medidas necessárias para mitigar os riscos.

6.5.18 Auditoria e Conformidade

O Terceiro deve ter um processo de auditoria periódica das práticas de Segurança da Informação e Privacidade, sendo que a Stone poderá auditar o Terceiro conforme o escopo definido, cabendo a este colaborar plenamente, respondendo à auditoria e fornecendo as evidências necessárias.

Além disso, a Stone pode realizar auditorias, avaliações de segurança (assessments) e monitoramentos periódicos para assegurar o cumprimento desta diretriz e de todas as demais políticas de segurança.

6.5.19 Gestão de Vulnerabilidades

Deve existir procedimentos e controles, incluindo a realização periódica de testes e varreduras, destinados a prevenir, detectar e reduzir a vulnerabilidade.

O Terceiro deve implementar todas as medidas corretivas necessárias em seus processos, atividades, aplicações, sistemas ou infraestrutura que impactem o serviço contratado com a Stone sempre que houver evidências de necessidade de adequação, sendo que a correção de vulnerabilidades deve seguir os prazos, conforme a classificação da versão mais atualizada do framework CVSS (Common Vulnerability Scoring System).

6.5.20 Cloud

Os dados da Stone somente poderão ser armazenados ou processados em países em que possuam convênio com o Banco Central do Brasil, conforme estabelecido pela Resolução BCB nº 85, de 8 de abril de 2021.

6.5.21 Bring Your Own Device (BYOD)

O Terceiro deverá estabelecer diretrizes específicas para que os Funcionários que utilizarem dispositivos móveis pessoais para fins corporativos sigam os princípios e responsabilidades adequados, garantindo a proteção das informações.

6.5.22 Acesso a Ambiente da Stone

O acesso ao ambiente da Stone, incluindo infraestrutura e sistemas, deverá ocorrer apenas quando extremamente necessário para a prestação do serviço, utilizando notebook fornecido pela Stone e estando sujeitos a todos os monitoramentos de segurança, bem como todas as diretrizes de Segurança da Informação da Stone.

6.5.23 Governança em Proteção de Dados Pessoais

Para garantir a segurança e a conformidade no tratamento de Dados Pessoais, é imprescindível que os Terceiros implementem controles técnicos adequados, alinhados aos padrões de Segurança e Privacidade da Stone. As diretrizes a seguir estabelecem os requisitos essenciais de governança:

Implementar, seguir e aprimorar continuamente as boas práticas de governança de proteção de Dados Pessoais, assegurando o atendimento integral à LGPD e demais legislações de Proteção de Dados vigentes e aplicáveis;
Atribuir responsabilidades claras quanto à proteção de Dados Pessoais e proporcionar, de forma adequada, os direitos dos respectivos titulares;
Elaborar e atualizar, em prazo adequado, o inventário de Dados Pessoais;
Ser transparente aos titulares de dados quanto às condições do tratamento de Dados Pessoais que realiza, bem como o livre acesso aos seus Dados Pessoais;
Garantir que a coleta de Dados Pessoais seja limitada somente ao necessário;
Garantir o tratamento adequado de Dados Pessoais;
Garantir que o tratamento de Dados Pessoais siga com as medidas de segurança e Privacidade previstas nesta Norma. Adequar os contratos, incluindo cláusulas específicas de Privacidade e proteção de dados;
Eliminar ou mitigar, ao máximo, os riscos relativos ao tratamento de Dados Pessoais;
Estabelecer procedimentos para lidar com Incidentes de Segurança com Dados Pessoais e Violações de Dados Pessoais, notificando as autoridades competentes – incluindo, mas não se limitando, à ANPD – e os titulares, quando necessário, seguindo as orientações da Resolução CD/ANPD nº 15, de 24 de abril de 2024;
Manter registros e documentação adequados para comprovar a conformidade com esta Norma;
Desenvolver uma cultura de Privacidade; e
Garantir o sigilo de todas as informações acessadas durante o período contratual, bem como após o seu encerramento.

6.5.24 Sanitização de Dados

Após o encerramento do contrato ou parceria, as informações devem ser transferidas à Stone, com a qual o Terceiro mantém relação, juntamente com os dados devidamente sanitizados do ambiente do Terceiro, exceto quando houver norma e/ou legislação que obrigue o contrário.

O Terceiro deverá encaminhar em até 90 (noventa) dias, evidências da sanitização dos dados ao responsável da Stone pelo contrato.

