Política de Segurança da Informação e Segurança Cibernética
POR FAVOR, LEIA ATENTAMENTE ESTES TERMOS ANTES DE ACEDER AO SITE
Última atualização em 10 marco de 2023
Última atualização em 10 marco de 2023
1. Objetivo
Esta Política de Segurança da Informação e Segurança Cibernética
(“Política”) tem o objetivo de estabelecer proteger seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação e Cibernética, visando o atendimento às regulamentações vigentes as boas práticas para proteção dos negócios da Stregu incorporation LTDA (“Stregu inc”), em atendimento à regulamentação do Bacen e às melhores práticas.
(“Política”) tem o objetivo de estabelecer proteger seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação e Cibernética, visando o atendimento às regulamentações vigentes as boas práticas para proteção dos negócios da Stregu incorporation LTDA (“Stregu inc”), em atendimento à regulamentação do Bacen e às melhores práticas.
2. Abrangência
Todos os Membros do time, parceiros e prestadores de serviço terceirizados.
3. Definições
3.1. Siglas
3.2. Terminologia
Membros do time: são os colaboradores e/ou funcionários que possuem contrato de trabalho vigente com a Stregu inc.
- Bacen ou BC: Banco Central
- SIEM: Gerenciamento e Correlação de Eventos de Segurança
- CLT: Consolidação das Leis do Trabalho
- CMN: Conselho Monetário Nacional
- PCI: Payment Card Industry
3.2. Terminologia
Membros do time: são os colaboradores e/ou funcionários que possuem contrato de trabalho vigente com a Stregu inc.
4. Diretrizes
4.1. Premissas
Esta política foi elaborada com base na Resolução CMN no 4.658/2018 e na Resolução do Banco Central do Brasil No 85/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.
4.2. Estrutura da Área
Alinhado com as estratégias internas de TI e com as melhores práticas de Segurança da Informação, foram analisados os diversos padrões que poderiam atender às necessidades de proteção das informações da empresa.
Foram eleitas as normas NBR ISO IEC 27001 e 27002, bem como os padrões PCI e requerimentos Bacen, com o objetivo de implementar não apenas os controles tecnológicos, mas também os controles de processo, garantindo assim a governança na implementação do Sistema de Gestão da Segurança
da Informação da Stregu inc.
A estrutura organizacional montada reflete a seleção de controles da gestão de segurança e é baseada no resultado da Avaliação de Riscos, nas orientações dos acionistas, no diagnóstico realizado, nos aspectos culturais da Stregu inc e na legislação pertinente.
A equipe de Segurança da Informação é uma gerência alocada na estrutura de Tecnologia da Stregu inc, sob a nomenclatura Security, conforme apresentado no organograma a seguir.
4.2.1. Implementação e Operação da Área de Segurança da Informação
Com base no Sistema de Gestão da Segurança da Informação, a Stregu inc:
4.2.1.1. Formula um plano de tratamento de risco que identifica a ação apropriada a ser adotada pela direção, os recursos e as responsabilidades e prioridades para o gerenciamento dos riscos relacionados com a segurança da informação;
4.2.1.2. Implementa o plano para o tratamento de pontos de auditoria que estejam sob responsabilidade da área, para atender aos objetivos de controle identificados;
4.2.1.3. Implementa os controles selecionados para atender aos objetivos de controle;
4.2.1.4. Define como medir a eficácia dos controles ou grupos de controle selecionados e específica como essas medidas são usadas para avaliar a eficácia dos controles, visando produzir resultados comparáveis e reproduzíveis;
4.2.1.5. Define o escopo, os limites da área e os processos envolvidos, em termos das características do negócio, da organização, da localização, dos ativos e da tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo de controles
4.2.1.6. Implementa tecnologias para identificar tentativas e violações de segurança da informação bem sucedidas ou não, além de incidentes de segurança da informação;
4.2.1.7. Contribui com tecnologias e processos para detectar eventos de segurança da informação e assim prevenir os incidentes de segurança da informação pelo uso dos indicadores;
4.2.1.8. Realiza, a cada seis meses, a análise crítica da eficácia dos controles, por meio do Comitê de Segurança da Informação, para garantir que o escopo permanece adequado e que melhorias no processo de gestão de segurança são identificadas e implementadas;
4.2.1.9. Gerencia as operações de Segurança da Informação;
4.2.1.10. Gerencia os recursos de tecnologia sob sua custódia; e
4.2.1.11. Implementa Políticas, Padrões e Procedimentos e outros controles que sejam capazes de permitir a pronta detecção de eventos de segurança da informação e a resposta a incidentes de segurança da informação.
