Pular para o conteúdo principal
Entrar

Política de Segurança da Informação Cibernética - Featbank

Permanently deleted user
  • Atualizado

 

 

 

 

Natureza

 

Versão

 

Produzido

 

Autorizado

 

Data do Documento

 

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO CIBERNÉTICA

 

 

01

 

Janaína Vasconcelos

 

Victor Volpato

 

23/04/2024

 

1.OBJETIVO

 

 

Esta Política Corporativa tem por objetivo descrever as diretrizes de Segurança da Informação e Cibernética aplicáveis na Featbank Instituição de Pagamento, prezando pelos princípios básicos de confidencialidade, integridade e disponibilidade.

 

 

2.ABRANGÊNCIA

 

 

Esta Política Corporativa deve ser difundida a todos os colaboradores, terceiros e prestadores de serviço que atuam na Featbank Instituição de Pagamento. Ajustes podem ser realizados no formato de divulgação desta política para adequação ao público em geral.

 

 

3. COMPETÊNCIA DE APROVAÇÃO

 

 

Gerencia de Segurança - Responsável pela elaboração e manutenção desta política.

 

Diretoria de Segurança - Responsável pela revisão desta política.

 

Diretoria Societária Featbank Instituição de Pagamento - Responsável pela aprovação desta política.

 

 

4. INTRODUÇÃO

 

 

Esta política dispõe das diretrizes essenciais de segurança da informação e segurança cibernética. Estas diretrizes são estabelecidas com base nos requisitos de órgãos reguladores, normas e práticas de mercado com foco em uma estratégia eficiente de segurança da informação por meio de controles para reduzir os riscos envolvidos, assim como se precaver de potenciais incidentes de forma tempestiva. E, são aplicáveis a todos os colaboradores, terceiros e prestadores de serviço que atuam na Featbank Instituição de Pagamento.

 

 

5. ESTRATÉGIA

 

 

A Diretoria da Featbank Instituição de Pagamento está, desde a sua fundação, comprometida na melhoria contínua dos serviços relacionados com a segurança da informação e cibernética, disponibilizando recursos compatíveis para o desenvolvimento da disciplina na empresa, através da priorização dos projetos voltados a segurança dos produtos e infraestrutura interna, além de considerar os riscos de segurança da informação e cibernética em produtos, projetos e processos.

 

O objetivo de Segurança na Featbank Instituição de Pagamento é garantir a confidencialidade, integridade, disponibilidade, autenticidade, legalidade, não-repúdio e privacidade das informações internas e de seus clientes, por meio da prevenção, detecção, redução das vulnerabilidades e contenção de incidentes relacionados com o ambiente cibernético.

 

 

6. PAPEIS E RESPONSABILIDADES

 

 

Diretoria de Segurança

 

 É responsável por estabelecer o plano tático e estratégico de Segurança e Prevenção a Fraudes em linha com a estratégia de negócio e a de tecnologia. Sendo o CISO – Chief Information Security Officer possui o papel de evitar e mitigar riscos de vulnerabilidade e ataques cibernéticos.

 

Além disso, é também responsável por criar uma abordagem eficiente para atingir os objetivos de Segurança e Prevenção a Fraudes. Desta forma, estabelece em sua estrutura as áreas com seus papéis e responsabilidade:

 

Governança de Segurança

 

 É responsável por alinhar os objetivos e estratégia de Segurança com os objetivos e estratégia de negócio, apresentando os riscos de segurança para a Diretoria e para as partes interessadas, agregando valor ao negócio do Featbank Instituição de Pagamentoe endereçando os riscos adequadamente.

 

 

Engenharia de Segurança

 

É responsável por prover os requisitos de segurança para infraestrutura e aplicações durante todo o ciclo de vida do projeto, por definir a estratégia de arquitetura de soluções e segurança bem como implantá-las em linha com os objetivos definidos e diretrizes oriundas da Política de Segurança da Informação e Cibernética.

 

 Operação de Segurança e Resposta a Incidentes

 

É responsável pelas Operações de Segurança (SOC – Security Operation Center), e por monitorar os eventos de segurança por meio do sistema de correlação de eventos de segurança (SIEM) e reagir diante de eventuais alertas através do engajamento das partes interessadas. Também agrega a responsabilidade de Resposta a Incidentes (CSIRT – Cyber Security Incident Response Team) com a capacidade de responder aos incidentes de segurança, contendo, erradicando, remediando e acompanhando o reestabelecimento do ambiente de forma tempestiva.

 

Segurança de Aplicações e Segurança Ofensiva

 

 É responsável por conduzir a equipe de Segurança Cibernética (Red Team) com capacidade de desafiar e testar todos os controles de segurança estabelecidos no ambiente, com o intuito de descobrir novas falhas e agir com o pensamento de um potencial atacante.

  

Cultura e Conscientização

 

 É responsável por prover, em linha com as estratégias de Segurança e Prevenção a Fraudes, o Programa de Conscientização, contemplando treinamentos e educação contínua para colaboradores e terceiros, relacionamento com as comunidades de segurança e tecnologia bem como a educação sobre segurança para clientes da Featbank Instituição de Pagamento.

