Política de Segurança da Informação
Atualizado em: 20/10/2022
1. OBJETIVO
A Política de Segurança da Informação (PSI) está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005 e tem como objetivo principal descrever de forma clara e objetiva as orientações e diretrizes para proteção dos ativos de informação e a prevenção de responsabilidades legais para as pessoas que de alguma forma tenham acesso às informações dentro do ambiente do BomConsórcio. Deve ser seguida e aplicada em sua totalidade. Tais orientações e diretrizes relacionadas à Segurança da Informação são esforços contínuos para a proteção dos ativos de informação. Para tanto, visam atingir os seguintes objetivos:
▪ Confidencialidade – A propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
▪ Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos (ativos da informação), ou seja, garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
▪ Disponibilidade – Garantia de que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.
2. APLICAÇÕES
As diretrizes estabelecidas neste documento deverão ser seguidas integramente por todos os colaboradores, parceiros e/ou prestadores de serviço que tenham acesso a qualquer tipo de informação do BomConsórcio, seja ele por meio físico, digital ou oral. Sendo assim, esta política dá ciência a cada um dos citados anteriormente de que os ambientes, sistemas e computadores da empresa são monitorados com base nas leis brasileiras vigentes. Destaca-se, também, a obrigação por parte desses usuários de manterem-se atualizados em relação ao Plano de Segurança da Informação, tendo à sua disponibilidade, para maiores esclarecimentos de quaisquer pontos relacionados, o comitê gestor de segurança da informação e/ou CTO.
3. RESPONSABILIDADES
3.1 COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO
Deve ser constituído por 04 membros, sendo formado pelo CTO, Analista de Infraestrutura, Gerente de Compliance e Gerente Comercial. Deverá ocorrer pelo menos 01 vez a cada 06 meses uma reunião do comitê gestor de segurança da informação, na qual poderá ser tratado qualquer desses assuntos:
▪ Propor investimentos relacionados à segurança da informação com o objetivo de mitigar riscos;
▪ Propor alterações nas versões da PSI e inclusão, eliminação ou mudança de normas complementares;
▪ Avaliar os incidentes de segurança e propor ações preventivas e corretivas;
▪ Avaliar e propor medidas cabíveis nos casos de descumprimento da PSI.
3.2 COLABORADORES E PRESTADORES DE SERVIÇO
Será de inteira responsabilidade de cada colaborador e prestador de serviço, que exerça alguma atividade dentro ou fora da empresa, todo prejuízo ou dano que vier a sofrer ou causar à empresa e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
3.3 GESTORES
Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão. Apresentar aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, e aos parceiros e prestadores de serviços, no momento de sua contratação, a responsabilidade pelo cumprimento da PSI estabelecida pela empresa. Garantir que as normas, processos, procedimentos e sistemas sob sua responsabilidade atendam a esta PSI.
3.4 FUNDOS DE INVESTIMENTO
Entende-se por usuários dos veículos de investimento, os representantes de cada fundo que utilizarem de alguma forma os sistemas ou até mesmo compartilharem qualquer informação do BomConsórcio. Os Fundos de Investimentos devem garantir que as normas, processos, procedimentos e sistemas sob sua responsabilidade atendam a esta PSI.
3.5 ADMINISTRADORAS DE CONSÓRCIO
Entende-se por usuários das administradoras de consórcio, os representantes de cada administradora que utilizarem de alguma forma os sistemas ou até mesmo compartilharem qualquer informação do BomConsórcio. As Administradoras de Consórcio devem garantir que as normas, processos, procedimentos e sistemas sob sua responsabilidade atendam a esta PSI.
4. VIOLAÇÃO DA POLÍTICA, NORMAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO
Qualquer pessoa que identificar ação ou suspeita de ação que venha a infringir esta política, deverá comunicar imediatamente ao comitê gestor da segurança da informação, através do endereço segurancati@wordpress.bomconsorciobrasil.com.br, que analisará o incidente reportado, tendo a responsabilidade de aplicar todas as medidas cabíveis para corrigir a vulnerabilidade, enviando relatório à Diretoria do BomConsórcio. É competência desta Diretoria deliberar sobre as possíveis sanções aplicáveis. Se o incidente for reportado ao gestor da área, ele deverá encaminhar ao comitê gestor. Alguns exemplos que podem ocasionar sanções:
▪ Uso de software ilegal, não homologado e/ou não autorizado pelo comitê gestor de segurança da informação e/ou /gestor da área responsável;
▪ Introdução (intencional ou não) de vírus nos ativos da empresa;
▪ Tentativas de acesso não autorizadas à dados e sistemas;
▪ Compartilhamento de informações confidenciais e/ou sensíveis aos negócios da empresa; ▪ Divulgação não autorizada de informações de clientes, cotas e transações realizadas;
▪ Uso indevido de credenciais de outra pessoa ou disponibilização de informações como login e senha para outras pessoas;
▪ Acesso não autorizado ou vazamento de dados pessoais que constam nas bases de dados e/ou quaisquer sistemas utilizados pelo BomConsórcio.