A Stregu inc estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora continuamente o seu Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto das atividades de negócios globais e dos riscos a que ela está sujeita.
4.3. Papéis e Responsabilidades
Os papeis e reponsabilidades relacionados a esta Política estão estabelecidas abaixo.
4.3.1. Segurança da Informação
4.3.1.1. Defensive Security Team
Responsável pelo monitoramento de ameaças e comportamentos anômalos, bem como acesso aos dados. Investiga, analisa e responde a incidentes cibernéticos no ambiente Stregu inc. Gerencia o SOC (Security Operations Center), que monitora o ambiente 24x7x365 e analisa os alertas e as informações de segurança, distribuindo para as equipes apropriadas. Define, documenta e distribui procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam
abordadas de modo eficiente.
4.3.1.2. Integration Team
Assegura que os requisitos de segurança necessários para proteger a missão e os processos comerciais da organização sejam adequadamente abordados em todos os aspectos da arquitetura sistêmica, incluindo modelos de referência, arquiteturas de segmento e de solução conforme as melhores práticas de segurança.
4.3.1.3. It Corp Team
Responsável por todo apoio ao usuário final, desde suporte técnico até orientações para o uso das ferramentas utilizadas na Stregu inc.
4.3.1.4. Identity & Access Management
Responsável pelo ciclo de vida dos acessos de todos os colaboradores e terceiros, bem como pelo cumprimento das melhores práticas. Administra as contas dos usuários, incluindo adições, exclusões e modificações. Controla o acesso aos sistemas e dados por meio de perfis apropriados.
4.3.1.5. ADVISORY TEAM
Conduz avaliações de normativas e técnicas quanto aos controles de segurança em âmbito corporativo, gerencia os riscos associados à segurança da informação, pontos de auditorias, projetos de compliance e adequação às leis e gerencia os indicadores de segurança promovendo a melhoria contínua do processo e conscientização. Define, documenta e distribui políticas e procedimentos de segurança.
4.3.2. Administradores(as) e Colaboradores(as)
É dever dos administradores(as) e colaboradores(as) da Stregu inc:
4.3.2.1. Observar e zelar pelo cumprimento da presente Política, estando ciente formalmente das diretrizes estabelecidas e, quando assim se fizer necessário, acionar o responsável pela área de segurança da informação para consultas sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas;
4.3.2.2. Cumprir as leis e normas que regulamentem os aspectos de propriedade intelectual e uso de dados, como zelar pela proteção dos dados confidenciais (dados pessoais, sensíveis, financeiros – inclusive dados de cartão, estratégicos ou protegidos por lei) da Stregu inc ou dados que estiverem sob sua responsabilidade durante o seu tratamento;
4.3.2.3. Reportar à equipe de Segurança da Informação de forma tempestiva qualquer evento suspeito que possa comprometer o ambiente da Stregu inc ou que configure uma violação à Política de Segurança da Informação e Cibernética;
4.3.2.4. Sugerir, recomendar e verificar a implementação das melhores práticas de segurança em todos os processos de sua responsabilidade;
4.3.2.5. Utilizar responsavelmente e para fins de trabalho, de forma profissional, ética e legal os ativos de tecnologia da informação;
4.3.2.6. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;
4.3.2.7. Compreender o papel da segurança da informação em suas atividades diárias e participar dos programas de conscientização.
4.3.3. Diretor Responsável por Segurança da Informação
É dever do Diretor responsável por Segurança da Informação:
4.3.3.1. Cumprir e zelar pelo cumprimento das diretrizes desta Política alinhada à Resolução CMN no 4.658/2018 e à Resolução do Banco Central do Brasil No 85/2021, bem como demais normativos internos correlatos e suas respectivas atualizações; e
4.3.3.2. Atender e cumprir as demandas dos órgãos reguladores relacionadas à Segurança da Informação.
4.3.4. Compliance e Segurança da Informação
É dever da área de Compliance e Segurança da Informação, em conjunto, realizar a atualização dos normativos internos relacionados à Segurança da Informação, assegurando a sua conformidade com as leis e regulamentações aplicáveis.
4.3.5. Comitê Executivo e Comitê de Segurança da Informação
É dever do Comitê Executivo e do Comitê de Segurança da Informação da Stregu inc garantir a proteção dos dados de cartão e a conformidade com o Programa PCI DSS, fornecendo os recursos necessários para essa adequação.
Nos casos em que haja necessidade de contato com autoridades (por exemplo, no caso de suspeita de que a lei foi violada), haverá deliberação do Comitê de Segurança da Informação para definir os responsáveis por conduzir as atividades de comunicação.