  

Prevenção a Fraudes

 

 Responsável por definir processos e controles evitando que ações fraudulentas sejam executadas através dos produtos ou serviços que a Featbank Instituição de Pagamento fornece aos seus clientes. Adicionalmente deverá se manter atualizado nas tendências de práticas de fraudes para providenciar soluções aos produtos e serviços da Featbank Instituição de Pagamento, buscando a proteção dos clientes.

 

 

7. PRINCIPAIS DISCIPLINAS DE SEGURANÇA

 

 

Para alcançar os objetivos de segurança da segurança foram estabelecidas as seguintes disciplinas.

 

 

7.1 Criptografia

  

A criptografia é a ciência de escrever mensagens cifradas, ou seja, de forma inelegível. Na Featbank Instituição de Pagamento, os recursos de criptografia são utilizados de diversas maneiras para assegurar a confidencialidade, integridade, a autenticidade e não repúdio das informações. Podem ser utilizadas a criptografia de chave simétrica e assimétrica além de funções de resumo (hash), certificados digitais ou ainda outros tipos de métodos.

 

Essas medidas têm o objetivo de impor limites e estabelecer requisitos para o uso da criptografia pela Featbank Instituição de Pagamento.

 

São as regras:

 

  • Algoritmos padrão comprovados, como o AES, devem ser usados como base para tecnologias de criptografia.

 

  • Esses algoritmos representam a cifra real usada para um aplicativo aprovado. Por exemplo, o Pretty Good Privacy (PGP) da Network Associate usa uma combinação de IDEA, CAST ou 3DES, enquanto o Secure Socket Layer (SSL) usa criptografia RSA.

 

  • Os comprimentos de chave do sistema criptográfico simétrico devem ser de pelo menos 128 bits.

 

  • As chaves do sistema de criptografia assimétricas devem ter um comprimento que produza força equivalente.

 

  • Os requisitos de comprimento de chave da Featbank Instituição de Pagamento serão revisados anualmente e atualizados conforme a tecnologia permitir.

 

  • O uso de ‘proprietary encryption algorithms’ não é permitido para qualquer finalidade, a menos que seja revisado por especialistas qualificados fora do fornecedor em questão e aprovado pela Featbank Instituição de Pagamento.

 

 

Para garantir a segurança das Comunicações a Featbank Instituição de Pagamento deverá sempre:

 

 

  • Utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim - a fim para serviços de comunicação.

 

  • Instalar e manter um sistema de firewall e/ou utilizar um Web Application Firewall (WAF – Filtro de Aplicação).

 

  • Proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e integrar o antivírus ao sistema de e-mail.

 

  • Remover quaisquer dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas.

 

 

7.2. Prevenção e Detecção de Intrusão

 

 

Prevenção e detecção de intrusão correspondem aos recursos tecnológicos utilizados na estratégia de proteção da rede da Featbank Instituição de Pagamentoassociada as atividades de monitoramento e bloqueio tempestivo de qualquer comportamento ou tráfego suspeito que pode indicar uma tentativa de ataque ou uma exploração de vulnerabilidade. Os contratos com empresas terceiras e prestadores de serviço devem estabelecer a responsabilidade de colaboração diante um incidente de segurança declarado.

 

 

7.2.1 Concessão de Acesso aos Sistemas e Monitoramento

 

 

A Diretoria exigirá a assinatura de termo de confidencialidade e sigilo com os Colaboradores e Terceiros envolvidos nas operações da Featbank Instituição de Pagamento, bem como indicará quem são os gestores responsáveis por conceder, limitar, excluir e suprimir o acesso aos sistemas e ambientes virtuais da Featbank Instituição de Pagamento, de forma que a Featbank Instituição de Pagamento contará com  mecanismos de cadastro, autenticação e de rastreio das ações (logs dos históricos) realizadas por seus Colaboradores e Terceiros, que, porventura, tenha acesso aos seus sistemas.

 

Os ambientes de trabalho que guardem computadores, servidores, dentre outros dispositivos eletrônicos que permitam acesso aos sistemas e ambientes virtuais da Featbank Instituição de Pagamento, serão monitorados por câmeras 24h por dia 7 (sete) dias da semana.

 

Ademais, os Colaboradores, que em decorrência da sua função, precisam ter acesso aos dados pessoais dos Clientes e informações delicadas quanto à sua saúde financeira, utilização dos produtos da Featbank Instituição de Pagamento, dentre outros dados, serão de preferência alocados em locais específicos dentro da empresa, a fim de reduzir as chances de comunicação de informações confidenciais para Colaboradores que não necessitem de tal informação.

 

A Featbank Instituição de Pagamento manterá um canal de denúncia anônimo disponível aos Colaboradores, para que possam relatar condutas suspeitas de colegas ou de Terceiros, bem como, realizará periodicamente auditorias internas, com o objetivo de avaliar o histórico de acessos (logs) de Colaboradores, a fim de diagnosticar eventual conduta suspeita ou irregular, bem como irá requerer o mesmo padrão de zelo e de gestão das empresas de processamento, armazenamento e computação em nuvem contratadas.

 

 

7.2.2. Uso de Equipamentos Corporativos, Responsabilidade Com os Dados de Acesso e Restrições De Acesso.

 

 

A Featbank Instituição de Pagamento fornecerá os equipamentos eletrônicos que sejam necessários à execução das atividades pelo Colaborador, tais como: notebooks, pen-drives, tablets, celulares, dentre outros, podendo assim realizar varreduras e investigações internas nos equipamentos corporativos.