5. PRINCÍPIOS E DIRETIVAS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
5.1 CLASSIFICAÇÃO DA INFORMAÇÃO
As informações e os sistemas de informação, diretórios de rede e bancos de dados são classificados como estritamente confidenciais. As informações, seja no período de geração, guarda, uso, transferência ou destruição devem ser tratadas em conformidade com cada etapa do ciclo. Eventuais falhas no sigilo da informação, integridade ou disponibilidade deste tipo de informação trazem grandes prejuízos ao BomConsórcio, expressos em perdas financeiras diretas, além de perdas de competitividade e produtividade ou imagem do BomConsórcio, podendo levar à extinção das operações ou prejuízos graves ao crescimento. São exemplos de informações confidenciais:
▪ Informações de cotistas que devem ser protegidas, incluindo dados cadastrais (CPF, RG etc.), dado de conta bancária e valores das transações;
▪ Quaisquer informações do BomConsórcio que não devem ser divulgadas ao meio externo antes da publicação pelas áreas competentes;
▪ Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações utilizadas na autenticação de identidades. Estas informações são também pessoais e intransferíveis;
▪ As informações e recursos disponibilizados pelo BomConsórcio são de uso exclusivo para fins relacionados ao trabalho;
▪ Informações referentes ao modelo de negócio bem como informações acerca dos acordos firmados com os parceiros comerciais.
5.2 CONTROLE DE ACESSO
O colaborador é totalmente responsável pela correta posse e utilização de suas senhas e autorizações de acesso a sistemas, assim como pelas ações decorrentes da utilização destes poderes. O acesso e o uso de todos os sistemas de informação, diretórios de rede, bancos de dados e demais recursos devem ser restritos a pessoas explicitamente autorizadas e de acordo com a necessidade de uso descrita na matriz de segregação de função (SoD – Segregation of Duties) estabelecida e aprovada pela diretoria. Periodicamente, os acessos concedidos devem ser revistos pelo comitê gestor e, posteriormente, submetidos à aprovação da diretoria.
5.2.1 Autenticação e Senha
Para acesso à estação de trabalho, rede, sistemas e correio eletrônico corporativos os colaboradores deverão usar senhas de caráter sigiloso, pessoal e intransferível. Em nenhuma hipótese as senhas pessoais poderão ser compartilhadas com qualquer pessoa. Os colaboradores devem:
▪ Proteger as suas senhas;
▪ Alterar a senha, notificando a empresa, sempre que existir qualquer suspeita do comprometimento dela;
▪ Selecionar senhas que atendam aos requisitos de segurança implementados;
▪ Bloquear sempre o equipamento ao se ausentar;
▪ Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/”logado” com a sua identificação.
▪ Será de responsabilidade do colaborador o uso indevido de suas senhas.
5.3 SEGURANÇA FÍSICA DO AMBIENTE
5.3.1 Controle de Entrada Física
As portas de acesso à empresa possuem controle de acesso com chave e/ou senha. Haverá monitoramento de acesso por câmeras de vigilância nos estabelecimentos do BomConsórcio.
5.3.2 Proteção contra ameaças externas e ambientais
As salas são equipadas com sprinklers e as áreas comuns do edifício possuem sprinklers e extintores destinados a combater focos de fogo e incêndio.
5.3.3 Datacenter
O Datacenter é um espaço de acesso restrito, com acesso permitido apenas a colaboradores com o perfil determinado no SoD – Segregation of Duties. Os colaboradores deverão comunicar imediatamente à área de Segurança da Informação qualquer suspeita de intercorrências com essa área, como por exemplo, vazamento de água, suspensão de energia elétrica, suspensão da rede de ar condicionado próprio da sala ou acesso não autorizado.
