Docs

Site Stone

Política de Segurança da Informação e Cibernética Stone

Esta Política aborda as diretrizes, atribuições e responsabilidades no processo de Segurança Cibernética da Stone Instituicao de Pagamento S.A. “Stone”.

Termos e Definições

  • Acesso Privilegiado: significa uma permissão especial concedida a usuários ou processos que lhes permitem realizar ações e acessar recursos que estão além das capacidades dos usuários comuns.
  • Ativo: são todos os elementos que detêm algum tipo de valor para a Companhia, podendo ser informações, hardware (equipamentos), software (sistemas) e usuários.
  • Ativos de Informação: significa qualquer objeto que possa desenvolver, receber, transmitir, manusear, armazenar, trafegar e descartar informações.
  • Autenticidade: significa a possibilidade de avaliação da propriedade como genuína, verificada e confiável, assim como a confiança na validade de uma transmissão, mensagem ou do originador de uma mensagem. Possibilita que a veracidade dos usuários (são quem dizem ser) e que cada dado que chega ao sistema veio de uma fonte confiável.
  • Colaborador: corresponde a qualquer colaborador(a)/empregado(a) da Companhia, em regime CLT ou de estágio (aquele que possui um termo de compromisso firmado entre a empresa e a instituição de ensino), inclusive jovens aprendizes.
  • Companhia: corresponde à Stone Instituição de Pagamento S.A. e suas subsidiárias, Stone Franchising Ltda., Buy4 Processamento de Pagamentos S.A., Stone Seguros S.A. e/ou Stone Logística Ltda, conforme aplicável.
  • Confidencialidade: significa o ato de assegurar que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas.
  • Conselho de Administração: significa o Conselho de Administração da StoneCo.
  • Custodiante: significa o Colaborador, setor ou área da Companhia que mantém Informação sob sua guarda.
  • Dado Pessoal: significa qualquer Informação que possa levar à identificação direta ou indireta de uma pessoa física. O conceito inclui nome, e-mail, RG, CPF, qualquer tipo de documento de identidade, telefone, dados cadastrais, endereço, imagem das pessoas captadas por câmeras, dados de Colaboradores (inclusive informações constantes no currículo), informações sobre cargos e salários, dados de geolocalização (GPS), endereço IP, identificação do dispositivo, hábitos, preferências, comportamentos, histórico de consumo etc.
  • Diretoria: significa os membros da Diretoria eleitos como officers pelo Conselho de Administração.
  • Disponibilidade: significa a propriedade que garante (i) o funcionamento dos Ativos com prontidão, (ii) a confiabilidade e adequação temporal do acesso e do uso das Informações, e (iii) a utilização de serviços por usuários autorizados sem qualquer negação indevida.
  • Gestor: significa o Colaborador responsável por uma área, entidade, BU (“Business Unit”) ou Função.
  • Incidente de Segurança da Informação: significa um evento de segurança ou um conjunto deles, confirmado ou sob suspeita, capaz de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um Ativo, assim como qualquer violação desta Política de Segurança da Informação e Cibernética.
  • Incidente de Segurança com Dados Pessoais: significa o evento adverso confirmado que comprometa a confidencialidade, integridade, disponibilidade ou Autenticidade de Dados Pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda indevidas ou acessos não autorizados a Dados Pessoais, independentemente do meio em que estão armazenados.
  • Informação: significa o conjunto organizado de dados que constitui uma mensagem sobre um determinado fenômeno ou evento. A informação pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida por correio postal ou por meios eletrônicos, exibida em vídeos ou falada em conversas.
  • Integridade: significa a propriedade que garante a exatidão e completude na origem, no trânsito e no destino da Informação.
  • Não Repúdio: significa a capacidade de provar a ocorrência de um evento ou de uma ação reivindicada e suas entidades originárias.
  • Partes Interessadas: correspondem a todos os elementos (pessoas, instituições, grupos, órgãos governamentais etc.) que de alguma forma afetam ou são afetados pela Companhia (Exemplos: clientes, colaboradores, sócios, concorrentes, fornecedores, sociedade, entre outros).
  • Segurança da Informação: significa a garantia de preservação da Confidencialidade, Disponibilidade, Integridade, Autenticidade e Sigilo da Informação existente em qualquer meio, suporte ou formato.
  • SIEM: significa a tecnologia que permite o gerenciamento e a correlação de eventos de segurança.
  • Sigilo: significa que o proprietário da informação garante a sua não divulgação a indivíduos, entidades ou processos não autorizados.
  • StoneCo: significa a StoneCo Ltd., sociedade incorporada sob as leis das Ilhas Cayman, sediada na Harneys Fiduciary (Cayman) Limited, 4th Floor, Harbour Place, 103 Church Street, P.O. Box 10240, Grand Cayman KY1-1002, Ilhas Cayman, inscrita no CNPJ/MF sob o nº 31.752.270/0001-82.
  • Terceiros: significa as pessoas que não possuem vínculo empregatício com a Companhia e que não sejam estagiários ou jovens aprendizes. Entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Companhia como, por exemplo, os prestadores de serviço em si, parceiros, franquias, auditores ou qualquer outro que se enquadre como fornecedor da Companhia.

