ÍNDICE
PARTE 01 – Visão Geral
Introdução
Regra Geral
Princípios
Diretrizes Gerais de Segurança Cibernética
Tipos de Informações, Propriedade Intelectual e Descarte de Equipamentos
PARTE 02 – Política quanto a Usuários
Gestão de Acessos de Usuários
PARTE 03 – Estrutura TI na Centrocred
Gestão de Backup e Recuperação
Proteção contra software malicioso
PARTE 04 – Riscos e Incidentes
Gestão de Riscos e Incidentes
PARTE 05 – Outros
Plano de Ação e de Resposta a Incidentes
Disposições Gerais
1. INTRODUÇÃO
1.1 Contexto Operacional da Centrocred
1.1.1. A Centrocred S.A. - CFI é uma Instituição Financeira pertencente aos mesmos sócios do Grupo Empresarial Deltasul.
1.1.2 A Deltasul é uma rede varejista do ramo de móveis e eletrodomésticos atuante no Rio Grande do Sul, sendo o único correspondente nacional da Centrocred na originação de operações de crédito.
1.2. Produtos da Centrocred
1.2.1 Produtos de Crédito
a) Crédito Direto ao Consumidor ( CDC )
b) Reparcelamento das operações de CDC em atraso
1.2.2. Produtos na Captação de Recursos
a) Letras de Câmbio
b) Recibos de Depósito Bancário
1.3. Público alvo da Centrocred
1.3.1. Produtos de Crédito
a) Unicamente pessoas físicas que desejam realizar compras parceladas na rede de lojas.
1.4. Objetivo desta Política
1.4.1. Em atenção à Resolução nº 4.658 do Banco Central do Brasil e à Lei n. 13.709/2018, este documento estabelece os princípios, conceitos, valores e práticas a serem adotados na Instituição visando assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados, além de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados ao ambiente cibernético e proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
1.5. Público alvo desta Política
1.5.1. Este documento é dirigido a todos os administradores, funcionários, menores aprendizes, estagiários e todos e quaisquer outros colaboradores e pessoas envolvidas na atuação interna e com o mercado.
1.6. Definição
1.6.1. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para a organização, clientes, colaboradores ou prestadores de serviços. Além do que está armazenado nos computadores, a informação, para fins desta política abrange, também, mas não somente, conteúdos impressos em relatórios, documentos, arquivos físicos, conteúdos repassados através de conversas nos ambientes interno e externo.
1.7. Responsabilidades
1.7.1. As políticas, estratégias e processos corporativos da Política de Segurança Cibernética e a execução do Plano de Ação e de Resposta a Incidentes, e as respectivas melhorias a serem implementadas, são de responsabilidade da Divisão de TI que é subordinada ao Diretor Vice-Presidente Executivo da Instituição.
2. REGRA GERAL
2.1. A Política de Segurança Cibernética da Instituição deve ser divulgada aos funcionários da Instituição e às empresas prestadoras de serviço e devem estar disponíveis em local acessível aos colaboradores e protegidas contra alterações.
3. PRINCÍPIOS
3.1. As ações da Instituição regem-se pelos seguintes princípios:
3.1.1 Confidencialidade: Limitação do acesso à informação, sendo permitido o acesso somente às pessoas autorizadas e em circunstâncias que se apresentem efetivamente necessário o acesso, protegendo informações que devem ser acessíveis apenas por um determinado grupo de usuários contra acessos não autorizados.
3.1.2. Disponibilidade: Garantia de acesso das pessoas devidamente autorizadas à informação sempre que o acesso for necessário, prevenindo interrupções das operações da Instituição por meio de um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança.
3.1.3. Integridade: Garantia da veracidade, fidelidade e integridade da informação e dos métodos de seu processamento e eventual tratamento da informação, pois esta não deve ser alterada enquanto está sendo transferida ou armazenada, com exceção dos casos em que a informação deva ser ofuscada, embaralhada ou descaracterizada para preservar o sigilo da mesma, impedindo que a informação fique exposta ao manuseio por uma pessoa não autorizada e impedindo alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.
4. DIRETRIZES GERAIS de SEGURANÇA CIBERNÉTICA
4.1. A Política de Segurança Cibernética na Instituição segue as seguintes diretrizes:
4.1.1. As informações da Instituição, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida.
4.1.2. As informações e os dados devem ser utilizadas de forma transparente e apenas para as finalidades para as quais foram coletadas.
4.1.3. Somente deve ter concedido acesso às informações e recursos de informação imprescindíveis para o pleno desempenho das suas atividades do indivíduo autorizado.