Ambos os Comitês mencionados acima têm suas diretrizes estabelecidas no Regimento Interno do Comitê de Segurança da Informação, disponível para conhecimento dos colaboradores da Stregu inc no repositório corporativo de normativos internos.
Os materiais de apresentação aos Comitês, assim como as pautas correspondentes, devem ser repassados à equipe de Compliance com antecedência para organização das reuniões e para a distribuição do material aos integrantes e eventuais convidados.
4.4. Ativos de Segurança da Informação
Para garantir a segurança das informações, os seguintes pilares devem ser respeitados e considerados em toda tomada de decisão:
4.4.1. Confidencialidade – garantia de que as informações são acessadas somente por aqueles expressamente autorizados.
4.4.2. Integridade – garantia de que as informações estão íntegras durante o ciclo de criação processamento e descarte.
4.4.3. Disponibilidade – garantia de que as informações estejam disponíveis sempre que necessário para o andamento de processos de negócio.
Consideram-se ativos de informações todas as informações geradas ou desenvolvidas para o negócio que podem estar presentes de diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.
Independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.
Todo ativo de informação de propriedade da Stregu inc deve ter um responsável devidamente classificado de acordo com os critérios estabelecidos e adequadamente protegido de quaisquer riscos ou ameaças que possam comprometer o negócio.
4.5. Diretrizes Gerais
Com relação à segurança cibernética, a Stregu inc dispõe das seguintes diretrizes gerais:
4.5.1. Proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;
4.5.2. Adequada classificação das informações e garantia da continuidade do processamento destas, conforme os critérios e princípios indicados nos normativos específicos;
4.5.3. Garantia que os sistemas e dados sob nossa responsabilidade estão devidamente protegidos e estão sendo utilizados apenas para o cumprimento das nossas atribuições;
4.5.4. Zelo pela integridade da infraestrutura tecnológica na qual são armazenados, processados e tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados restritos e confidenciais;
4.5.5. Manutenção e gerenciamento de softwares antivírus, firewall e demais softwares de segurança instalados e atualizados e manutenção dos programas de computador instalados no ambiente;
4.5.6. Atendimento às leis e normas que regulamentam as atividades realizadas pela Stregu inc.
Em vistas ao cumprimento das diretrizes acima elencadas, a Stregu inc possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.
Com relação às medidas de segurança, a Stregu inc adota procedimentos e controles para reduzir a vulnerabilidade à incidentes e para atender aos objetivos de segurança cibernética. Dentre eles:
i. Autenticação, criptografia, prevenção e a detecção de intrusão;
ii. Prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades. proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade, controles de acesso e de segmentação da rede de computadores e armazenamento de cópias de segurança dos dados e das informações,
conforme normativos vigentes;
iii. Aplica os procedimentos e controles citados anteriormente, inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Stregu inc.
iv. Possui controles específicos, incluindo os voltados para a rastreabilidade da informação, que buscam garantir a segurança das informações sensíveis.
v. Controla, monitora, restringe o acesso aos ativos de informação à menor permissão e privilégios possíveis;
vi. Contribui para a mitigação dos riscos de negócio e cibernéticos conforme a Política de Gerenciamento de Risco Operacional.
vii. Realiza o registro, análise da causa e do impacto, bem como, controle dos efeitos de incidentes relevantes para as atividades da Stregu inc, que abrangem inclusive informações recebidas de empresas prestadoras de serviços a terceiros.
viii. Elabora inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança considerados nos testes de continuidade de serviços prestados e os testa anualmente para garantir a eficácia dos processos, além de produzir anualmente um relatório de resposta a incidentes no ambiente tecnológico da Stregu inc;
ix. Classifica os incidentes de segurança conforme sua relevância de acordo com a classificação das informações envolvidas e o impacto na continuidade dos negócios da Stregu inc;
x. Realiza a avaliação periódica de empresas prestadoras de serviço que efetuam o tratamento de informações relevantes à Stregu inc com objetivo de acompanhar o nível de maturidade de seus controles de segurança para a prevenção e o devido tratamento dos incidentes;
xi. Possui critérios para classificação da relevância dos serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
xii. Adota processo de gestão de continuidade de negócios, conforme a Política Corporativa de Continuidade de Negócios.
xiii. Estabelece regras e padrões para assegurar que a informação receba o nível adequado de proteção quanto à sua relevância. Toda informação possui um proprietário, é obrigatoriamente classificada e recebe os devidos controles que garantam a confidencialidade desta, condizendo com as boas práticas de mercado e regulamentações vigentes.
xiv. Realiza ações para prevenir, identificar, registrar e responder incidentes e crises de segurança que envolvam o ambiente tecnológico da Stregu inc e que possam ocasionar o comprometimento dos pilares de segurança da informação ou trazer risco reputacional, financeiro ou operacional.
xv. Adota mecanismos para disseminação da cultura de segurança da informação e cibernética na empresa, incluindo a implementação de programa de treinamentos obrigatórios para colaboradores, a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos e o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança da informação e cibernética.
xvi. Adota iniciativas para compartilhamento de informações sobre os incidentes relevantes através de filiação em fóruns de discussão e pelo compartilhamento da plataforma de SIEM.