Objetivo

Esta Política de Segurança da Informação e Cibernética (“Política”) visa estabelecer as diretrizes para a proteção das Informações da Companhia, a fim de preservar os Dados e sistemas de Informação utilizados, orientar o uso adequado de seus Ativos e garantir a capacidade de prevenir, detectar e reduzir a vulnerabilidade a Incidentes de Segurança da Informação e Incidentes de Segurança com Dados Pessoais, observados os princípios de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio.

Diretrizes

Em observância aos princípios de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio, a Companhia estabelece as seguintes diretrizes para fins de controle e proteção das suas Informações:

  • Compromisso da Alta Direção (CISO e CRO): garantir recursos humanos e tecnológicos adequados para o atingimento dos objetivos de Segurança da Informação, assegurando também o comprometimento com a melhoria contínua do sistema de gestão de Segurança da Informação;
  • Alinhamento Estratégico: assegurar que esta Política esteja alinhada aos objetivos de negócio e ao planejamento estratégico da Companhia;
  • Promoção de um Ambiente Positivo de Segurança: incentivar o engajamento dos Colaboradores no desempenho de suas atividades conforme os parâmetros de segurança estabelecidos nesta Política;
  • Promoção da Segurança Cibernética: proteger as Informações contra acesso, modificação, destruição ou divulgação não autorizada para realizar a tratativa de vulnerabilidades, incidentes e monitoramento nos ambientes de Data Center e Cloud, de modo a minimizar os possíveis impactos relacionados à segurança cibernética;
  • Propriedade da Informação: toda Informação produzida e/ou armazenada pelos Ativos da Companhia é de sua propriedade e/ou controle, e não dos Colaboradores  ou de Terceiros, exceto nos casos onde a Companhia atue como Custodiante da Informação de outra organização.

Os procedimentos, controles, mecanismos e ações adotadas pela Companhia para alcançar os objetivos de Segurança da Informação contemplam os tópicos descritos abaixo:

  1. Gestão de Riscos  

A Companhia deve estabelecer diretrizes e padrões de gerenciamento de riscos para assegurar o atendimento às regulamentações aplicáveis e às boas práticas de mercado, por meio da implementação de processos alinhados à Declaração de Apetite ao Risco (RAS), à Política de Gestão de Riscos e Capital e à Norma de Gestão de Riscos e Capital para Diretoria.

  1. Gestão de Continuidade

A Companhia deve implementar planos de continuidade de negócios documentados, testados e revisados periodicamente de acordo com a Norma de Continuidade de Negócios e Crises, de forma que seus serviços essenciais sejam devidamente identificados, e que sejam incorporados os mecanismos de Segurança da Informação estabelecidos no ambiente corporativo.