 

Além disso, a Featbank Instituição de Pagamento se propõe a implementar em seus equipamentos e sistemas um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais, conforme determinado nestas Políticas.

 

Os Colaboradores são responsáveis por todos os atos executados com seu identificador (login), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia, estando proibido de ceder ou facilitar o uso do seu identificador ou o uso de equipamentos por outras pessoas, ainda, enquanto estiver ausente deverá bloqueá-los, outros detalhes constam na Política de Segurança da Informação e Segurança Cibernética.

 

 

7.2.3. Prevenção à Indisponibilidade do Sistema e Ambientes Virtuais da Featbank Instituição de Pagamento.

 

 

A Featbank Instituição de Pagamento dedicará equipe interna específica para a implementação de melhorias e monitoramento da integridade do sistema e ambientes virtuais, ademais, para reduzir as chances de indisponibilidade tem como medidas de controle:

 

  • Redundância de links de internet e de servidores;

 

  • Load balance;

 

  • Assistência externa com o provedor de internet com SLA máximo de 4h (quatro horas) para a solução quando estiver sem acesso à rede.

 

7.3Classificação das Informações

 

 

A classificação das informações tem por objetivo orientar proprietários, custo diante e consumidores a identificar a criticidade, rotular e tratar as informações utilizando os controles aplicáveis a julgar por sua sensibilidade. Informações devem ser classificadas como Públicas, Internas, Restritas ou Confidenciais.

 

É responsabilidade de todos os colaboradores da Featbank Instituição de Pagamento e seus prestadores de serviços assegurar que as informações são classificadas corretamente e são compartilhadas por meios compatíveis com seu nível de confidencialidade.

 

As informações, dados e documentos operados pela Featbank Instituição de Pagamento serão classificados de acordo com as categorias abaixo indicadas, considerando a sensibilidade e a relevância do seu conteúdo para a SOFISTA e para os seus Clientes:

 

Nível 01 - Documentos Públicos

 

Informações aprovadas pela Alta Administração para uso público (interno e externo), por exemplo: relatórios anuais, indicações para a imprensa etc.;

 

Nível 02 - Somente Uso Interno

 

Informação não aprovada para circulação fora da Featbank Instituição de Pagamento como, por exemplo: memorandos internos, minutas e/ou atas de reuniões, procedimentos, rotinas operacionais e relatórios de projetos internos;

 

Nível 03 - Confidencial

 

Informações cuja circulação interna é controlada por questões estratégicas e de gestão, e cuja circulação externa é vedada, pois se tornadas públicas ou compartilhadas causarão impacto e prejuízos aos negócios, podendo ser: planos estratégicos e especificações que definem a forma que a organização opera, informações contábeis, planos de negócio, informações sobre clientes ou acionistas, entre outros.

 

Este nível envolve todas as informações e dados referentes aos Clientes da Featbank Instituição de Pagamento, inclusive dados pessoais.

 

Nível 04 - Informações Sensíveis

 

Informações internas ou confidenciais críticas ao desenvolvimento das atividades da Featbank Instituição de Pagamento, que:

 

 

I-São referentes a dados pessoais sensíveis e de crianças e adolescentes;

II-São acobertadas por sigilo bancário, nos termos da legislação aplicável; e/ou

III-Cuja perda ou indisponibilidade pode prejudicar ou impedir a adequada prestação de serviços pela Featbank Instituição de Pagamento aos clientes, a realização de operações da Featbank Instituição de Pagamento e/ou o cumprimento de suas obrigações legais e/ou normativas.

 

7.3.1 Políticas de Restrição de Acessos

 

 

Apenas poderão ter acesso a informações aqueles indivíduos que realmente precisam saber sobre elas para desempenhar suas atividades. O acesso às informações se dará conforme os seguintes requisitos:

 

  • Nível 01:

 

Livre acesso.

 

  • Nível 02:

 

Funcionários e não funcionários da Featbank Instituição de Pagamento com acordos de confidencialidade assinados que têm uma necessidade comercial de saber.

 

  • Nível 03:

 

Somente os indivíduos designados com acesso aprovado e acordos de confidencialidade assinados.

 

  • Nível 04:

 

Somente os indivíduos designados com acesso aprovado e acordos de confidencialidade assinados. O acesso deve ser restrito a poucos colaboradores, de preferência gestores.

 

 

7.4 Gestão de Vulnerabilidades

 

 

O processo de gestão de vulnerabilidades tem por objetivo identificar constantemente as fragilidades no ambiente tecnológico e avaliar o potencial risco para o negócio, desde a identificação até as atividades de remediação. A Featbank Instituição de Pagamento utiliza como insumo para o processo a varredura (scan) de vulnerabilidades em redes, computadores, infraestrutura e aplicações, testes de intrusão, acompanhamento de notificações de fornecedores e contatos com entidades externas de Segurança.

 

A Featbank Instituição de Pagamento deve elaborar cenários de incidentes, no âmbito dos testes de continuidade dos negócios, visando mapear os eventos capazes de dificultar a operação dos agentes computacionais ou humanos, que provocam queda no desempenho, obstrução ou erro na execução de um ou mais processos organizacionais e impossibilitam a plena operação dos serviços.

