4. Diretrizes
4.1. PremissasEsta política foi elaborada com base na Resolução CMN nº 4.658/2018 e na Resolução do Banco Central do Brasil nº 85/2021, que dispõem sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.
4.2. Estrutura da ÁreaAlinhada com as estratégias internas de TI e com as melhores práticas de Segurança da Informação, foram analisados os diversos padrões que poderiam atender às necessidades de proteção das informações da empresa.
Foram eleitas as normas NBR ISO IEC 27001 e 27002, bem como os padrões PCI e requisitos do Bacen, com o objetivo de implementar não apenas os controles tecnológicos, mas também os controles de processo, garantindo assim a governança na implementação do Sistema de Gestão da Segurança da Informação da Credesto.
A estrutura organizacional montada reflete a seleção de controles da gestão de segurança e é baseada no resultado da Avaliação de Riscos, nas orientações dos acionistas, no diagnóstico realizado, nos aspectos culturais da Credesto e na legislação pertinente.
A equipe de Segurança da Informação é uma gerência alocada na estrutura de Tecnologia da Credesto, sob a nomenclatura Security, conforme apresentado no organograma a seguir.
4.2.1. Implementação e Operação da Área de Segurança da Informação
Com base no Sistema de Gestão da Segurança da Informação, a Credesto:
4.2.1.1. Formula um plano de tratamento de risco que identifica a ação apropriada a ser adotada pela direção, os recursos e as responsabilidades e prioridades para o gerenciamento dos riscos relacionados com a segurança da informação;
4.2.1.2. Implementa o plano para o tratamento de pontos de auditoria que estejam sob responsabilidade da área, para atender aos objetivos de controle identificados;
4.2.1.3. Implementa os controles selecionados para atender aos objetivos de controle;
4.2.1.4. Define como medir a eficácia dos controles ou grupos de controle selecionados e especifica como essas medidas são usadas para avaliar a eficácia dos controles, visando produzir resultados comparáveis e reproduzíveis;
4.2.1.5. Define o escopo, os limites da área e os processos envolvidos, em termos das características do negócio, da organização, da localização, dos ativos e da tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo de controles;
4.2.1.6. Implementa tecnologias para identificar tentativas e violações de segurança da informação bem-sucedidas ou não, além de incidentes de segurança da informação;
4.2.1.7. Contribui com tecnologias e processos para detectar eventos de segurança da informação e assim prevenir os incidentes de segurança da informação pelo uso dos indicadores;
4.2.1.8. Realiza, a cada seis meses, a análise crítica da eficácia dos controles, por meio do Comitê de Segurança da Informação, para garantir que o escopo permanece adequado e que melhorias no processo de gestão de segurança são identificadas e implementadas;
4.2.1.9. Implementa Políticas, Padrões e Procedimentos e outros controles que sejam capazes de permitir a pronta detecção de eventos de segurança da informação e a resposta a incidentes de segurança da informação.
A Credesto estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora continuamente o seu Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto das atividades de negócios globais e dos riscos a que ela está sujeita.
4.3. Papéis e ResponsabilidadesOs papéis e responsabilidades relacionados a esta Política estão estabelecidos abaixo.
4.3.1. Segurança da Informação
4.3.1.1. Equipe de Segurança Defensiva
Responsável pelo monitoramento de ameaças e comportamentos anômalos, bem como pelo acesso aos dados. Investiga, analisa e responde a incidentes cibernéticos no ambiente Credesto. Gerencia o Centro de Operações de Segurança (SOC), que monitora o ambiente 24x7x365 e analisa os alertas e as informações de segurança, distribuindo para as equipes apropriadas. Define, documenta e distribui procedimentos de resposta e escalonamento de incidentes de segurança para garantir que todas as situações sejam abordadas de modo eficiente.
4.3.1.2. Equipe de Integração
Assegura que os requisitos de segurança necessários para proteger a missão e os processos comerciais da organização sejam adequadamente abordados em todos os aspectos da arquitetura sistêmica, incluindo modelos de referência, arquiteturas de segmento e de solução conforme as melhores práticas de segurança.
4.3.1.3. Equipe de TI Corporativo
Responsável por todo o suporte ao usuário final, desde suporte técnico até orientações para o uso das ferramentas utilizadas na Credesto.