  1. Testes de Continuidade de Negócios

A elaboração de cenários de incidentes considerados nos testes de continuidade de negócios devem contemplar, no mínimo:

  • Processos críticos presentes na análise de impacto de negócio (BIA);
  • Cenários de interrupção provocados por Incidentes de Segurança da Informação;
  • Cenários de indisponibilidade de interfaces utilizadas para o compartilhamento de Informações do Open Finance, conforme a Resolução Conjunta nº 1 de 04/05/2020 ;
  • A descrição dos critérios que configuram situações de crise decorrentes de incidentes relevantes.
  1. Governança em Proteção de Dados Pessoais

A Companhia deve implementar, seguir e aprimorar, continuamente, as diretrizes estabelecidas na Norma de Privacidade e Proteção de Dados Pessoais, assegurando a privacidade e a segurança dos Dados Pessoais tratados no âmbito da oferta e disponibilização de soluções pela Companhia.

  1. Gestão de Incidentes de Segurança 

Os Incidentes de Segurança da Informação devem ser registrados, classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade, relevância e impacto, nos termos determinados no Plano de Ação e Resposta a Incidentes de Segurança da Informação e na Norma de Gestão de Incidentes de Segurança da Informação e Privacidade. 

  1. Reporte de Incidentes Relevantes

Nos casos de incidentes de Segurança relevantes e reportáveis, conforme o Plano de Gestão de Crises, e desde que aprovado no Fórum de Gestão de Crises, a Companhia poderá compartilhar Informações sobre os incidentes com os órgãos reguladores.  

  1. Compartilhamento com Demais Instituições

A Companhia deve desenvolver e manter um processo para o compartilhamento de lições aprendidas relacionadas a incidentes cibernéticos, vulnerabilidades e ameaças com outras instituições financeiras, fortalecendo a resiliência do Sistema Financeiro Nacional. O compartilhamento deve ocorrer de forma segura, garantindo a Confidencialidade das Informações.

  1. Prevenção a Vazamento de Dados

A Companhia deve garantir a utilização de controles para prevenir a perda, roubo, má utilização ou vazamento de dados confidenciais. Em conformidade com o Procedimento Operacional Padrão de Segurança no Ciclo de Vida da Informação, esses controles devem assegurar o monitoramento das atividades de endpoints do fluxo de entrada e saída de dados da rede corporativa e a proteção dos dados em trânsito durante  transferências e compartilhamentos autorizados.

  1. Classificação e Tratamento da Informação 

O tratamento das Informações e dos Ativos devem ser classificados de acordo com o grau de Sigilo e relevância, conforme os parâmetros delineados no Procedimento Operacional Padrão de Segurança no Ciclo de Vida da Informação, garantindo o devido tratamento e proteção das Informações e Ativos durante todo o ciclo de vida.

  1. Gestão de Pessoas

A Companhia deve garantir que todas as atividades relacionadas ao ciclo de vida do Colaborador, como atração, seleção e admissão, sejam realizadas de forma a garantir a Confidencialidade, Integridade e Disponibilidade das Informações, de acordo com lei e regulamentação aplicável, políticas, normas e procedimentos internos.

  1. Gestão de Acessos 

No ato da contratação, mudança de área, desligamento de Colaborador ou finalização do vínculo de Terceiros, devem ser adotados processos formais que registrem, revisem e ajustem os acessos físicos e lógicos, garantindo que os Colaboradores tenham acesso apenas às Informações e aos recursos necessários ao desempenho de suas funções. Nos casos de desligamento, encerramento de vínculo ou afastamento por INSS e Maternidade, os acessos devem ser imediatamente bloqueados.

É obrigatória a utilização de crachá de identificação nas dependências da Companhia, a fim de prevenir acesso não autorizado e, consequentemente, impedir a ocorrência de danos e interferências nos recursos de processamento das Informações. 

Os acessos da Companhia observam o disposto na Norma de Identidade e Acessos.

  1. Gestão de Acesso Privilegiado

Todos os Ativos ou grupos de Ativos da Companhia devem ser identificados e classificados quanto ao nível de Confidencialidade da Informação, possibilitando a criação, utilização, monitoramento e gestão de Acessos Privilegiados, os quais habilitam usuários autorizados a executar tarefas que os demais Colaboradores não tem permissões para realizar.