 

Como diretriz para a elaboração dos cenários de incidentes, recomenda-se o exame dos seguintes eventos, tanto para a Featbank Instituição de Pagamento, quanto para as empresas contratadas que manuseiam dados em nome da Featbank Instituição de Pagamento.

 

 

  • Desastres e catástrofes, naturais ou não;

 

  • Falhas no fornecimento de energia elétrica;

 

  • Problemas técnicos, panes, danos físicos, roubo ou furto dos equipamentos críticos;

 

  • Vazamento de dados, indisponibilidade das informações, quebra da integridade dos dados;

 

  • Transações fraudulentas.

  

 

Ainda, a área responsável pelo registro e controle dos efeitos de incidentes relevantes será o setor de tecnologia da informação, em conjunto com a área jurídica e de compliance.

 

Deverá ser realizado mapeamento de riscos de incidentes de segurança em sua causa, probabilidade e impacto para a tomada de medidas mitigatórias e estabelecimento de controles dos efeitos de incidentes relevantes para as atividades da empresa.

 

As etapas de remediação e resposta a incidentes de segurança serão:

 

 

  • DETECÇÃO:

 

Os colaboradores responsáveis por avaliar a segurança dos ativos da Featbank Instituição de Pagamento poderão fazer a detecção de eventual incidente de segurança. Essa detecção poderá ser realizada também pelo setor que a originou ou por times externos contratados para auditorias.

 

 

  • COMUNICAÇÃO:

 

Ao ser detectado algum incidente ou irregularidade que possa implicar em futuro incidente, o colaborador que identificar procederá com a comunicação do fato ocorrido ao seu gestor, conforme diretriz deste Política. Todos os colaboradores foram devidamente conscientizados da importância e urgência da comunicação ao identificarem incidentes ou irregularidades que possam comprometer a segurança dos dados pessoais. O gestor do setor deve imediatamente realizar a comunicação ao responsável nomeado pela Featbank Instituição de Pagamento, cujo contato é XXXXX. Este ficará responsável por liderar o procedimento de resposta.

 

A Featbank Instituição de Pagamento, ainda, irá realizar a comunicação sobre os incidentes relevantes a todos os parceiros envolvidos diretamente e ao titular e as agências, órgãos e autoridades regulamentadoras caso seja obrigatório pela legislação, no prazo de 02 (dois) dias úteis ou aquele determinado em regulamentação.

 

  • IDENTIFICAÇÃO E CLASSIFICAÇÃO

 

 

Ao ser comunicado, o fato será devidamente identificado e avaliado conforme sua natureza e possível risco, sendo também levantadas as informações do art. 48, §1º para devida comunicação conjunta da Featbank Instituição de Pagamento e do Cliente à Agência Nacional de Proteção de Dados (ANPD) em até 2 (dois) dias úteis.

 

 

  • ENVOLVIMENTO DOS TIMES E EVENTUAL COMUNICAÇÃO À ANPD E TITULAR:

 

 

O Responsável da Featbank Instituição de Pagamentodeverá enviar as informações do incidente para o time jurídico da empresa, que irá avaliar a necessidade de comunicação à ANPD e titular dos dados, elaborando a comunicação com base nas diretrizes legais e informações passadas. Ainda, em caso de comunicação ao titular ou público, o texto utilizado deve passar por avaliação da equipe de marketing da Featbank Instituição de Pagamento, e deve conter no mínimo:

 

  • A descrição da natureza dos dados pessoais afetados;

 

  • As informações sobre os titulares envolvidos;

 

  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

 

  • Os riscos relacionados ao incidente;

 

  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e

 

  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo

 

  • ERRADICAÇÃO:

 

 

Para a erradicação e garantia da continuidade da atividade, deverão ser reestruturados todos os sistemas que foram afetados pelo incidente, para garantir o restabelecimento da segurança e remover a vulnerabilidade que causou o incidente.

  •  

 

  • RECUPERAÇÃO:

 

 

Na recuperação, os responsáveis restauram os sistemas, dispositivos, equipamentos, salas e outros possíveis objetos de incidente para que possam voltar ao seu funcionamento normal, corrigindo suas vulnerabilidades para evitar futuros incidentes semelhantes.

 

 

  • REALIZAR INVESTIGAÇÕES INTERNAS:

 

 

Buscando verificar a fonte do incidente e punir os responsáveis, aFeatbank Instituição de Pagamentodará início a um processo de investigação interna em busca de evitar que situações similares se repitam.

 

Estas investigações deverão levar em consideração: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

 

A Featbank Instituição de Pagamentodeve elaborar cenários de incidentes, no âmbito dos testes de continuidade dos negócios, visando mapear os eventos capazes de dificultar a operação dos agentes computacionais ou humanos que provocam queda no desempenho, obstrução ou erro na execução de um ou mais processos organizacionais e impossibilitam a plena operação dos serviços. Como diretriz para a elaboração dos cenários de incidentes, recomenda-se o exame dos seguintes eventos, tanto para a Featbank Instituição de Pagamento, quanto para as empresas contratadas que manuseiam dados em nome da Featbank Instituição de Pagamento:

 

 

  • Desastres e catástrofes, naturais ou não.