4.6. Comprometimento da Alta Direção
O comprometimento da Alta Administração com a efetividade e a melhoria contínua desta Política, dos procedimentos e dos controles relacionados à segurança da informação e cibernética são percebidos através da constante transformação e aprimoramento da governança em ações relativas aos pilares mencionados anteriormente e pela disponibilização de recursos compatíveis com a complexidade da Stregu inc, avaliação e aprovação de Políticas e Procedimentos, dentre outras iniciativas.
4.7. Treinamento e Conscientização
O Programa de Treinamento e Conscientização em Segurança da Informação é estabelecido e gerenciado pela equipe de Advisory. Um cronograma anual é estabelecido com os tópicos relevantes a serem abordados e podem ser adotados diferentes formatos de treinamento e conscientização, como por exemplo:
● Online através da plataforma de conscientização vigente;
● Online e ao vivo através da plataforma de comunicação vigente, permitindo a interação com os participantes;
● Testes de phishing encaminhados ao e-mail dos Membros do time;
● Treinamentos específicos para atender a necessidade de um grupo de Membros do time;
● Comunicados com dicas e materiais de conscientização divulgados aos Membros do time por meio dos canais oficiais de comunicação.
A comprovação da participação e reconhecimento do conteúdo é avaliada por meio de um questionário ou outro método adequado.
As evidências da execução do Programa de Treinamento e Conscientização em Segurança da Informação são armazenadas pelo Segurança da Informação em local protegido.
4.8. Registros e Informações
As informações relacionadas a incidentes de segurança da informação e cibernética são de caráter confidencial, não devendo, em hipótese alguma, serem disponibilizadas às partes envolvidas.
Todos os documentos referentes a investigação, incluindo coleta de evidências, devem ser arquivados pelo prazo mínimo de 10 (dez) anos.
4.9. Disposições gerais
A equipe de Segurança da Informação mantém suas Políticas, Procedimentos e outras informações relevantes documentadas formalmente no repositório corporativo de normativos internos.
É papel do responsável pelo documento realizar a atualização do normativo pelo menos 1 (uma) vez ao ano, seguindo a diretriz corporativa de atualização de documentos estabelecida pelo time de compliance.
Os documentos devem seguir a nomenclatura especificada abaixo:
POL – Políticas: devem ser classificados como Políticas todos os documentos que contêm diretrizes abrangentes e regras a respeito de um tema.
PROD – Procedimentos: devem ser classificados como Procedimento todos os documentos que contêm instruções detalhadas sobre determinado processo.
Outros documentos: Documentos que não se enquadrem nas categorias Políticas e Procedimentos (por exemplo: formulários, diagramas, etc) devem obedecer à nomenclatura vigente a ser estabelecida pelo time de Advisory, conforme a necessidade.
Os documentos que devem ser divulgados para toda a empresa devem ser encaminhados ao time de Advisory para revisão, que, por sua vez, encaminhará à equipe de Compliance para aprovação e divulgação nas plataformas corporativas utilizadas na ocasião.
Já os documentos pertinentes somente à equipe de Segurança da Informação devem ser encaminhados somente ao time de Advisory para revisão e catalogação.
4.10. Gestão de Consequências
Todos os(as) Membros do time, fornecedores, parceiros e clientes que observarem quaisquer desvios em relação às diretrizes desta política deverão relatar o fato através do Canal Ético Stregu inc.
O descumprimento das diretrizes desta Política resultará na aplicação de medidas de responsabilização dos agentes envolvidos, conforme a respectiva gravidade do descumprimento, podendo estas incluírem a responsabilização administrativa, cível ou penal, processos disciplinares e sanções previstas na Consolidação das Leis do Trabalho (CLT).
4.11. Cumprimento da Política
Além da avaliação de efetividade desta Política realizado pelo time de Segurança da Informação, os mecanismos de segurança devem ser avaliados periodicamente pela auditoria interna da Stregu inc e pelas auditorias realizadas por entidades que regulamentem as atividades realizadas pela Stregu inc.