5.4 SEGURANÇA OPERACIONAL
5.4.1 Backup
As informações do BomConsórcio (banco de dados, aplicações e demais documentos) deverão estar presentes no processo de backup, de modo que todas as informações estejam consistentes e disponíveis quando necessárias. Devem entrar na política de backup:
▪ Banco de dados de aplicações internas;
▪ Bancos de dados de produto;
▪ Pastas e diretórios contidos em servidores de dados físicos;
▪ E-mails e drivers em nuvem.
5.4.2 Proteção contra crimes cibernéticos e códigos maliciosos (malwares, ransomwares e phishing)
Será garantida a utilização e instalação de antivírus e firewalls e demais recursos, em todos os computadores e dispositivos, cuja atualização da base de dados deve ocorrer automaticamente. Também deverá garantir formas de conscientização e treinamento de todos os envolvidos para que permaneçam vigilantes em relação aos casos de phishing. Os usuários não devem clicar em links duvidosos, nem responder e-mails desconhecidos ou de fora da organização, que não estejam em um contexto de conversa. Além disso, a empresa deverá criar campanhas para estimular a denúncia e avisos de tentativas de phishing contra a organização. Nenhum tipo de arquivo deverá ser transferido de dentro da organização para terceiros sem a confirmação do destinatário. Caso haja algum tipo de sequestro de dados ou arquivos, os setores responsáveis devem ser alertados imediatamente para cumprir com o fluxograma de gestão de riscos. Nenhum colaborador deverá responder ou negociar diretamente com sequestradores de dados. É conveniente que a organização utilize filtros de spam para que as caixas de mensagens dos colaboradores não sejam alvo de mensagens indesejadas, propagandas e e-mails duvidosos. Deverão ser realizadas periodicamente análises e varreduras de qualquer tipo de vírus ou arquivos maliciosos. O colaborador será responsável por problemas decorrentes do uso dos equipamentos e sistemas que não observe as práticas aqui estabelecidas.
5.4.3 Banco de Dados
O BomConsórcio adota uma segregação clara e objetiva dos ambientes de banco de dados, mantendo ambientes para desenvolvimento, homologação e produção. Nos ambientes de homologação e desenvolvimento, quando necessário, realizamos a anonimização de dados considerados sigilosos para garantir sua confidencialidade. Sobre o acesso ao banco de dados, tanto usuários de aplicação quanto usuários físicos devem possuir logins individuais com privilégios restritos aos tipos de operação que poderão executar. A respeito de auditoria de banco de dados, mantemos registros de acesso e modificação para as entidades que tiverem caráter confidencial e/ou relevante.
5.4.4 Trabalho Remoto
O BomConsórcio possui política definindo condições e regras para o uso do trabalho remoto. Tal política contém procedimentos sobre o ambiente e a segurança física do local de trabalho remoto, os requisitos de segurança de comunicação, o fornecimento de VPN ou qualquer outro meio seguro para acesso às estações de trabalho virtuais, segurança das redes domésticas e confidencialidade das informações contra pessoas no mesmo local doméstico. Além disso, essa política define provisão de equipamentos e mobiliário apropriados, classificação da informação tratada, horários de acessos às informações, provisão de suporte, entre outros.
5.4.5 Política de Mesa e Tela Limpas
Cada colaborador deve adotar medidas para evitar incidentes em segurança da informação, dentre as quais:
▪ Armazenar de maneira segura todos os documentos com informações confidenciais e sensíveis ao negócio do BomConsórcio, em formato físico ou em dispositivos eletrônicos, para que não permaneçam sobre a mesa quando não estiverem sendo utilizados;
▪ Realizar a leitura de documentos diretamente pela tela do computador, sempre que possível, evitando impressões desnecessárias;
▪ Retirar da impressora, de maneira imediata, documento classificado como confidencial;
▪ Bloquear todas as estações de trabalho de uso individual ou comum, durante a ausência do usuário;
▪ Desligar equipamento após o expediente de trabalho;
▪ Utilizar proteção de tela (com login e senha para acesso) em todos computadores e notebooks;
▪ Realizar a limpeza da mesa de trabalho diariamente, ao final do expediente. Em casos de férias ou outro tipo de ausência prolongada do local de trabalho, além da limpeza da mesa, deverá guardar os documentos, trancar as gavetas e armários e entregar as chaves ao gestor imediato ou à área Administrativa;
▪ Evitar o consumo de alimentos, particularmente líquidos como água, suco, refrigerante ou café na mesa de trabalho;
▪ Manter as salas fechadas sempre que terminar o expediente.