 

  • Falhas no fornecimento de energia elétrica.

 

  • Problemas técnicos, panes, danos físicos, roubo ou furto dos equipamentos críticos.

 

  • Vazamento de dados, indisponibilidade das informações, quebra da integridade dos dados.

 

  • Transações fraudulentas.

 

  • As medidas e procedimentos para resposta a incidentes devem ser formalizadas através de políticas/plano de respostas a incidentes e divulgadas aos colaboradores da Featbank Instituição de Pagamento.

 

  • HISTÓRICO DO INCIDENTE:

 

Após a recuperação e retorno da normalidade, a Featbank Instituição de Pagamento elaborará um relatório que deverá conter a descrição de tudo o que foi feito para mitigar e resolver o incidente. O relatório será arquivado e utilizado para aprimorar a velocidade e eficiência da Featbank Instituição de Pagamento na contenção de incidentes envolvendo dados pessoais.

 

A relevância do incidente será classificada conforme as seguintes definições:

 

  • Risco Baixo:

 

Classificação utilizada quando o incidente de segurança de dados afetar apenas dados não pessoais e empresariais públicos.

 

  • Risco Moderado:

 

 Classificação utilizada quando o incidente

 

  • Risco Alto:

 

Classificação utilizada quando o incidente de segurança de dados afetar dados pessoais de acesso a contas e que possam gerar fraudes.

 

  • Risco Altíssimo:

 

Classificação utilizada quando o incidente de segurança de dados afetar dados pessoais sensíveis e financeiros.

 

 

7.5 CÓPIAS DE SEGURANÇA

 

 

São realizadas cópias de segurança (Backups) e testes de recuperação (Restore) das informações corporativas e de clientes que são relevantes ao negócio, com tempo de retenção em linha com as leis e regulações aplicáveis ao segmento financeiro. A estratégia do Plano de Backup deve ser consoante com a criticidade das informações à continuidade do negócio da Featbank Instituição de Pagamento, e as rotinas e modalidades de Backup devem ser aplicadas conforme o cenário, considerando o plano tático de maior eficiência operacional. Nos casos em que as atividades de Backup e Restore são operadas por terceiros, as especificações devem estar previstas nos acordos entre as partes.

 

 

7.6 GESTÃO DE IDENTIDADES & ACESSOS

 

 

A Featbank Instituição de Pagamento aplica os controles de gestão de autorização e autenticação dos usuários nos sistemas e ambientes tecnológicos. A concessão de acessos é realizada a partir do princípio de menor privilégio, que significa que um usuário terá acesso apenas as funcionalidades requeridas para o desempenho de sua função.

 

Apenas poderão ter acesso a informações aqueles indivíduos que realmente precisam saber sobre elas para desempenhar suas atividades. O acesso às informações se dará conforme os seguintes requisitos:

 

  • Nível 01:

 

Livre acesso.

 

  • Nível 02:

 

Funcionários e não funcionários da Featbank Instituição de Pagamento com acordos de confidencialidade assinados que têm uma necessidade comercial de saber.

 

  • Nível 03:

 

Somente os indivíduos designados com acesso aprovado e acordos de confidencialidade assinados.

 

  • Nível 04:

 

Somente os indivíduos designados com acesso aprovado e acordos de confidencialidade assinados. O acesso deve ser restrito a poucos colaboradores, de preferência gestores.

 

 

77. RESPONSABILIDADE NO USO DA SENHA

 

 

Todos os colaboradores são responsáveis por zelar por suas informações de autenticação. É vedado o compartilhamento de senha ou seu armazenamento em locais inseguros, além disso, devem atender aos padrões mínimos de segurança exigidos pela Featbank Instituição de Pagamento.

 

As senhas utilizadas em nível profissional em atividades ligadas a Featbank Instituição de Pagamento devem respeitar as seguintes regras:

 

  • Os usuários nunca devem compartilhar sua senha com outros usuários.

 

  • Todas as senhas de nível de sistema (por exemplo, root, enable, NT admin, contas de administração de aplicativos, etc.) devem ser alteradas pelo menos a cada 90 (noventa) dias.

 

  • Todas as senhas de nível de sistema de produção devem fazer parte do banco de dados global.

 

  • Todas as senhas de nível de usuário (por exemplo, e-mail, web, computador desktop, desenvolvimento, sistema de contabilidade do comerciante, produção etc.) devem ser alteradas pelo menos a cada 90 (noventa) dias.

 

  • As contas de usuário que têm privilégios de nível de sistema concedidos por meio de associações a grupos ou programas devem ter uma senha exclusiva e diferente de todas as outras contas mantidas por esse usuário.

 

  • As senhas não devem ser inseridas em mensagens de e-mail ou outras formas de comunicação eletrônica.

 

  • A reutilização de senhas em diferentes níveis de administração e uso do sistema não é permitida.

 

  • Trimestralmente, um software de quebra de senha será usado para identificar aleatoriamente senhas fracas e pedir aos proprietários das contas que as alterem imediatamente.

 

  • Todas as senhas de backoffice inativas devem ser revogadas após 90 (noventa) dias.

 

  • O acesso ao servidor de banco de dados é conhecido apenas pelo Administrador.