4.12. Contato com Grupos Especiais
Com o objetivo de ampliar o conhecimento sobre as melhores práticas e nos mantermos atualizados com as informações relevantes sobre Segurança da Informação, estabelecemos contato com grupos especializados no tema.
Os contatos dos fornecedores de Segurança da Informação podem ser visualizados por meio dos links abaixo:
CERT BR:
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
http://www.cert.br/
CVE Mitre
Registro, classificação e divulgação de vulnerabilidades técnicas
https://cve.mitre.org/
4.13. Vigência da Política
Esta Política deverá ser revisada anualmente ou sempre que for necessária sua adequação. É de competência do Comitê de Segurança da Informação e do Conselho de Administração da empresa aprovar qualquer alteração desta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.
Esta política foi elaborada com base na Resolução CMN no 4.658/2018 e na Resolução do Banco Central do Brasil No 85/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.
4.2. Estrutura da Área
Alinhado com as estratégias internas de TI e com as melhores práticas de Segurança da Informação, foram analisados os diversos padrões que poderiam atender às necessidades de proteção das informações da empresa.
Foram eleitas as normas NBR ISO IEC 27001 e 27002, bem como os padrões PCI e requerimentos Bacen, com o objetivo de implementar não apenas os controles tecnológicos, mas também os controles de processo, garantindo assim a governança na implementação do Sistema de Gestão da Segurança
da Informação da Stregu inc.
A estrutura organizacional montada reflete a seleção de controles da gestão de segurança e é baseada no resultado da Avaliação de Riscos, nas orientações dos acionistas, no diagnóstico realizado, nos aspectos culturais da Stregu inc e na legislação pertinente.
A equipe de Segurança da Informação é uma gerência alocada na estrutura de Tecnologia da Stregu inc, sob a nomenclatura Security, conforme apresentado no organograma a seguir.
4.2.1. Implementação e Operação da Área de Segurança da Informação
Com base no Sistema de Gestão da Segurança da Informação, a Stregu inc:
4.2.1.1. Formula um plano de tratamento de risco que identifica a ação apropriada a ser adotada pela direção, os recursos e as responsabilidades e prioridades para o gerenciamento dos riscos relacionados com a segurança da informação;
4.2.1.2. Implementa o plano para o tratamento de pontos de auditoria que estejam sob responsabilidade da área, para atender aos objetivos de controle identificados;
4.2.1.3. Implementa os controles selecionados para atender aos objetivos de controle;
4.2.1.4. Define como medir a eficácia dos controles ou grupos de controle selecionados e específica como essas medidas são usadas para avaliar a eficácia dos controles, visando produzir resultados comparáveis e reproduzíveis;
4.2.1.5. Define o escopo, os limites da área e os processos envolvidos, em termos das características do negócio, da organização, da localização, dos ativos e da tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo de controles
4.2.1.6. Implementa tecnologias para identificar tentativas e violações de segurança da informação bem sucedidas ou não, além de incidentes de segurança da informação;
4.2.1.7. Contribui com tecnologias e processos para detectar eventos de segurança da informação e assim prevenir os incidentes de segurança da informação pelo uso dos indicadores;
4.2.1.8. Realiza, a cada seis meses, a análise crítica da eficácia dos controles, por meio do Comitê de Segurança da Informação, para garantir que o escopo permanece adequado e que melhorias no processo de gestão de segurança são identificadas e implementadas;
4.2.1.9. Gerencia as operações de Segurança da Informação;
4.2.1.10. Gerencia os recursos de tecnologia sob sua custódia; e
4.2.1.11. Implementa Políticas, Padrões e Procedimentos e outros controles que sejam capazes de permitir a pronta detecção de eventos de segurança da informação e a resposta a incidentes de segurança da informação.
A Stregu inc estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora continuamente o seu Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto das atividades de negócios globais e dos riscos a que ela está sujeita.
4.3. Papéis e Responsabilidades
Os papeis e reponsabilidades relacionados a esta Política estão estabelecidas abaixo.
4.3.1. Segurança da Informação
4.3.1.1. Defensive Security Team
Responsável pelo monitoramento de ameaças e comportamentos anômalos, bem como acesso aos dados. Investiga, analisa e responde a incidentes cibernéticos no ambiente Stregu inc. Gerencia o SOC (Security Operations Center), que monitora o ambiente 24x7x365 e analisa os alertas e as informações de segurança, distribuindo para as equipes apropriadas. Define, documenta e distribui procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam
abordadas de modo eficiente.
4.3.1.2. Integration Team
Assegura que os requisitos de segurança necessários para proteger a missão e os processos comerciais da organização sejam adequadamente abordados em todos os aspectos da arquitetura sistêmica, incluindo modelos de referência, arquiteturas de segmento e de solução conforme as melhores práticas de segurança.