4.1.4. A senha dos usuários é pessoal e intransferível, e deve ser mantida secreta, sendo proibido seu compartilhamento.
4.1.5. Devem ser reportados à área de Tecnologia da Informação da Instituição os riscos às informações e eventuais fatos ou ocorrências que possam colocar em risco tais informações.
4.1.6. As responsabilidades quanto à Política de Segurança Cibernética devem ser amplamente divulgadas a todos aqueles considerados público-alvo desta política, que devem entender e assegurar o cumprimento do aqui disposto.
4.1.7. Os contratos com prestadores de serviço que tiverem acesso a informações, aos sistemas ou ambiente tecnológico, devem conter cláusulas de confidencialidade e responsabilidades entre as partes e ainda assegurem que os profissionais:
a) Cumpram as leis e normas que regulamentam a propriedade intelectual.
b) Protejam as informações da Instituição.
c) Que a utilização das informações, sistemas e ambiente tecnológico da Instituição sejam apenas para finalidades previamente aprovadas.
d) Comuniquem imediatamente qualquer violação desta Política e/ou outras Normas.
4.1.8. As iniciativas e projetos das áreas de negócio e tecnologia devem estar alinhadas com as diretrizes e arquiteturas da Segurança Cibernética, garantindo a confidencialidade, integridade e disponibilidade das informações.
4.1.9. O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às políticas de segurança da instituição e às boas práticas de segurança.
5. TIPOS de INFORMAÇÕES, PROPRIEDADE INTELECTUAL e DESCARTE de EQUIPAMENTOS
5.1. Critério
5.1.1. As informações podem ser classificadas da seguinte forma:
a) Informações Públicas
b) Informações Internas
c) Informações Restritas
d) Informações Confidenciais
5.2. Informações Públicas
5.2.1. São aquelas informações explicitamente aprovadas por seu responsável, para consulta irrestrita e cuja divulgação externa não compromete o negócio.
5.2.2. Possuem caráter informativo geral e são direcionadas a usuários, clientes ou investidores.
5.2.3. Exemplos: material de marketing, informativos, periódicos, anúncios, campanhas, notas de imprensa e outras formas de divulgação.
5.3. Informações Internas
5.3.1. São aquelas informações destinadas ao uso interno da Instituição disponível para todos os usuários.
5.3.2. A divulgação de informações dessa natureza, ainda que não autorizada, não afetaria os negócios da Instituição, seus funcionários e clientes.
5.3.3. Essas informações não exigem proteções especiais salvo aquelas entendidas como mínimas para impedir a divulgação externa não intencional.
5.3.4. Exemplos: manuais, apostilas e apresentações sobre treinamento, lista telefônica interna, Política de Segurança, normas complementares, regulamentos, manuais e procedimentos operacionais.
5.4. Informações Restritas
5.4.1. São aquelas informações disponíveis para um usuário específico ou grupo de usuários que obrigatoriamente constam como destinatários da informação.
5.4.2. Diferem das informações de uso interno à medida que não está disponível para todos os usuários e eventual divulgação poderia afetar significativamente os negócios da Instituição, funcionários, terceiros, clientes e investidores e outros.
5.4.3. Exemplos: projetos, registros de funcionários, planos salariais, informações sobre clientes, sejam elas genéricas ou específicas, classificação de crédito, gráficos e indicadores de desempenho, metas e objetivos de negócio.
5.5. Informações Confidenciais
5.5.1.São aquelas informações que correspondem a mais alta classificação de segurança para as informações que transitam na Instituição.
5.5.2. Sua divulgação não autorizada pode causar danos substanciais.
5.5.3. As pessoas designadas para o acesso, trato e uso de tais informações obrigatoriamente constam como destinatárias da informação e têm a responsabilidade de garantir que elas sejam devidamente protegidas e seguramente armazenadas quando não estiverem em uso.
5.5.4. Exemplos: informações privadas dos usuários, saldos de contas-correntes, salários e benefícios dos funcionários, contratos, senhas de acesso, dados cadastrais de clientes, informações judiciais, informações de fusões, aquisições ou outras atividades do mercado de capitais não disponíveis ao público em geral.
5.5.5. Sua divulgação é proibida, salvo se solicitada por órgão fiscalizador competente (BACEN, Receita Federal, por exemplo) ou por decisão judicial.
5.6. Propriedade Intelectual
5.6.1. A propriedade intelectual é composta por bens imateriais, tais como: marcas, sinais distintivos, slogans publicitários, nomes de domínio, nomes empresariais, indicações geográficas, desenhos industriais, patentes de invenção e de modelo de utilidade, obras intelectuais (tais como obras literárias, artísticas e científicas, base de dados, fotografias, desenhos, ilustrações, projetos de arquitetura, obras musicais, obras audiovisuais, textos e etc.), programas de computador e segredos empresariais (inclusive segredos de indústria e comércio).