Adicionalmente, todo acesso de caráter privilegiado aos Ativos e ambientes tecnológicos da Companhia deve ser obrigatoriamente intermediado por uma solução de cofre de senhas. Essa tecnologia é responsável por centralizar a gestão das credenciais e, principalmente, por efetuar a gravação e o registro detalhado (log) de todas as sessões realizadas. Tais registros são mandatórios e essenciais para garantir a rastreabilidade, suportar processos de auditoria e facilitar a análise de atividades, assegurando que todas as ações executadas por Colaboradores ou Terceiros sejam devidamente monitoradas. Os acessos privilegiados da Companhia devem seguir as diretrizes descritas na Norma de Identidade e Acessos.

  1. Senhas de Usuários 

Todas as senhas dos Colaboradores devem ser pessoais, confidenciais e intransferíveis, atendendo aos requisitos mínimos de segurança, conforme descrito na Norma de Identidade e Acessos.

  1. Mesa e Tela Limpa

As Informações devem ser protegidas tanto no meio digital (notebooks, celulares, tablets e dispositivos similares), quanto no físico (papel e afins). É de responsabilidade de cada Colaborador manter essas informações protegidas em qualquer ambiente, de acordo com a Norma de Uso Seguro de Ativos.

  1. Utilização dos Ativos de Tecnologia da Informação 

A Companhia deve garantir a observância do processo de avaliação e homologação de tecnologia da Informação, Segurança da Informação e Privacidade para a utilização de seus Ativos de tecnologia da Informação, sendo permitida apenas a utilização de Ativos previamente homologados e autorizados pela Companhia. A utilização de ativos dentro da Companhia deve observar as diretrizes da Norma de Uso Seguro de Ativos.

  1. Backup

As Informações relevantes da Companhia devem ser armazenadas de forma redundante, a fim de garantir a Disponibilidade e a possibilidade de restauração de arquivos digitais de computadores e sistemas corporativos de acordo com as normas vigentes e a Norma de Backup da Companhia.

  1. Descarte e Destruição

Os Ativos de tecnologia da Informação, que possuam ou não dados armazenados, devem ser descartados

ou destruídos de forma segura e em conformidade com o Procedimento Operacional Padrão de Segurança no Ciclo de Vida da Informação, evitando a revelação de Informações Confidenciais, a perda de dados ou o roubo de propriedade.

  1. Criptografia

É obrigatório o uso efetivo e adequado de sistemas de criptografia, com o objetivo de assegurar a Confidencialidade, Autenticidade e Integridade das Informações, garantindo seu armazenamento e transmissão de forma segura entre os dispositivos e redes da Companhia. Diretrizes de uso de criptografia podem ser conferidas no Procedimento Operacional Padrão de Proteção e Defesa Cibernética.

  1. Mascaramento e Anonimização

Para mitigar riscos de segurança e vazamento de Informações Confidenciais, é proibida a utilização de dados produtivos em ambientes de homologação e desenvolvimento. Quando for estritamente necessário o uso de dados reais em tais ambientes, todos os dados devem ser obrigatoriamente mascarados ou anonimizados.

  1. Segurança de Redes

Os Ativos de redes de computadores, como firewalls, roteadores, switches e pontos de acesso sem fio, devem possuir controles de restrição de acesso a usuários, bem como mecanismos de segmentação de redes, de modo a garantir a segurança dos dados e das Informações.

  1. Relacionamento com Terceiros

A Companhia deve garantir a avaliação de Terceiros com base em critérios de  segurança e privacidade de acordo com o serviço que será prestado, contemplando os aspectos de Confidencialidade,  Integridade, Disponibilidade e recuperação dos dados e Informações processadas ou armazenadas pelo Terceiro. O Terceiro deve atender aos requisitos de segurança estabelecidos na Norma de Segurança da Informação e Privacidade para Terceiros.

No caso de acessos de Terceiros aos Ativos da Companhia, como servidores, sistemas, código-fonte, banco de dados, entre outros, tais acessos devem ser realizados via equipamentos corporativos ou via equipamentos de terceiros com solução de rede virtual privada corporativa da Companhia e supervisionados pela área responsável pelo Terceiro e pela Área de Segurança da Informação.

  1. Aquisição, Desenvolvimento e Manutenção de Sistemas

A Companhia deve garantir a avaliação de segurança dos sistemas de sua propriedade, assegurando o alinhamento com as práticas de Segurança da Informação ao longo do ciclo de desenvolvimento seguro descrito na Norma de  Desenvolvimento Seguro e Segurança nas Aplicações.