4.3.1.3. It Corp Team
Responsável por todo apoio ao usuário final, desde suporte técnico até orientações para o uso das ferramentas utilizadas na Stregu inc.
4.3.1.4. Identity & Access Management
Responsável pelo ciclo de vida dos acessos de todos os colaboradores e terceiros, bem como pelo cumprimento das melhores práticas. Administra as contas dos usuários, incluindo adições, exclusões e modificações. Controla o acesso aos sistemas e dados por meio de perfis apropriados.
4.3.1.5. ADVISORY TEAM
Conduz avaliações de normativas e técnicas quanto aos controles de segurança em âmbito corporativo, gerencia os riscos associados à segurança da informação, pontos de auditorias, projetos de compliance e adequação às leis e gerencia os indicadores de segurança promovendo a melhoria contínua do processo e conscientização. Define, documenta e distribui políticas e procedimentos de segurança.
4.3.2. Administradores(as) e Colaboradores(as)
É dever dos administradores(as) e colaboradores(as) da Stregu inc:
4.3.2.1. Observar e zelar pelo cumprimento da presente Política, estando ciente formalmente das diretrizes estabelecidas e, quando assim se fizer necessário, acionar o responsável pela área de segurança da informação para consultas sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas;
4.3.2.2. Cumprir as leis e normas que regulamentem os aspectos de propriedade intelectual e uso de dados, como zelar pela proteção dos dados confidenciais (dados pessoais, sensíveis, financeiros – inclusive dados de cartão, estratégicos ou protegidos por lei) da Stregu inc ou dados que estiverem sob sua responsabilidade durante o seu tratamento;
4.3.2.3. Reportar à equipe de Segurança da Informação de forma tempestiva qualquer evento suspeito que possa comprometer o ambiente da Stregu inc ou que configure uma violação à Política de Segurança da Informação e Cibernética;
4.3.2.4. Sugerir, recomendar e verificar a implementação das melhores práticas de segurança em todos os processos de sua responsabilidade;
4.3.2.5. Utilizar responsavelmente e para fins de trabalho, de forma profissional, ética e legal os ativos de tecnologia da informação;
4.3.2.6. Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;
4.3.2.7. Compreender o papel da segurança da informação em suas atividades diárias e participar dos programas de conscientização.
4.3.3. Diretor Responsável por Segurança da Informação
É dever do Diretor responsável por Segurança da Informação:
4.3.3.1. Cumprir e zelar pelo cumprimento das diretrizes desta Política alinhada à Resolução CMN no 4.658/2018 e à Resolução do Banco Central do Brasil No 85/2021, bem como demais normativos internos correlatos e suas respectivas atualizações; e
4.3.3.2. Atender e cumprir as demandas dos órgãos reguladores relacionadas à Segurança da Informação.
4.3.4. Compliance e Segurança da Informação
É dever da área de Compliance e Segurança da Informação, em conjunto, realizar a atualização dos normativos internos relacionados à Segurança da Informação, assegurando a sua conformidade com as leis e regulamentações aplicáveis.
4.3.5. Comitê Executivo e Comitê de Segurança da Informação
É dever do Comitê Executivo e do Comitê de Segurança da Informação da Stregu inc garantir a proteção dos dados de cartão e a conformidade com o Programa PCI DSS, fornecendo os recursos necessários para essa adequação.
Nos casos em que haja necessidade de contato com autoridades (por exemplo, no caso de suspeita de que a lei foi violada), haverá deliberação do Comitê de Segurança da Informação para definir os responsáveis por conduzir as atividades de comunicação.
Ambos os Comitês mencionados acima têm suas diretrizes estabelecidas no Regimento Interno do Comitê de Segurança da Informação, disponível para conhecimento dos colaboradores da Stregu inc no repositório corporativo de normativos internos.
Os materiais de apresentação aos Comitês, assim como as pautas correspondentes, devem ser repassados à equipe de Compliance com antecedência para organização das reuniões e para a distribuição do material aos integrantes e eventuais convidados.
4.4. Ativos de Segurança da Informação
Para garantir a segurança das informações, os seguintes pilares devem ser respeitados e considerados em toda tomada de decisão:
4.4.1. Confidencialidade – garantia de que as informações são acessadas somente por aqueles expressamente autorizados.
4.4.2. Integridade – garantia de que as informações estão íntegras durante o ciclo de criação processamento e descarte.
4.4.3. Disponibilidade – garantia de que as informações estejam disponíveis sempre que necessário para o andamento de processos de negócio.
Consideram-se ativos de informações todas as informações geradas ou desenvolvidas para o negócio que podem estar presentes de diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.
Independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.
Todo ativo de informação de propriedade da Stregu inc deve ter um responsável devidamente classificado de acordo com os critérios estabelecidos e adequadamente protegido de quaisquer riscos ou ameaças que possam comprometer o negócio.
4.5. Diretrizes Gerais
Com relação à segurança cibernética, a Stregu inc dispõe das seguintes diretrizes gerais:
4.5.1. Proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;
4.5.2. Adequada classificação das informações e garantia da continuidade do processamento destas, conforme os critérios e princípios indicados nos normativos específicos;
4.5.3. Garantia que os sistemas e dados sob nossa responsabilidade estão devidamente protegidos e estão sendo utilizados apenas para o cumprimento das nossas atribuições;
4.5.4. Zelo pela integridade da infraestrutura tecnológica na qual são armazenados, processados e tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados restritos e confidenciais;
4.5.5. Manutenção e gerenciamento de softwares antivírus, firewall e demais softwares de segurança instalados e atualizados e manutenção dos programas de computador instalados no ambiente;
4.5.6. Atendimento às leis e normas que regulamentam as atividades realizadas pela Stregu inc.
Em vistas ao cumprimento das diretrizes acima elencadas, a Stregu inc possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.
Com relação às medidas de segurança, a Stregu inc adota procedimentos e controles para reduzir a vulnerabilidade à incidentes e para atender aos objetivos de segurança cibernética. Dentre eles:
i. Autenticação, criptografia, prevenção e a detecção de intrusão;
ii. Prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades. proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade, controles de acesso e de segmentação da rede de computadores e armazenamento de cópias de segurança dos dados e das informações,
conforme normativos vigentes;
iii. Aplica os procedimentos e controles citados anteriormente, inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Stregu inc.
iv. Possui controles específicos, incluindo os voltados para a rastreabilidade da informação, que buscam garantir a segurança das informações sensíveis.
v. Controla, monitora, restringe o acesso aos ativos de informação à menor permissão e privilégios possíveis;
vi. Contribui para a mitigação dos riscos de negócio e cibernéticos conforme a Política de Gerenciamento de Risco Operacional.
vii. Realiza o registro, análise da causa e do impacto, bem como, controle dos efeitos de incidentes relevantes para as atividades da Stregu inc, que abrangem inclusive informações recebidas de empresas prestadoras de serviços a terceiros.
viii. Elabora inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança considerados nos testes de continuidade de serviços prestados e os testa anualmente para garantir a eficácia dos processos, além de produzir anualmente um relatório de resposta a incidentes no ambiente tecnológico da Stregu inc;
ix. Classifica os incidentes de segurança conforme sua relevância de acordo com a classificação das informações envolvidas e o impacto na continuidade dos negócios da Stregu inc;
x. Realiza a avaliação periódica de empresas prestadoras de serviço que efetuam o tratamento de informações relevantes à Stregu inc com objetivo de acompanhar o nível de maturidade de seus controles de segurança para a prevenção e o devido tratamento dos incidentes;
xi. Possui critérios para classificação da relevância dos serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
xii. Adota processo de gestão de continuidade de negócios, conforme a Política Corporativa de Continuidade de Negócios.
xiii. Estabelece regras e padrões para assegurar que a informação receba o nível adequado de proteção quanto à sua relevância. Toda informação possui um proprietário, é obrigatoriamente classificada e recebe os devidos controles que garantam a confidencialidade desta, condizendo com as boas práticas de mercado e regulamentações vigentes.
xiv. Realiza ações para prevenir, identificar, registrar e responder incidentes e crises de segurança que envolvam o ambiente tecnológico da Stregu inc e que possam ocasionar o comprometimento dos pilares de segurança da informação ou trazer risco reputacional, financeiro ou operacional.
xv. Adota mecanismos para disseminação da cultura de segurança da informação e cibernética na empresa, incluindo a implementação de programa de treinamentos obrigatórios para colaboradores, a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos e o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança da informação e cibernética.
xvi. Adota iniciativas para compartilhamento de informações sobre os incidentes relevantes através de filiação em fóruns de discussão e pelo compartilhamento da plataforma de SIEM.
4.6. Comprometimento da Alta Direção
O comprometimento da Alta Administração com a efetividade e a melhoria contínua desta Política, dos procedimentos e dos controles relacionados à segurança da informação e cibernética são percebidos através da constante transformação e aprimoramento da governança em ações relativas aos pilares mencionados anteriormente e pela disponibilização de recursos compatíveis com a complexidade da Stregu inc, avaliação e aprovação de Políticas e Procedimentos, dentre outras iniciativas.