5.6.2. Quaisquer informações e propriedade intelectual que pertençam à Instituição, ou por ela disponibilizadas, não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas, inferidas ou desenvolvidas pelo próprio indivíduo em seu ambiente de trabalho.
5.7. Descarte de Equipamentos
5.7.1. Todo o dispositivo de armazenamento de dados que venha a ser selecionado para descarte ou substituição deverá ter os seus dados removidos / apagados para que nenhum dado possa ser acessado ou recuperado indevidamente por pessoas não autorizadas.
5.7.2. A remoção / destruição dos dados dos dispositivos é realizada através do uso de softwares específicos para este fim ou pela inutilização física do dispositivo (no caso do dispositivo estar danificado e não for viável a utilização de software de remoção / destruição).
6. GESTÃO de ACESSOS DE USUÁRIOS
6.1. Conceito
6.1.1. A Política de Segurança Cibernética visa estabelecer controles relacionados à concessão de acesso ao ambiente (físico e virtual) somente a pessoas autorizadas.
6.2. Acesso Físico
6.2.1. O acesso a locais com informações sensíveis deve ser restrito fisicamente.
6.2.2. O acesso de visitantes, inclusive ex-funcionários e terceiros, no ambiente operacional da Instituição só poderá ocorrer com autorização, e acompanhamento de funcionário, sendo vedada a circulação de terceiros sem autorização específica para isso.
6.3. Acesso a Sistemas
6.3.1. As regras de acesso aos sistemas da Instituição estão definidos da seguinte forma:
a) A Divisão de TI é responsável pela criação da identidade lógica dos funcionários e demais usuários dos softwares utilizados pela Instituição, conforme solicitação do gerente de cada área.
b) Quando da admissão ou transferência de funcionário, o Gestor da Área, com a aprovação de Diretor, deve emitir uma solicitação informando os softwares e sistemas que funcionário necessita acesso para desempenho de suas funções.
c) Quando da demissão ou dispensa de funcionário, a Divisão de TI / Setor Pessoal bloqueia o acesso aos diversos sistemas, ambientes de rede, serviço de e-mail e internet e outras formas de acesso a informações da Instituição eventualmente contidas.
c.1) O mesmo deve ocorrer com relação a todos considerados público-alvo desta política.
d) Nos demais casos, que não o perfil padrão, o gestor da área solicitará o acesso à Divisão de TI, com autorização de Diretor, que analisará a possibilidade de acesso, as funcionalidades e ainda o tipo de acesso passível para a área e cargo do funcionário, garantindo a limitação de acesso a informações críticas.
6.4. Inclusão de Usuário
6.4.1 No cadastramento de novos usuários do sistema, são estabelecidos os limites de acesso e é fornecido o login para utilização.
7. GESTÃO de BACKUP e RECUPERAÇÃO
7.1. Conceito
7.1.1. Procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na ocorrência de incidentes em segurança com perda da informação, grandes sinistros ou mesmo desastres.
7.2. Responsabilidades
7.2.1. É de responsabilidade da Divisão de TI validar o processo de backup corporativo, bem como sua qualidade.
7.2.1. É de responsabilidade da Divisão de TI prestar suporte, manutenção e executar o processo de backup corporativo, bem como remover os dados das mídias magnéticas antes do descarte.
7.2.3. Descarte de mídias magnéticas oriundas do processo de backup são de responsabilidade da Divisão de TI.
8. PROTEÇÃO CONTRA SOFTWARE MALICIOSO
8.1. Critérios
8.1.1. Todos os servidores, estações de trabalho ou notebooks possuem instalado em seus sistemas operacionais uma cópia da versão padrão e atualizada do software Antivírus adotado pela Instituição, instalado e mantida sua manutenção pela Divisão de TI.
8.1.2. Os equipamentos de propriedade de terceiros que necessitem conectar-se à rede da Instituição devem ter instalados softwares antivírus, dentro dos padrões determinados pela Divisão de TI, devendo o mesmo ser mantido atualizado e ativado durante todo o tempo de conexão na rede corporativa.
8.1.3. É proibido o uso de software malicioso e/ou desconhecido.
a) Somente é permitida a utilização de software autorizado pela Instituição, respeitando direitos autorais e contratuais, e o antivírus deve monitorar os arquivos e programas quanto à contaminação por vírus eletrônico antes de sua utilização.