  1. Auditoria e Conformidade 

A Companhia deve garantir a avaliação periódica das práticas de Segurança da Informação, visando avaliar a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e à legislação aplicável.

  1. Monitoramento 

A Companhia deve, em conformidade com a legislação em vigor, monitorar o acesso e a utilização de seus Ativos, incluindo ambientes, equipamentos e sistemas tecnológicos, de forma a detectar ações indesejáveis ou não autorizadas, conforme estabelecido na Norma de Registro e Monitoramento.

  1. Gestão de Mudança

A Companhia deve assegurar o processo de Gestão de Mudança, cujo objetivo é garantir que as mudanças realizadas no ambiente de produção sejam realizadas de forma controlada. As mudanças devem ser avaliadas, planejadas, testadas, comunicadas, implementadas e documentadas, mitigando os riscos envolvidos nas mudanças de tecnologia em ambientes operacionais. Além disso, os ambientes devem ser devidamente segregados em produção, desenvolvimento e homologação, conforme estabelecido na Norma de Gestão de Mudança. 

  1. Gestão de Patches

O processo de Gestão de Patches é uma prática destinada a prevenir, na infraestrutura de tecnologia da Informação, a exploração de vulnerabilidades que possam comprometer a Confidencialidade, Integridade ou Disponibilidade das Informações manipuladas por componentes dessa infraestrutura. Todos os Ativos de Informação de propriedade ou mantidos pela Companhia devem ter instalados os últimos Patches estáveis, disponibilizados pelos respectivos Fornecedores.

  1. Controles contra Malware

A Companhia deve implementar e manter controles para a prevenção e detecção de software malicioso em todos os Ativos de Tecnologia da Informação, conforme parâmetros delineados no Procedimento Operacional Padrão de Proteção e Defesa Cibernética.

  1. Hardening 

A Companhia deve implementar processos e controles destinados a fortalecer a segurança de estações de trabalho, servidores, bancos de dados e dispositivos de rede, independentemente do ambiente em que estejam, de acordo com as diretrizes do Procedimento Operacional de Hardening.

  1. Gestão de Vulnerabilidades

A Companhia deve garantir a implementação de procedimentos e controles de acordo com a Norma de Gestão de Vulnerabilidades, incluindo a realização periódica de testes e varreduras, destinados a prevenir, detectar e reduzir a vulnerabilidade a incidentes, atendendo aos demais objetivos de segurança cibernética.

  1. Testes de Intrusão

Devem ser realizados testes de Intrusão, internos e externos, por Equipes da Área de Segurança da Informação ou empresas independentes, no mínimo anualmente, com o intuito de aferir as camadas de Segurança e identificar vulnerabilidades. Os testes de intrusão devem seguir as diretrizes estabelecidas na Norma de Gestão de Vulnerabilidades.

  1. Cloud

Toda contratação de serviços de Cloud Computing deve ser regida por um contrato entre a Companhia e o Fornecedor, passando pelo processo de homologação de Segurança da Informação e privacidade. Adicionalmente, a contratação deve seguir as diretrizes estabelecidas na Norma de Serviços Terceiros, e na regulamentação, para fins de comunicação ao BCB, em conformidade com a legislação aplicável.

Considerações Finais

  1. Compromissos e Penalidades

Todas as garantias necessárias ao cumprimento desta Política estão formalmente estabelecidas com os Colaboradores e Terceiros da Companhia. O descumprimento desta Política é considerado uma falta grave, podendo acarretar a aplicação de sanções previstas em lei, nos regulamentos internos e nas disposições contratuais.

  1.  Treinamento

Um programa de conscientização, educação e treinamento em Segurança da Informação necessário à garantia dos objetivos, princípios e diretrizes definidas nesta Política deverá ser realizado  adequando-se às necessidades e responsabilidades específicas de cada Colaborador e, onde pertinente, Terceiros.

  1.  Diretrizes Complementares

As empresas que compõem a Companhia poderão dispor de documentos próprios relacionados à Segurança da Informação, desde que compatíveis com as diretrizes previstas nesta Política e elaborados em conformidade com os procedimentos de formalização previstos no artigo 2º, §3º da Resolução BCB nº 85/2021.