4.7. Treinamento e Conscientização
O Programa de Treinamento e Conscientização em Segurança da Informação é estabelecido e gerenciado pela equipe de Advisory. Um cronograma anual é estabelecido com os tópicos relevantes a serem abordados e podem ser adotados diferentes formatos de treinamento e conscientização, como por exemplo:
● Online através da plataforma de conscientização vigente;
● Online e ao vivo através da plataforma de comunicação vigente, permitindo a interação com os participantes;
● Testes de phishing encaminhados ao e-mail dos Membros do time;
● Treinamentos específicos para atender a necessidade de um grupo de Membros do time;
● Comunicados com dicas e materiais de conscientização divulgados aos Membros do time por meio dos canais oficiais de comunicação.
A comprovação da participação e reconhecimento do conteúdo é avaliada por meio de um questionário ou outro método adequado.
As evidências da execução do Programa de Treinamento e Conscientização em Segurança da Informação são armazenadas pelo Segurança da Informação em local protegido.
4.8. Registros e Informações
As informações relacionadas a incidentes de segurança da informação e cibernética são de caráter confidencial, não devendo, em hipótese alguma, serem disponibilizadas às partes envolvidas.
Todos os documentos referentes a investigação, incluindo coleta de evidências, devem ser arquivados pelo prazo mínimo de 10 (dez) anos.
4.9. Disposições gerais
A equipe de Segurança da Informação mantém suas Políticas, Procedimentos e outras informações relevantes documentadas formalmente no repositório corporativo de normativos internos.
É papel do responsável pelo documento realizar a atualização do normativo pelo menos 1 (uma) vez ao ano, seguindo a diretriz corporativa de atualização de documentos estabelecida pelo time de compliance.
Os documentos devem seguir a nomenclatura especificada abaixo:
POL – Políticas: devem ser classificados como Políticas todos os documentos que contêm diretrizes abrangentes e regras a respeito de um tema.
PROD – Procedimentos: devem ser classificados como Procedimento todos os documentos que contêm instruções detalhadas sobre determinado processo.
Outros documentos: Documentos que não se enquadrem nas categorias Políticas e Procedimentos (por exemplo: formulários, diagramas, etc) devem obedecer à nomenclatura vigente a ser estabelecida pelo time de Advisory, conforme a necessidade.
Os documentos que devem ser divulgados para toda a empresa devem ser encaminhados ao time de Advisory para revisão, que, por sua vez, encaminhará à equipe de Compliance para aprovação e divulgação nas plataformas corporativas utilizadas na ocasião.
Já os documentos pertinentes somente à equipe de Segurança da Informação devem ser encaminhados somente ao time de Advisory para revisão e catalogação.
4.10. Gestão de Consequências
Todos os(as) Membros do time, fornecedores, parceiros e clientes que observarem quaisquer desvios em relação às diretrizes desta política deverão relatar o fato através do Canal Ético Stregu inc.
O descumprimento das diretrizes desta Política resultará na aplicação de medidas de responsabilização dos agentes envolvidos, conforme a respectiva gravidade do descumprimento, podendo estas incluírem a responsabilização administrativa, cível ou penal, processos disciplinares e sanções previstas na Consolidação das Leis do Trabalho (CLT).
4.11. Cumprimento da Política
Além da avaliação de efetividade desta Política realizado pelo time de Segurança da Informação, os mecanismos de segurança devem ser avaliados periodicamente pela auditoria interna da Stregu inc e pelas auditorias realizadas por entidades que regulamentem as atividades realizadas pela Stregu inc.
4.12. Contato com Grupos Especiais
Com o objetivo de ampliar o conhecimento sobre as melhores práticas e nos mantermos atualizados com as informações relevantes sobre Segurança da Informação, estabelecemos contato com grupos especializados no tema.
Os contatos dos fornecedores de Segurança da Informação podem ser visualizados por meio dos links abaixo:
CERT BR:
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
http://www.cert.br/
CVE Mitre
Registro, classificação e divulgação de vulnerabilidades técnicas
https://cve.mitre.org/
4.13. Vigência da Política
Esta Política deverá ser revisada anualmente ou sempre que for necessária sua adequação. É de competência do Comitê de Segurança da Informação e do Conselho de Administração da empresa aprovar qualquer alteração desta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.
5. Aspectos regulatórios
Resolução CMN nº 4.658/2018
Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Resolução do Banco Central doBrasil Nº 85/2021
Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.
Circular Bacen nº 3.681/13
Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento, e dá outras providências.
Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Resolução do Banco Central doBrasil Nº 85/2021
Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.
Circular Bacen nº 3.681/13
Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento, e dá outras providências.