6.5.25 Inteligência Artificial

O Terceiro não deve utilizar quaisquer dados da Stone para treinar, desenvolver ou aprimorar seus sistemas de Inteligência Artificial ou qualquer outro sistema de aprendizado de máquina para fins próprios ou para benefício de outros clientes.

Caso haja uma necessidade específica de treinamento para o desenvolvimento ou teste do serviço a ser fornecido à Stone em um ambiente de experimentação, os Dados Pessoais devem ser anonimizados. Este ambiente de experimentação também deve contar com controles e medidas de segurança robustas, a fim de evitar acesso indevido e vazamento dos dados da Stone.

Serviços de Inteligência Artificial não devem realizar integrações ou transferências de dados da Stone para Terceiros, salvo mediante consentimento explícito e formal da Stone. Testes específicos e recorrentes devem ser executados para modelos de linguagem (LLMs) que interagem com dados ou sistemas da Stone. A integração com plataformas de IA Generativa, como chatbots, deve ser realizada exclusivamente por meio de contas enterprise, garantindo os controles de segurança e governança apropriados.

O Terceiro deverá garantir que os ambientes de experimentação e produtivos sejam segregados dos outros clientes. Devem ser implementados controles para prevenir vieses, comportamentos inadequados ou autuações relacionadas ao uso de serviços de Inteligência Artificial. Para mitigar falhas de input, como prompt injection e vazamento de informações por prompt leakage, o Terceiro deve adotar controles ou soluções de segurança especializadas. Da mesma forma, devem ser implementados controles ou produtos específicos para mitigar problemas de outputs inadequados gerados pelos sistemas de Inteligência Artificial.

Agentes de Inteligência Artificial, em casos que envolvam protocolos MCP ou tecnologia Agentic, devem ser controlados diretamente pelo fornecedor do serviço ou da solução de Inteligência Artificial. Controles também devem ser implementados e testados para impedir a recuperação de mensagens em histórico temporal nos sistemas ou serviços de Inteligência Artificial que processam dados da Stone. O uso de MCP (Management Control Protocol) externo não é permitido em qualquer solução ou serviço de Inteligência Artificial que envolva ou processe dados da Stone.

6.5.26 Tratamento de Dados de Cartões

Serviços do Terceiro que terão como escopo o tratamento de informações de cartões, deverão seguir as diretrizes de Segurança da Informação definidos pelos instituidores de arranjo de pagamento e/ou pelo PCI Security Standards Council, conforme versão mais atualizada disponível em seu website (https://www.pcisecuritystandards.org/), renovando as certificações de acordo com os prazos estabelecidos pelas referidas normas, devendo armazenar somente as Informações confidenciais necessárias para a prestação do serviço.

6.6. Diretrizes para o Funcionário do Terceiro

Considerando os princípios de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio, as seguintes diretrizes devem ser seguidas:

As informações devem ser tratadas como patrimônio e recurso de valor para a Stone, não devendo ser praticado qualquer ato que possa afetar sua Confidencialidade, Integridade ou Disponibilidade. A realização de cópias ou transferências de arquivos digitalizados ou registrados por escrito são proibidos, devendo garantir a proteção, o sigilo e o zelo pela Privacidade destas informações;
Em caso de dúvida quanto à natureza confidencial ou não de uma informação, esta deverá sempre ser tratada como confidencial, até que haja autorização expressa em sentido contrário por parte do representante da Stone.
Toda informação acessada, armazenada e processada no ambiente computacional da Stone é monitorada, registrada e pode ser utilizada em procedimentos de investigação ou auditoria;
É vedada a realização de fotografias e filmagens dos ambientes internos e Informações internas ou Confidenciais da Stone.
É estritamente proibido a publicação ou exposição de Informações Internas ou Confidenciais em rede sociais ou qualquer outra plataforma pública;
Os acessos físicos e lógicos aos ambientes da Stone estão sujeitos à auditoria contínua, visando garantir que os acessos não excedam o necessário para o cumprimento do contrato. O monitoramento deverá abranger qualquer uso não autorizado, alteração ou destruição de informação;
Ao visitar as instalações da Stone, o Funcionário deve portar a identificação adequada e estar acompanhado por um Colaborador da Stone.
Todas as orientações da Área de Segurança da Informação relacionadas à instalação, manutenção e ao uso adequado dos equipamentos devem ser seguidas;
A Stone, com o qual o Terceiro mantém relação, poderá conceder acessos individuais aos Funcionários dos Terceiros contratados. Contudo, a concessão destes acessos não configura, para todos os efeitos legais, vínculo empregatício;
Devem ser utilizados apenas sistemas/produtos homologados para uso pela Stone;
É estritamente proibido o uso de ferramentas ou serviços de Inteligência Artificial gratuitos e/ou não homologados pela Stone no processamento, armazenamento ou em qualquer interação com dados da Stone, bem como em atividades relacionadas aos serviços prestados à Stone. Isso inclui, mas não se limita a, modelos de linguagem (LLMs), geradores de imagem, ferramentas de resumo ou qualquer outra solução de Inteligência Artificial que não tenha sido formalmente aprovada e homologada pela Stone.
Sempre que for necessário a utilização da rede interna, deve ser utilizada a rede Wi-Fi destinada para os Funcionários terceirizados e visitantes;
Em provas de conceito, é necessária a realização dos testes acordados sem a utilização de informações de uso interno e/ou confidenciais dos bancos de dados da Stone, utilizando, para efeito de customização, somente informações referentes a estruturas e campos de tabelas para inserção de conteúdo fictício;
A autenticação de acesso (senha) ao ambiente computacional é individual e intransferível, devendo ser mantida em sigilo, sendo expressamente proibida sua cessão, transferência ou divulgação.
Cabe ao Terceiro informar à Stone sobre quaisquer incidentes relevantes, que eventualmente possam impactar a prestação de serviço.