Atribuição de Responsabilidades

Área de Conformidade Regulatória

  • Realizar a comunicação/interface com os órgãos reguladores, conforme necessidade.
  • Realizar e acompanhar as cobranças para execução dos treinamentos obrigatórios dos Colaboradores.

Área de Gestão Integrada de Riscos

  • Elaborar metodologia e parâmetros para matriz de classificação de riscos corporativos e submetê-la para aprovação no Fórum de Riscos.

Área de Risco Operacional

  • Apoiar a aprovação e uso de metodologia e parâmetros da Governança de Riscos Corporativos  na classificação de Incidentes de Segurança da Informação;
  • Acompanhar a resolução de incidente crítico em conjunto com a Equipe de Segurança da Informação;
  • Coordenar a gestão de risco de Terceiros, definindo metodologia e parâmetros de avaliação e de classificação de riscos e seu monitoramento, além de submeter cenários aplicáveis ao Fórum de Riscos para aprovação e garantir sua execução;
  • Conduzir o processo de Gestão de Crises de acordo com o plano estabelecido;
  • Elaborar metodologia, monitoramento e definição da matriz de classificação de Riscos Tecnológicos;
  • Analisar eventuais solicitações de assunção de riscos a temas relacionados a essa Política;
  • Analisar a viabilidade de contratação do seguro de proteção contra ataques cibernéticos levando em consideração os riscos que serão mitigados em relação às coberturas contratadas.

Área de Pessoas

  • Definir padrão de nomenclatura para áreas e cargos de Colaboradores e Terceiros, garantindo a atualização de forma tempestiva sobre qualquer alteração no quadro de Colaboradores;
  • Disponibilizar esta Política e as demais normas de Segurança da Informação ao Colaborador;
  • Disponibilizar e garantir o treinamento do onboarding de Segurança da Informação para os Colaboradores;

Área de Segurança da Informação

  • Gerenciar, coordenar, orientar, avaliar e implantar as ações, controles, atividades e projetos relativos à Segurança da Informação e Privacidade, promovendo ações de interesse da Companhia, programas educacionais, de conscientização e de capacitação e de avaliação periódica de pessoal;
  • Identificar, tratar e responder os Incidentes de Segurança da Informação, inclusive os Incidentes de Segurança com Dados Pessoais e Dados Pessoais Sensíveis;
  • Assegurar que o sistema de gestão de Segurança da Informação está em conformidade com as principais práticas de Segurança da Informação do mercado, de acordo com a sua adequação e aplicabilidade;
  • Relatar sobre o desempenho do sistema de gestão de Segurança da Informação para a Diretoria Executiva;
  • Propor e apoiar iniciativas que visem a segurança dos Ativos; 
  • Prestar Informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos por meio de canais oficiais da Companhia;
  • Realizar periodicamente testes e varreduras em Ativos para prevenir, detectar e reduzir a vulnerabilidades técnicas;
  • Monitorar o acesso e a utilização dos Ativos tecnológicos, dos ambientes, equipamentos e sistemas da Informação da Companhia, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente; 
  • Divulgar ao público o resumo com linhas gerais desta Política no site institucional;
  • Aplicar e disseminar o conteúdo desta Política, bem como revisá-la de acordo com as diretrizes da Companhia.

