4. Instrucciones
4.1. El localEsta política ha sido elaborada sobre la base de la Resolución, CON el 4.658/año 2018, y en la Resolución del Banco Central de Brasil, En el 85/2021, que establece la política de seguridad informática, y sobre los requisitos necesarios para la contratación del servicio de almacenamiento y procesamiento de datos y la computación en la nube, en la que han de ser observados por las entidades de pago autorizadas a funcionar por el Banco Central de Brasil.
4.2. La estructura de la ZonaEstá alineado con las estrategias integradas de TI y de las mejores prácticas en materia de Seguridad de la Información, se han analizado los diferentes modelos que se podrían cubrir las necesidades de protección de los datos de la empresa.
Han sido elegidos por las normas de la NORMA ISO IEC 27001 y 27002, así como las normas de PCI y los Bacen), con el objetivo de implementar, no sólo a los controles de la tecnología, sino también en los controles de los procesos, garantizando de esta forma el gobierno de la puesta en marcha del Sistema de Gestión de la Seguridad
la Información contenida en el Stregu, inc.
La estructura de la organización montada, se refleja en la selección de los controles de la gestión de la seguridad y que se basa en los resultados de la Evaluación de los Riesgos, de las directrices por parte de los accionistas, en el diagnóstico realizado, en los aspectos de la cultura de la Stregu inc., y en la legislación aplicable.
El personal de Seguridad de la Información es un establecimiento de gestión asignada a la estructura de las Tecnologías de la Stregu inc., bajo los auspicios de Seguridad tal y como se muestra en las tablas siguientes.
4.2.1. La implementación y la Operación de las fuerzas de Seguridad de la Información
Con base en el Sistema de Gestión de la Seguridad de la Información, la Stregu inc.:
4.2.1.1. Formula un plan de tratamiento de riesgos, que se identifica con la acción apropiada para ser aprobada por la alta dirección, los recursos, las responsabilidades y las prioridades de la gestión de los riesgos relacionados con la seguridad de la información;
4.2.1.2. Implementar un plan para el tratamiento de los puntos de la auditoría, que se encuentran bajo la responsabilidad del área, con el fin de cumplir con los objetivos de control identificados;
4.2.1.3. Implementar los controles seleccionados para cumplir con los objetivos de control;
4.2.1.4. Define la forma de medir la eficacia de los controles o de los grupos de control seleccionado y específico como las medidas que se utilizan para la evaluación de la eficacia de los controles, con el objetivo de producir resultados comparables y reproducibles;
4.2.1.5. Se Define el alcance, los límites de la zona y de los procesos que forman parte, en cuanto a las características del negocio, la organización, la ubicación de los activos y la tecnología, incluyendo los detalles y la justificación para ninguna de las exclusiones del ámbito de aplicación de los controles de
4.2.1.6. Aplica la tecnología para identificar a los países y a las violaciones de la seguridad de la información y de éxito, o no, más allá de los incidentes de seguridad de la información;
4.2.1.7. Colabora con la tecnología y los procesos para detectar los eventos de seguridad de la información, así como para prevenir los incidentes de seguridad de la información y en el uso de los indicadores;
4.2.1.8. Se Realiza cada seis meses, y en el análisis crítico de la eficacia de los controles, a través de la comisión de Seguridad de la Información, a fin de garantizar que, en el ámbito que se mantiene el adecuado, y que las mejoras en el proceso de gestión de la seguridad, se han identificado y aplicado;
4.2.1.9. Gerencia de operaciones de la Seguridad de la Información;
4.2.1.10. Administra los recursos de la tecnología de la custodia, y
4.2.1.11. Implementar las Políticas, Normas y Procedimientos, así como los demás controles que sean capaces de permitir la pronta detección de los eventos de seguridad de la información y de respuesta a incidentes de seguridad de la información.
La Stregu inc. se establece, implementa, opera, controla, analiza de forma crítica, mantiene y mejora continuamente su Sistema de Gestión de la Seguridad de la Información (SGSI) está documentado en el contexto de las actividades de negocios global y de los riesgos a los que está sometida.