7. REQUISITOS DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE PARA TERCEIROS

7.1 Compromissos e Penalidades

Todas as garantias necessárias ao cumprimento desta Norma estão estabelecidas formalmente com os colaboradores e Terceiros da Stone. O descumprimento da Norma é considerado uma falta grave, podendo acarretar a aplicação de sanções pela Stone.

7.2 Treinamento

Um programa de conscientização, educação e treinamento em Segurança da Informação para garantia dos objetivos, princípios e diretrizes definidas nesta Norma deverá ser realizado, adequando-se às necessidades e responsabilidades específicas de cada Colaborador e, quando pertinente, de Terceiros.

8. DIRETRIZES PARA O FUNCIONÁRIO DO TERCEIRO

Área de Segurança da Informação Stone

Definir as diretrizes e requisitos de Segurança da Informação e Privacidade para os Terceiros;
Aplicar e disseminar o conteúdo desta Norma, bem como revisá-la de acordo com as diretrizes da Stone.

Colaborador(es)

Conhecer e cumprir as diretrizes estabelecidas nesta Norma, bem como as boas práticas que contribuem para o cumprimento desta.

Funcionários do Terceiro

Conhecer e cumprir as diretrizes estabelecidas nesta Norma, bem como as boas práticas que contribuem para o cumprimento desta.

Terceiros e Subcontratados

Assegurar o cumprimento de todos os requisitos listados nesta Norma, e/ou controles compensatórios que garantam a Segurança das Informações do escopo do contrato/parceria;
Dar ciência aos seus Funcionários sobre esta Norma;
Notificar a Stone nos casos de desligamento ou mudança de função de seus Funcionários alocados na Stone.

9. ATRIBUIÇÕES E RESPONSABILIDADES

A Área de Segurança da Informação será responsável pelo tratamento de dúvidas relativas aos temas tratados nesta Norma ou a possíveis assuntos não contemplados através do e-mail [email protected]. Quaisquer violações desta Norma deverão ser reportadas à Stone por meio do Orelhão, disponível em:

Site: https://www.contatoseguro.com.br/orelhaostone
Telefone: 0800 881 3629
Aplicativo: Aplicativo “Contato Seguro” no dispositivo móvel
Whatsapp: +55 51 3376-9353

A Stone garante a confidencialidade e anonimato das informações reportadas, bem como a não retaliação a denunciantes que estiverem agindo de boa-fé.

10. LEGISLAÇÃO OU DOCUMENTAÇÃO RELACIONADA

Glossário de Normativos Internos de Risco e de Capital;
Norma de Segurança da Informação e Cibernética;
Resolução BCB nº 85 de 8 de abril de 2021;
Resolução BCB nº265 de 25 de novembro de 2022;
Lei Geral de Proteção de Dados nº 13.709, de 14 de agosto de 2018;
Resolução CD/ANPD nº 15 de 24 de abril de 2024;
Resolução CD/ANPD nº 19 de 23 de agosto de 2024;
ABNT NBR ISO/IEC 27001:2022 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da Segurança da Informação – Requisitos;
ABNT NBR ISO/IEC 27002:2022 Tecnologia da informação – Técnicas de segurança – Código de prática para controles de Segurança da Informação;
Padrões de Segurança PCI-DSS.