4.3.1.4. Gestão de Identidade e Acesso
Responsável pelo ciclo de vida dos acessos de todos os colaboradores e terceiros, bem como pelo cumprimento das melhores práticas. Administra as contas dos usuários, incluindo adições, exclusões e modificações. Controla o acesso aos sistemas e dados por meio de perfis apropriados.
4.3.1.5. EQUIPE DE APOIO
Conduz avaliações de normativas e técnicas quanto aos controles de segurança em âmbito corporativo, gerencia os riscos associados à segurança da informação, pontos de auditorias, projetos de compliance e adequação às leis e gerencia os indicadores de segurança promovendo a melhoria contínua do processo e conscientização. Define, documenta e distribui políticas e procedimentos de segurança.
4.3.2. Administradores(as) e Colaboradores(as)
É dever dos administradores(as) e colaboradores(as) da Credesto:
4.3.2.1. Observar e zelar pelo cumprimento da presente Política, estando ciente formalmente das diretrizes estabelecidas e, quando necessário, acionar o responsável pela área de segurança da informação para consultas sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas;
4.3.2.2. Cumprir as leis e normas que regulamentem os aspectos de propriedade intelectual e uso de dados, como zelar pela proteção dos dados confidenciais (dados pessoais, sensíveis, financeiros – inclusive dados de cartão, estratégicos ou protegidos por lei) da Credesto ou dados que estiverem sob sua responsabilidade durante o seu tratamento;
4.3.2.3. Reportar à equipe de Segurança da Informação de forma tempestiva qualquer evento suspeito que possa comprometer o ambiente da Credesto ou que configure uma violação à Política de Segurança da Informação e Cibernética;
4.3.2.4. Sugerir, recomendar e verificar a implementação das melhores práticas de segurança em todos os processos de sua responsabilidade;
4.3.2.5. Utilizar responsavelmente e para fins de trabalho, de forma profissional, ética e legal, os ativos de tecnologia da informação;
4.3.2.6. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;
4.3.2.7. Compreender o papel da segurança da informação em suas atividades diárias e participar dos programas de conscientização.
4.3.3. Diretor Responsável por Segurança da Informação
É dever do Diretor responsável por Segurança da Informação:
4.3.3.1. Cumprir e zelar pelo cumprimento das diretrizes desta Política alinhada à Resolução CMN no 4.658/2018 e à Resolução do Banco Central do Brasil No 85/2021, bem como demais normativos internos correlatos e suas respectivas atualizações;
4.3.3.2. Atender e cumprir as demandas dos órgãos reguladores relacionadas à Segurança da Informação.
4.3.4. Compliance e Segurança da Informação
É dever da área de Compliance e Segurança da Informação, em conjunto, realizar a atualização dos normativos internos relacionados à Segurança da Informação, assegurando a sua conformidade com as leis e regulamentações aplicáveis.
4.3.5. Comitê Executivo e Comitê de Segurança da Informação
É dever do Comitê Executivo e do Comitê de Segurança da Informação da Credesto garantir a proteção dos dados de cartão e a conformidade com o Programa PCI DSS, fornecendo os recursos necessários para essa adequação.
Nos casos em que haja necessidade de contato com autoridades (por exemplo, no caso de suspeita de que a lei foi violada), haverá deliberação do Comitê de Segurança da Informação para definir os responsáveis por conduzir as atividades de comunicação.
Ambos os Comitês mencionados acima têm suas diretrizes estabelecidas no Regimento Interno do Comitê de Segurança da Informação, disponível para conhecimento dos colaboradores da Credesto no repositório corporativo de normativos internos.
Os materiais de apresentação aos Comitês, assim como as pautas correspondentes, devem ser repassados à equipe de Compliance com antecedência para organização das reuniões e para a distribuição do material aos integrantes e eventuais convidados.
4.4. Ativos de Segurança da InformaçãoPara garantir a segurança das informações, os seguintes pilares devem ser respeitados e considerados em toda tomada de decisão:
4.4.1. Confidencialidade – garantia de que as informações são acessadas somente por aqueles expressamente autorizados.
4.4.2. Integridade – garantia de que as informações estão íntegras durante o ciclo de criação, processamento e descarte.
4.4.3. Disponibilidade – garantia de que as informações estejam disponíveis sempre que necessário para o andamento de processos de negócio.
Consideram-se ativos de informações todas as informações geradas ou desenvolvidas para o negócio que podem estar presentes de diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.
Independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.
Todo ativo de informação de propriedade da Credesto deve ter um responsável devidamente classificado de acordo com os critérios estabelecidos e adequadamente protegido de quaisquer riscos ou ameaças que possam comprometer o negócio.
4.5. Diretrizes GeraisCom relação à segurança cibernética, a Credesto dispõe das seguintes diretrizes gerais:
4.5.1. Proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;
4.5.2. Adequada classificação das informações e garantia da continuidade do processamento destas, conforme os critérios e princípios indicados nos normativos específicos;
4.5.3. Garantia que os sistemas e dados sob nossa responsabilidade estão devidamente protegidos e estão sendo utilizados apenas para o cumprimento das nossas atribuições;
4.5.4. Zelo pela integridade da infraestrutura tecnológica na qual são armazenados, processados e tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados restritos e confidenciais;
4.5.5. Manutenção e gerenciamento de softwares antivírus, firewall e demais softwares de segurança instalados e atualizados e manutenção dos programas de computador instalados no ambiente.
4.5.6. Conformidad con las leyes y normativas que regulan las actividades realizadas por Credesto.
Con el fin de cumplir con las directrices anteriormente mencionadas, Credesto tiene como objetivo en materia de ciberseguridad prevenir, detectar y reducir la vulnerabilidad a incidentes relacionados con el entorno cibernético.
En cuanto a las medidas de seguridad, Credesto adopta procedimientos y controles para reducir la vulnerabilidad a incidentes y cumplir con los objetivos de ciberseguridad. Entre ellos:
- autenticación, criptografía, prevención y detección de intrusiones;
- prevención de filtración de información, realización periódica de pruebas y exploraciones para detectar vulnerabilidades, protección contra software malicioso, establecimiento de mecanismos de trazabilidad, controles de acceso y segmentación de la red de computadoras y almacenamiento de copias de seguridad de datos e información, según las normativas vigentes;
- aplicación de los procedimientos y controles mencionados anteriormente, incluso en el desarrollo de sistemas de información seguros y en la adopción de nuevas tecnologías utilizadas en las actividades de Credesto.
- tiene controles específicos, incluidos los orientados a la trazabilidad de la información, que buscan garantizar la seguridad de la información sensible.
- controla, monitorea y restringe el acceso a los activos de información al mínimo de permisos y privilegios posible;
- contribuye a la mitigación de los riesgos empresariales y cibernéticos según la Política de Gestión de Riesgos Operativos.
- registra, analiza la causa y el impacto, así como controla los efectos de incidentes relevantes para las actividades de Credesto, que incluyen incluso información recibida de empresas prestadoras de servicios a terceros.
- elabora un inventario de escenarios de crisis cibernéticas relacionados con incidentes de seguridad considerados en las pruebas de continuidad de los servicios prestados y los prueba anualmente para garantizar la eficacia de los procesos, además de producir anualmente un informe de respuesta a incidentes en el entorno tecnológico de Credesto;
- clasifica los incidentes de seguridad según su relevancia de acuerdo con la clasificación de la información involucrada y el impacto en la continuidad del negocio de Credesto;
- realiza evaluaciones periódicas de empresas prestadoras de servicios que realizan el tratamiento de información relevante para Credesto con el objetivo de seguir el nivel de madurez de sus controles de seguridad para la prevención y el tratamiento adecuado de los incidentes;
- tiene criterios para clasificar la relevancia de los servicios de procesamiento y almacenamiento de datos y de computación en la nube, ya sea en el país o en el extranjero.
- adopta un proceso de gestión de continuidad del negocio, según la Política Corporativa de Continuidad del Negocio.
- establece reglas y estándares para asegurar que la información reciba el nivel adecuado de protección en cuanto a su relevancia. Toda información tiene un propietario, se clasifica obligatoriamente y recibe los controles adecuados que garanticen la confidencialidad de esta, de acuerdo con las buenas prácticas del mercado y las regulaciones vigentes.
- realiza acciones para prevenir, identificar, registrar y responder a incidentes y crisis de seguridad que involucren el entorno tecnológico de Credesto y que puedan comprometer los pilares de seguridad de la información o representar riesgos de reputación, financieros u operativos.