8.1.4. Os sistemas de informação devem possuir softwares de detecção e bloqueio de programas maliciosos tais como: detecção de intrusos, programas antivírus, programas de análise de conteúdo de correio eletrônico e firewall.
8.1.5. Quando forem disponibilizadas correções ou atualizações para os sistemas de detecção e bloqueio de programas maliciosos as mesmas devem ser avaliadas e instaladas evitando assim que vulnerabilidades inerentes possam ser exploradas.
8.1.6. As atualizações e as correções dos sistemas de detecção e bloqueio de programas maliciosos devem ser homologadas pela Divisão de TI, quando possível, antes de serem aplicadas ao ambiente de produção.
8.2. Responsabilidades dos gestores
8.2.1. Garantir que todos estejam cientes das responsabilidades atribuídas a eles por esta política.
8.2.2. Garantir que as normas aqui estabelecidas sejam comunicadas e entendidas por todas as pessoas envolvidas.
8.2.3. Zelar pelo cumprimento das normas estabelecidas neste documento.
8.2.4. Comunicar à Divisão de TI as necessidades de revisão e atualização do conteúdo estabelecido nesta política.
8.3. Responsabilidades da Divisão de TI
8.3.1. Garantir a instalação dos sistemas de detecção e bloqueio de programas maliciosos nos equipamentos computacionais, mantendo-os atualizados conforme disponibilização do fabricante.
8.3.2 Estar à disposição para quaisquer esclarecimentos que se fizerem necessários, bem como atender aos incidentes de segurança.
9. GESTÃO de RISCOS e INCIDENTES
9.1.1 Riscos
a) Os riscos devem ser identificados para análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da Instituição, para que sejam recomendadas as proteções adequadas.
9.1.2. Incidentes
a) O objetivo da classificação de incidentes é definir o profissional mais adequado para tratar do ocorrido, e também identificar a prioridade no seu atendimento.
9.1.3. Classificação de Incidentes
a) Categoria
a.1) Hardware, Software, Banco de Dados, Servidor de aplicação, Servidor de contingência, Rede
b) Localização
b.1)Interno ou Externo
c) Tipo
c.1) Falha, Danificação de peças, Vazamento de informações, Roubo de informações, Vírus, Criptografia
9.1.4. Comunicação de incidentes
a) Os incidentes de Segurança Cibernética da Instituição devem ser reportados ao Diretor Vice-Presidente Executivo.
b) As ocorrências relevantes e interrupções dos serviços, que caracterizem crise pela Instituição, tal como as ações para o reinício das operações devem ser comunicadas tempestivamente ao Banco Central do Brasil.
10. PLANO de AÇÃO e de RESPOSTA a INCIDENTES
10.1. Objetivos
10.1.1. Dar a providência imediata invocando os procedimentos de recuperação do sistema da Instituição, definidos pela Diretoria e de acordo com as exigências do Banco Central do Brasil, considerando o tempo de espera previsto para o restabelecimento das atividades.
10.2. Conceitos
10.2.1. Desastre:
a) É a ocorrência de qualquer tipo de anormalidade que impeça ou impacte a atividade de produção dos sistemas críticos.
10.2.2. Sistemas Críticos:
a) São sistemas cuja inoperância implica em perdas irreversíveis de cunho financeiro, jurídico ou de imagem da Instituição e o retorno de sua atividade produtiva deve acontecer em até 24 horas após a ocorrência do desastre.
10.2.3. Recuperação:
a) É o restabelecimento da atividade produtiva dos sistemas críticos, total ou parcialmente, no caso do desastre se efetivar.
10.3. Ativação e Desativação do Plano de Ação e de Resposta a Incidentes
10.3.1. A ativação e desativação das ações definidas no Plano de Ação e de Resposta a Incidentes serão feitos por solicitação a Diretoria, mediante parecer com informações detalhadas pelo gestor de TI.
11. DISPOSIÇÕES GERAIS
11.1. Disseminação da Cultura de Segurança Cibernética
11.1.1. A presente política deve ser divulgada e compartilhada com todo o público-alvo, e deve ser disponibilizada de maneira que seu conteúdo possa ser consultado a qualquer momento.
11.1.2. A aplicação das diretrizes da presente política é de responsabilidade dos gestores de cada área.
11.2. Conscientização em Segurança Cibernética
11.1.2. A instituição promoverá a disseminação dos princípios e diretrizes da Política de Segurança Cibernética com o objetivo de fortalecer a cultura de segurança.
11.3. Avaliação Independente da Auditoria
11.3.1. A efetividade das políticas é verificada por meio de avaliações periódicas de auditoria.