 

  • Não imprima ou escreva em papel suas senhas. Você deve memorizá-las e não manter nenhum rastro. No entanto, você pode usar alguma ajuda de memória com truques para lembrá-lo.

 

  • Use sempre senhas de, no mínimo, 8 (oito) caracteres, misturando letras e dígitos. Não use informações pessoais ou palavras de dicionário para gerar sua senha.

 

  • Observe que você será obrigado a escolher uma nova senha para o backoffice de gerenciamento pelo menos uma vez a cada 90 (noventa) dias, e você não poderá usar uma das últimas 04 (quatro) senhas que você tinha antes.

 

  • Se desenvolvedores, funcionários ou clientes tiverem acesso aos ambientes de produção e teste, as credenciais usadas para acessar um ou outro devem ser diferentes.

 

 

7.8 UTILIZAÇÃO DOS RECURSOS TECNOLÓGICOS

 

 

A Featbank Instituição de Pagamentodisponibiliza aos usuários diversos recursos tecnológicos com propósito exclusivo de apoiar o desenvolvimento das atividades inerentes a função dos colaboradores e prestadores de serviço. Para proteger as informações utilizadas nestes recursos, são aplicados   parâmetros e controles de segurança como antivírus, anti malware, DLP, entre outros.

 

Tais recursos são passíveis de monitoramento, bem como armazenar e analisar registros para que possibilitem rastrear ações realizadas pelo usuário custo diante do recurso. Atitudes em dissonância com os valores estabelecidos na Featbank Instituição de Pagamento, expressas por meio do comportamento na Internet e uso inadequado dos recursos tecnológicos e do correio eletrônico, seja em meio presencial ou remoto, não são toleradas. E ainda, a instalação de Softwares e Hardware não autorizados nos recursos tecnológicos da organização não são permitidos.

 

Com o objetivo de manter a segurança em dispositivos locais, será necessário a adoção das seguintes medidas:

 

 

  • Os usuários de desktops e notebooks devem concordar em assumir responsabilidade compartilhada pela segurança de seu sistema e pelas informações nele contidas.

 

  • Ao alocar um desktop ou notebook, o usuário deve preencher um Formulário de Usuário de Desktop/Notebook e se comprometer a cumprir todas as seções aplicáveis desta Política de Segurança de Desktop e Notebook.

 

  • Desktops e notebooks são entregues aos colaboradores da Featbank Instituição de Pagamento. Quando isso acontece, o usuário assume a "tutela" temporária do sistema.

 

  • Ao deixar a posição na Featbank Instituição de Pagamento, o indivíduo deve devolver o dispositivo ao seu gerente ou supervisor, assinando novamente seu Formulário de Usuário de Desktop/Notebook original. Isso libera o indivíduo de responsabilidade sobre ações futuras realizadas com este dispositivo.

 

  • Os usuários devem tomar todas as medidas razoáveis para se proteger contra a instalação de software não licenciado ou malicioso, conforme estas Políticas.

 

  • Não é permitido o uso de software não licenciado (pirataria de software).

 

  • Os softwares instalados devem ser validados e aprovados pelo Gestor Responsável. Instalações não gerenciadas podem comprometer o ambiente operacional de TI e também constituir um risco de segurança, incluindo a disseminação intencional ou não intencional de vírus de software e outros softwares mal-intencionados.

 

  • O software comercial (incluindo shareware) deve: a) ter uma licença válida para cada usuário em potencial; b) ser verificado quanto a todos os riscos de segurança conhecidos, incluindo software malicioso.

 

  • O Usuário deve proteger seu acesso por senha, não permitindo acessos de convidados.

 

  • O Usuário deve proteger o acesso ao seu PC com a tela de bloqueio automático para forçar o usuário a fazer login novamente após 15 (quinze) minutos de inatividade.

 

  • O Usuário deve permitir a execução diária do antivírus, programada pelo Setor Responsável.

 

  • O Usuário deve permitir a atualização regular de seu sistema operacional e aplicativos, como seu navegador, cliente de e-mail, aplicativos de escritório, etc.

 

  • O Usuário não pode instalar ou abrir arquivos recebidos de entidades desconhecidas.

 

  • O Usuário deve desativar os recursos de 'autorun' que acionam qualquer mídia para ser montada e executada assim que for conectada ao PC.

 

  • Os Usuários não devem abrir arquivos executáveis recebidos por e-mail ou pelo navegador (por exemplo, componentes ActiveX).

 

  • O Usuário deve notificar qualquer risco de infecção ao Gestor Responsável.

 

Adicionalmente, como medidas de segurança, os usuários de notebooks devem cumprir as seguintes regras:

 

 

  • Os notebooks não devem ser deixados à vista em um veículo sem vigilância, mesmo que por um curto período de tempo;

 

  • Os notebooks não devem ser deixados em um veículo durante a noite;

 

  • Os notebooks não devem ser posicionados de forma que sejam visíveis do lado de fora de uma janela do andar térreo, a menos que não haja alternativa;

 

  • Um notebook exibindo informações confidenciais sendo usadas em um local público, por exemplo, num comboio, avião ou automóvel, deve, sempre que possível, ser posicionado de forma a que o ecrã não possa ser visto por outras pessoas. Se necessário, alguns dispositivos possuem funções para proteger a visão de terceiros posicionados ao lado da tela;

 

  • Em situações vulneráveis, por ex. áreas públicas como saguões de aeroportos, hotéis e centros de conferências, o notebook nunca deve ser deixado sem vigilância;

 

  • Os computadores portáteis devem, sempre que permitidos, ser transportados como bagagem de mão ao viajar, de preferência em malas com cores vivas ou etiquetas grandes, pois isso impedirá muitos ladrões em potencial;

 

  • Quando qualquer uma das regras acima for inadequada ou impraticável, o proprietário é responsável por tomar todas as medidas razoáveis para minimizar o risco de perda ou dano do notebook;

 

  • Os usuários de notebook devem empregar o padrão corporativo para criptografia de dados em arquivos e pastas em notebooks, por exemplo, Microsoft EFS (Sistema de Arquivos Criptografados) ou PGPDisk.