5.5 GESTÃO DE ATIVOS
5.5.1 Equipamentos de propriedade da empresa
O colaborador terá à sua disposição um equipamento formatado e com o setup de aplicativos adequado à sua atividade no BomConsórcio. As máquinas terão criptografia de hardware e não permitirão o uso de drivers externos, tais como HDs, pendrives e cartões de memória.
5.5.2. Equipamentos particulares ou locados
Excepcionalmente, quando se fizer necessária a utilização de um equipamento particular do colaborador ou de equipamento locado, como computador ou qualquer dispositivo portátil que possa armazenar e/ou processar dados, estes não devem ser usados para armazenar informações confidenciais relacionadas com o negócio. Para que seja feita tal atividade, é necessária autorização expressa do gestor da área.
5.5.3. Direitos de Propriedade
Todo produto resultante do trabalho dos colaboradores (coleta de dados e documentos, sistema, metodologia, dentre outros) é propriedade do BomConsórcio. Além desses produtos, tecnologias, marcas, metodologias, diagramas, modelos de negócio e quaisquer documentos e códigos de sistema que pertençam ao BomConsórcio não devem ser utilizados para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho. Em caso de extinção ou rescisão do contrato de prestação de serviços, por qualquer motivo, deverá o colaborador devolver todas as informações confidenciais geradas e manuseadas em decorrência da prestação dos serviços.
5.6. SEGURANÇA DAS COMUNICAÇÕES
5.6.1 Utilização dos Recursos de Informação
Os equipamentos e softwares disponibilizados e/ou homologados pela empresa podem ser instalados e conectados à rede do BomConsórcio. Todos os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis. Documentos não devem ser abandonados após a sua cópia, impressão ou utilização. Será realizada periodicamente uma aferição nas estações de trabalho, a fim de verificar a existência de algum software não homologado/aprovado pelo BomConsórcio. Caso seja identificado algum software não autorizado, o colaborador deverá justificar o uso dele ou providenciar a retirada. Ao final desse processo de revisão, o resultado deverá ser enviado para o comitê gestor de segurança da informação para conhecimento e devidas providências. A troca de informações com parceiros e fornecedores sempre ocorrerá por meios seguros e homologados pelo BomConsórcio.
5.6.2 Monitoramento Telefônico
As conversas telefônicas originadas ou recebidas pelo sistema de telefonia do BomConsórcio serão monitoradas e gravadas de modo que o conteúdo possa ser usado para fins de esclarecimento de questões relacionadas a esta Política, inclusive no âmbito judicial.
5.6.3 Adoção de comportamento seguro
Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os profissionais. Portanto, é fundamental para a proteção e salvaguarda das informações que os colaboradores adotem comportamento seguro e consistente com o objetivo de proteção das informações do BomConsórcio, com destaque para os seguintes itens:
▪ Sócios, colaboradores e prestadores de serviços devem assumir atitude proativa e engajada no que diz respeito à proteção das informações do BomConsórcio;
▪ Todos no BomConsórcio devem compreender as ameaças externas que podem afetar a segurança das informações da empresa, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação;
▪ Todo tipo de acesso à informação confidencial do BomConsórcio que não for explicitamente autorizado é proibido;
▪ Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, elevadores, táxis etc.).
▪ Toda comunicação que envolve colaboradores, parceiros, fornecedores e clientes do BomConsórcio deve ocorrer através dos meios oficiais definidos pela empresa, como email corporativo e grupos de chat em ferramentas previamente homologadas, que poderão ser auditadas a critério do BomConsórcio.
5.7 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Esta Política deve ser divulgada a todos os colaboradores e parceiros estratégicos e manter-se disponível e atualizada. As regras estabelecidas na Política são objeto de treinamento e conscientização a todos os colaboradores.
5.8 CONTINUIDADE DOS NEGÓCIOS
O BomConsórcio manterá plano de continuidade dos negócios como resposta a eventual incidente que ameace ou efetivamente cause a interrupção de suas operações.
BOMCONSÓRCIO S.A.