Área de Tecnologia da Informação

  • Operacionalizar as normas e procedimentos relacionados a esta Política, por meio dos recursos de TI, que visa garantir a segurança, conforme orientação da Área de Segurança da Informação;
  • Criar mecanismos capazes de detectar, reportar e responder falhas ou incidentes de Tecnologia da Informação;
  • Configurar, executar e gerenciar as tarefas de Backup e os testes de restauração, armazenamento e retenção das Informações relevantes, com foco no RTO e RPO definidos no BIA;
  • Gerenciar o ciclo de vida dos Ativos de Tecnologia, desde a aquisição até o descarte;
  • Garantir, classificar, manter a acuracidade e a atualização periódica dos Ativos de tecnologia no inventário de Ativos;
  • Garantir o uso e disponibilização de Ativos corporativos e homologados pelas Equipes de Tecnologia (equipamentos de TI, notebooks, dispositivos móveis, sistemas, APIs, software e etc);
  • Garantir a aplicação de padrões de Segurança (hardening) para Sistemas Operacionais, Aplicativos, Ativos de Rede, APIs, Bancos de Dados, Servidores, bem como garantir a obsolescências de versões;
  • Manter e realizar manutenção da solução de criptografia para discos rígidos e notebooks;
  • Realizar a gestão e suporte nas tecnologias de banco de dados, incluindo a implementação de mecanismos de criptografia;
  • Gerenciar processo de gestão de mudanças dentro da Companhia, garantindo a priorização, alocação de recursos, coleta e organização de  Informações em documentação padronizada;
  • Gerenciar a aplicação de Patches nos Ativos sob sua responsabilidade;
  • Garantir a instalação e manutenção dos agentes de Segurança da Informação nos Ativos de infraestrutura (servidores e estações de trabalho);
  • Realizar a instalação de agentes de compliance de Segurança em estações de trabalho, servidores e dispositivos móveis;
  • Corrigir as vulnerabilidades identificadas nos Ativos de tecnologia em ambientes de desenvolvimento, homologação e produção, seja On-premises ou Cloud;
  • Manter os logs e trilhas de auditoria de Ativos de infraestrutura de Tecnologia da Informação, a fim de garantir o processo de rastreabilidade;
  • Identificar, classificar e reportar acessos privilegiados que habilitam usuários autorizados a executar tarefas que os demais Colaboradores não tem permissões para realizar;
  • Garantir que dados produtivos não sejam replicados para ambientes de homologação/desenvolvimento sem a aplicação de controles de mascaramento de Dados Pessoais conforme níveis de sensibilidade dos dados;
  • Classificar e proteger as Informações com controles e tecnologias compatíveis com os níveis de sensibilidade de dados e Informações definidos no Procedimento Operacional Padrão de Segurança no Ciclo de Vida da Informação;
  • Prover a tecnologia necessária para os processos críticos (definidos no PCN) esteja disponível em um local alternativo ou em nuvem.
  • Participar ativamente dos testes de PCN/DR (que simulam a falha de um processo de negócio), garantindo que a tecnologia de suporte funcione conforme o esperado.
  • Criar e manter atualizado o documento DRP (runbook) que detalha, passo a passo, como recuperar cada sistema crítico.
  • Propor e manter a arquitetura de rede, de forma a prover a adequada segmentação, conforme a criticidade dos ambientes. Além disso, manter a topologia de rede atualizada e publicada internamente para as partes inseridas no processo.

Colaboradores e Partes Interessadas 

  • Conhecer e cumprir as diretrizes estabelecidas nesta Política, treinamentos e demais regulamentos que derivam desta Política ou com ela se relacionam, bem como as boas práticas que contribuem para a Segurança da Informação, conforme disponíveis e aplicáveis;
  • Reportar possíveis Incidentes e eventuais desconformidades com esta Política ao seu Gestor imediato, entidades responsáveis e/ou aos canais estabelecidos nesta Política, conforme aplicável;
  • Evitar remover, desabilitar ou tentar desabilitar qualquer agente, software ou ferramenta de segurança instalada nos equipamentos da Companhia;
  • Proteger e salvaguardar os Ativos e Informações de que sejam usuários, dos ambientes físicos e computacionais a que tenham acesso, independentemente das medidas de segurança implantadas; e
  • Manter o Sigilo de todas as Informações acessadas durante seu período de relacionamento com a Companhia, bem como após o encerramento dele, conforme diretrizes estabelecidas em contrato.

Reporte e Canais de Contato

A Área de Segurança da Informação será responsável pelo tratamento de dúvidas relativas aos temas tratados nesta Política ou a possíveis assuntos não contemplados, por meio do e-mail: [email protected]. Quaisquer violações a esta Política deverão ser reportadas à Companhia por meio do Orelhão, em:

A Companhia garante a Confidencialidade e anonimato das Informações reportadas, bem como a não retaliação a denunciantes que estiverem agindo de boa-fé.