 

  • Os usuários de notebooks devem notificar as autoridades competentes imediatamente se seu notebook for perdido ou roubado.

 

7.9 SEGURANÇA FÍSICA DOS AMBIENTES DE OPERAÇÃO E PROCESSAMENTO

 

 

São aplicados controles de segurança física nos ambientes utilizados para processamento de informações, sendo implementados no perímetro interno e externo, para mitigar o risco de acesso indevido e/ou não autorizado às informações.

 

A Featbank Instituição de Pagamentorealizará avaliações prévias (Due Diligence) para efetivar a contratação de terceiros prestadores de serviços de processamento, armazenamento de dados e de computação em nuvem, seja no Brasil ou no exterior, de forma que as práticas de verificação a serem adotadas consideram a

 

  • Criticidade do serviço,
  • Sensibilidade dos dados e informações a serem processados, armazenados e gerenciados.

 

 

A Featbank Instituição de Pagamentopoderá adotar as seguintes práticas:

 

 

  • Necessidade de ter obtido e estar válida certificação de segurança da informação, tais como: PCI DSS e ISO 270001, dentre outras certificações aplicáveis;

 

  • Pesquisa prévia utilizando banco de dados público ou privado;

 

  • Solicitação de preenchimento de formulário e envio de documentos e informações;

 

  • Visitas técnicas;

 

  • Auditoria realizada por empresa externa independente especializada;

 

  • Solicitação de contratação de seguro contra vazamento de dados;

 

  • Previsão contratual de responsabilidade por incidente de dados pessoais ocasionados por sua culpa ou dolo;

 

  • Realização de contrato de acordo de nível de serviço com o provedor de serviços em nuvem, contemplando a segurança dos dados armazenados;

 

  • Avaliação se o serviço oferecido pelo provedor do serviço em nuvem atende os demais requisitos de segurança da informação estabelecidos;

 

  • Análise dos requisitos para o acesso do usuário a cada serviço em nuvem utilizado;
  • Utilização de técnicas de autenticação multi-fator para acesso aos serviços em nuvem relacionados a dados pessoais;

 

  • O Contratado deverá cumprir com o Guia da ANPD de Segurança da Informação;

 

  • Ainda, no momento de extinção contratual o prestador de serviços deverá:

 

  • Transferir os dados ao novo prestador ou a Featbank Instituição de Pagamento.

 

  • Confirmar a integridade e disponibilidade dos dados transferidos e, após isso, excluí-los de sua base.

 

 

8. CULTURA E CONSCIENTIZAÇÃO DE SEGURANÇA

 

 

Faz parte da estratégia de Segurança fomentar a cultura, conscientização e educação contínua dos colaboradores, terceiros, prestadores de serviço e clientes relacionada a disciplina de Segurança. A missão da Cultura de Segurança é levar de forma contínua às partes interessadas as orientações para proteção das informações internas e de clientes, por meio da disseminação de diretrizes através de treinamentos e eventos, interação com comunidades, comunicações periódicas via canais oficiais da Featbank Instituição de Pagamento, portal dedicado para instrução de clientes, e quaisquer outros recursos que sirvam ao propósito de elevar a consciência de todo o público sobre o seu papel fundamental na proteção das informações.

 

A Featbank Instituição de Pagamento em seus termos de uso e nas oportunidades que conseguir passar informações com transparência ao seu Cliente, deverá prestar informações sobre o uso seguro de suas plataformas e serviços, que deve contemplar no mínimo o seguinte texto:

 

“Antes de prosseguir com sua navegação deve tomar os seguintes cuidados:

 

Não divulgue os dados de acesso de sua conta. A Featbank Instituição de Pagamento,toma medidas importantes de controle e autenticação, mas a segurança das informações de acesso da sua conta depende da sua colaboração e sigilo. A Featbank Instituição de Pagamentonão pede seus dados de acesso por nenhum meio além do login habitual na plataforma, caso venha a receber contatos requerendo esse tipo de informação, não os responda, e os denuncie através de nossos canais de comunicação!

 

Cuidado com sites espelhos ou que se parecem com a Featbank Instituição de Pagamento. Tenha certeza, antes de baixar ou fazer qualquer transação, que está realmente navegando em um site seguro e verificado da empresa.”