4.3. Los papeles y las Responsabilidades deLos roles y las reponsabilidades en relación a esta Política, se detallan a continuación.
4.3.1. La seguridad de la Información
4.3.1.1. Defensive Security Team
El responsable de la supervisión de riesgos y conductas anómalas, así como el acceso a la información. Investiga, analiza y responde a incidentes informáticos en el entorno de Stregu, inc. Administración del SOC (Security Operations Center), que se controla con el medio ambiente 24x7x365 y un análisis de los mensajes de alerta y de la seguridad de la información, llevando a los equipos correspondientes. Establece, registra, distribuye y los procedimientos de respuesta y la formación de los incidentes de seguridad, para garantizar que, en todas las situaciones a las que se
se abordan de manera más eficiente.
4.3.1.2. Integración Del Team
Se asegura de que los requisitos de seguridad necesarios para proteger a la misión y a los procesos de negocio de la organización, estén adecuadamente tratados, en todos los aspectos de la arquitectura de la vivienda, incluidos los modelos de referencia de la arquitectura, de la industria y de la solución, de acuerdo con las mejores prácticas en materia de seguridad.
4.3.1.3. De It De La Compañía Team
El responsable de todo el servicio al usuario final, desde el técnico hasta que las directrices para el uso de las herramientas que se utilizan en la Stregu, inc.
4.3.1.4. Identity & Access Management
Responsable del ciclo de la vida y los derechos de todos los trabajadores y la de terceros, así como por el cumplimiento de las buenas prácticas. Se encarga de administrar las cuentas de los usuarios, incluidas las adiciones, supresiones y modificaciones. Controla el acceso a los sistemas y a los datos a través de los perfiles correspondientes.
4.3.1.5. ADVISORY TEAM
Realiza las evaluaciones de las normas y técnicas en cuanto a los controles de seguridad en el ámbito de la empresa, que gestiona los riesgos asociados a la seguridad de la información de los puntos de la auditoría, los proyectos de los materiales y la adecuación de éstos a las leyes y la gerencia de los indicadores de la seguridad, la promoción de la mejora continua de los procesos y el tiempo. Establece, registra, distribuye políticas y procedimientos de seguridad.
4.3.2. Los Administradores(as) y Empleados(as)
Es responsabilidad de los administradores(as) y empleados(as) de la Stregu inc.:
4.3.2.1. Cumplir y velar por el cumplimiento de la presente Política de privacidad, quedando en cuenta formalmente con las directrices establecidas, y cuando es así, se hace necesario abrir el responsable del área de seguridad de la información para las consultas que sobre situaciones que impliquen un conflicto con la Política o con la aparición de las situaciones que en ella se describen;
4.3.2.2. El cumplimiento de las leyes y de las normas que regulen los aspectos de la propiedad intelectual y el uso de la información, como la de velar por la protección de la información confidencial (datos personales, sensibles, financieros, incluidos los datos de la tarjeta, la estrategia o que estén protegidos por la ley de la Stregu inc. o de los datos que se encuentren bajo su responsabilidad, en el transcurso de su tratamiento.
4.3.2.3. Informar al personal de Seguridad de la Información, de manera oportuna cualquier tipo de evento tengo la sospecha de que pudiera poner en peligro el medio ambiente y la Stregu inc., o de que se configure una violación de la Política de Seguridad de la Información y de la Informática;
4.3.2.4. Sugerir, recomendar y controlar la aplicación de las mejores prácticas en materia de seguridad, en todos los asuntos de su responsabilidad;
4.3.2.5. Usar de forma responsable y con el fin de que el trabajo de una forma profesional, ética y legal de los recursos de tecnología de la información;
4.3.2.6. Para Proteger los datos contra el acceso, la modificación o la destrucción o acceso no autorizado.
4.3.2.7. Para comprender el papel de la seguridad de la información en sus actividades diarias, y la participación en los programas de sensibilización.