- adopta mecanismos para la difusión de la cultura de seguridad de la información y cibernética en la empresa, incluida la implementación de un programa de capacitación obligatoria para los empleados, la provisión de información a los usuarios finales sobre precauciones en el uso de productos y servicios ofrecidos y el compromiso de la alta dirección con la mejora continua de los procedimientos relacionados con la seguridad de la información y cibernética.
- adopta iniciativas para compartir información sobre incidentes relevantes a través de la afiliación a foros de discusión y mediante el uso compartido de la plataforma de SIEM.
4.6. Compromiso de la Alta DirecciónEl compromiso de la Alta Dirección con la efectividad y mejora continua de esta Política, los procedimientos y los controles relacionados con la seguridad de la información y cibernética se percibe a través de la constante transformación y mejora de la gobernanza en acciones relacionadas con los pilares mencionados anteriormente y mediante la provisión de recursos compatibles con la complejidad de Credesto, evaluación y aprobación de Políticas y Procedimientos, entre otras iniciativas.
4.7. Entrenamiento y ConcienciaciónEl Programa de Entrenamiento y Concienciación en Seguridad de la Información es establecido y gestionado por el equipo de Advisory. Se establece un cronograma anual con los temas relevantes a tratar y se pueden adoptar diferentes formatos de entrenamiento y concienciación, como por ejemplo:
- en línea a través de la plataforma de concienciación vigente;
- en línea y en vivo a través de la plataforma de comunicación vigente, permitiendo la interacción con los participantes;
- pruebas de phishing enviadas al correo electrónico de los miembros del equipo;
- entrenamientos específicos para satisfacer las necesidades de un grupo de miembros del equipo;
- comunicados con consejos y materiales de concienciación divulgados a los miembros del equipo a través de los canales oficiales de comunicación.
La evidencia de la participación y el reconocimiento del contenido se evalúa mediante un cuestionario u otro método adecuado.
Las pruebas de ejecución del Programa de Entrenamiento y Concienciación en Seguridad de la Información son almacenadas por el Seguridad de la Información en un lugar protegido.
4.8. Registros e InformaçõesAs informações relacionadas a incidentes de segurança da informação e cibernética são de caráter confidencial e não devem, em hipótese alguma, ser disponibilizadas às partes envolvidas. Todos os documentos referentes à investigação, incluindo a coleta de evidências, devem ser arquivados pelo prazo mínimo de 10 (dez) anos.
4.9. Disposições GeraisA equipe de Segurança da Informação mantém formalmente documentadas suas Políticas, Procedimentos e outras informações relevantes no repositório corporativo de normativos internos. O responsável pelo documento deve atualizar o normativo pelo menos 1 (uma) vez ao ano, seguindo a diretriz corporativa de atualização de documentos estabelecida pelo time de compliance.
Os documentos devem seguir a nomenclatura especificada abaixo:
- POL – Políticas:** documentos com diretrizes abrangentes e regras sobre um tema.
- PROD – Procedimentos:** documentos com instruções detalhadas sobre um processo.
Outros documentos, como formulários e diagramas, devem obedecer à nomenclatura vigente estabelecida pelo time de Advisory. Documentos divulgados para toda a empresa passam por revisão do time de Advisory e aprovação do time de Compliance.
Documentos pertinentes apenas à equipe de Segurança da Informação são encaminhados somente ao time de Advisory para revisão e catalogação.
4.10. Gestão de ConsequênciasMembros do time, fornecedores, parceiros e clientes que observarem desvios em relação às diretrizes desta política devem relatar através do Canal Ético Credesto. O descumprimento resultará em medidas conforme a gravidade, incluindo responsabilização administrativa, cível ou penal, processos disciplinares e sanções previstas na CLT.
4.11. Cumprimento da PolíticaAlém da avaliação de efetividade pela equipe de Segurança da Informação, os mecanismos de segurança são avaliados periodicamente pela auditoria interna da Credesto e por auditorias de entidades regulamentadoras.
4.12. Contato com Grupos EspeciaisContatos com grupos especializados são estabelecidos para ampliar conhecimento sobre as melhores práticas e manter-se atualizado sobre Segurança da Informação. Os fornecedores podem ser visualizados nos links abaixo:
4.13. Vigência da PolíticaEsta Política é revisada anualmente ou quando necessário, aprovada pelo Comitê de Segurança da Informação e Conselho de Administração. Entra em vigor na data de sua aprovação e revoga documentos em contrário.