 

 

 

9. RELACIONAMENTO COM FORNECEDORES E PRESTADORES DE SERVIÇO

 

 

Segurança possui a responsabilidade de avaliar os aspectos de segurança no relacionamento com fornecedores e prestadores de serviço cujo escopo de trabalho contemple o tratamento de informações de propriedade intelectual da Featbank Instituição de Pagamento, visando conhecer o ambiente do parceiro e mapear o nível de risco cibernético que este relacionamento pode acarretar. São admitidas avaliações pela área de segurança, contemplando auditorias externas e, eventualmente, a realização de testes de intrusão (pentests) quando pertinente ao contexto e mediante consentimento do proprietário da informação.

 

 

A equipe da Featbank Instituição de Pagamento manterá comunicação ativa e periódica sobre os termos desta Política, de modo que os Colaboradores e Terceiros que prestem serviços relevantes e relacionados com esta Política passarão por capacitações, com objetivo de esclarecer a interpretação e aplicação desta Política, bem como informá-los sobre temas atrelados a esta Política, tais como: proteção de dados pessoais, segurança da informação e cibernética, políticas de consequências, dentre outros.

 

Além disso, a equipe Featbank Instituição de Pagamento será responsável por orientar os Colaboradores para não desativar ou ignorar as configurações de segurança de estações de trabalho, realizar backups offline, periódicos e armazená-los de forma segura e inventariar e cifrar dados de dispositivos externos.

 

Os treinamentos devem conter no mínimo:

 

  • Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário.

 

  • Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail.

 

  • Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas.

 

  • Não compartilhar logins e senhas de acesso das estações de trabalho.

 

  • Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros.

 

  • Seguir as orientações da política de segurança da informação.

 

As empresas prestadoras de serviço que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição de pagamento deverão estar sujeitas a determinações contratuais de possuírem Políticas de Segurança da Informação que respeitem e tenham no mínimo os controles impostos nesta Política.

 

 

10.PREVENÇÃO, IDENTIFICAÇÃO E TRATAMENTO DE INCIDENTES DE SEGURANÇA

 

 

A Featbank Instituição de Pagamento, contempla em sua estratégia de Segurança a estrutura para prevenção, identificação e tratamento de incidentes de segurança em seu ambiente e em parceria com os provedores de serviço, inclusive aqueles alocados em nuvem.

 

Os incidentes de segurança serão classificados para tratamento de acordo com fatores como impactos negativos financeiros, de imagem, operacionais, ou que afetem diretamente a estratégia da Featbank Instituição de Pagamento, podendo ser classificados desde baixo até críticos. Para acionar a equipe para análise e tratamento de possíveis incidentes cibernéticos poderão ser enviados e-mails aos canais:

 

A Featbank Instituição de Pagamento preza pela privacidade dos titulares independentemente do seu vínculo com a empresa. Desta forma, produtos, projetos, processos, sistemas e controles são desenhados e executados sempre observando o tratamento de dados pessoais de forma adequada, alinhado junto aos titulares e de forma transparente e responsável. São exigidos os mesmos compromissos com a privacidade junto aos prestadores de serviços, parceiros e fornecedores.

 

 

Os titulares poderão entrar em contato com a Featbank Instituição de Pagamento para obter entendimento do tratamento de seus dados, obtendo uma ampla visão dos dados que são utilizados e quais são as respectivas justificativas para tais ações.

 

 

As análises de risco devem conter ao menos os seguintes componentes:

 

  • Atribuir um nível de risco;

 

  • Atribuir valores para probabilidade e impacto do evento negativo, conforme matriz previamente aprovada;
  • Determinar qual nível de segurança existe no momento;

 

  • Verificar possibilidade de Risco inerente;

 

  • Estabelecer medidas complementares e realizar a gestão do risco.

 

O risco é definido como uma função da probabilidade de um evento negativo se concretizar e da magnitude da perda se ocorrer. Os seguintes níveis de risco são usados no processo de avaliação:

 

           

  • Risco Mínimo;

 

  • Baixo Risco;

 

  • Risco Moderado;

 

  • Alto Risco;

 

  • Risco Máximo.

 

 

11. SANÇÕES

 

 

O não cumprimento das diretrizes declaradas nesta Política Corporativa está sujeito a sanções do Featbank Instituição de Pagamento, sendo que estes processos devem ser tratados sob sigilo e zelando pela privacidade dos envolvidos.

 

 

12. VIGÊNCIA

 

 

Esta norma será declarada vigente a partir da aprovação de todas as partes responsáveis pelo processo, e deverá ser atualizada conforme houver alterações significativas no processo, ou após um período de doze meses em caráter ordinário.

 

 

13. CENTRAL DE RELACIONAMENTO

 

 

Em caso de dúvidas, entre em contato conosco pelos seguintes meios abaixo citados  e demais disponíveis em nossos canais:

 

  • 0800 020 2817 (Demais localidades);
  • 4020-1754 (capitais e regiões metropolitanas);
  • WhatsApp +55113181 6151
  • Chat no site https://featbank.com.br/

 

meajuda@XXXXbank.com.br;

 

Data da última atualização: 23 de Abril de 2024.

 

 

 

 

 

AGRADECEMOS POR VOCÊ TER LIDO NOSSA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO CIBERNÉTICA 

 

 

BEM-VINDO(A) À FAMÍLIA XXXX!

 

 

FEATBANK INSTITUIÇÃO DE PAGAMENTO

 

 

 

Relativo a

Comentários

0 comentário

Por favor, entre para comentar.