4.3.3. El director Responsable de la Seguridad de la Información
Es responsabilidad del Director responsable de la Seguridad de la Información:
4.3.3.1. Cumplir y velar por el cumplimiento de los lineamientos de esta Política adaptada a la Resolución CON el 4.658/año 2018, y en la Resolución del Banco Central de Brasil, En el 85/2021, así como los demás reglamentos internos relacionados con el tema, y sus correspondientes mejoras; y,
4.3.3.2. Cumplir y hacer cumplir con las exigencias de los organismos reguladores con respecto a la Seguridad de la Información.
4.3.4. Cumplimiento de normas de Seguridad de la Información
Es responsabilidad del área de Cumplimiento de normas de Seguridad de la Información y, en su conjunto, para llevar a cabo el proceso de actualización de los reglamentos internos relacionados con la Seguridad de la Información, garantizando el cumplimiento de las leyes y los reglamentos aplicables.
4.3.5. El comité Ejecutivo y el Comité de Seguridad de la Información
Es responsabilidad del Comité Ejecutivo y del Comité de Seguridad de la Información y de la Stregu inc., de garantizar la protección de los datos de la tarjeta, y de conformidad con el Programa de las PCI DSS, ya que le proporciona los recursos necesarios, para de esa forma.
En los casos en los que sea necesario ponerse en contacto con las autoridades (por ejemplo, en el caso de que la sospecha de que la ley ha sido violada), habrá una reunión del Comité de Seguridad de la Información, a fin de establecer los responsables de llevar a cabo las actividades de comunicación.
Tanto los Comités antes mencionados cuentan con las directrices establecidas en el Reglamento Interno del Comité de Seguridad de la Información, que está disponible para el conocimiento de los empleados de la Stregu inc., en el repositorio institucional de las normas internas.
Los materiales de la presentación de los Comités, así como en los lineamientos correspondientes, deberá ser entregada al personal de Conformidad con la antelación suficiente para que la organización de las reuniones y la distribución del material a los miembros de la banda y los posibles invitados.
4.4. Los activos de Seguridad de la InformaciónA fin de garantizar la seguridad de la información, en los siguientes pilares fundamentales que deben ser respetados y tenidos en cuenta por toda la toma de decisiones:
4.4.1. La confidencialidad y garantía de que la información es accesible sólo a aquellos expresamente autorizados.
4.4.2. Integridad: garantizar que los datos se encuentran en buen estado durante todo el ciclo de la creación, el procesamiento y eliminación de residuos.
4.4.3. Disponibilidad: garantizar que la información esté disponible cuando sea necesario para el funcionamiento de los procesos de la empresa.
Se entenderá los activos de la información, todos los datos que se generan o se desarrollan en el negocio, que pueden presentarse de diversas formas, como archivos digitales, equipos, medios de comunicación externos, en los documentos impresos, sistemas, dispositivos, móviles, bases de datos, y de la conversación.
Con independencia de la forma en la que se muestra, compartir o almacenar, de los activos de información que deben ser utilizados únicamente para el propósito de su uso, debidamente autorizados, están sujetos a la supervisión y la inspección.
Todo el activo de la información y de los bienes de la Stregu inc. debe contar con un responsable debidamente clasificada de acuerdo con los criterios establecidos y debidamente protegido de cualquier riesgo o amenaza que pueda poner en peligro el negocio.
4.5. Las Normas GeneralesCon respecto a la seguridad informática, la Stregu inc. cuenta con las siguientes características generales:
4.5.1. La protección de los datos contra el acceso indebido, así como de cualquier modificación, destrucción o divulgación no autorizados;
4.5.2. Una adecuada clasificación de la información y la garantía de la continuidad en el procesamiento de las mismas, de acuerdo con los criterios y los principios que se establecen en los reglamentos específicos.
4.5.3. La garantía de que todos los sistemas y de los datos bajo nuestra responsabilidad, se encuentran debidamente protegidos y que están siendo utilizados exclusivamente para el cumplimiento de nuestras funciones;
4.5.4. El celo por la integridad de la infraestructura tecnológica, en la que se almacenan, procesan y tratan los datos, la adopción de las medidas necesarias para la prevención de amenazas contra la lógica, como los virus, programas maliciosos u otros defectos que puedan tener acceso, manipulación o accesos no autorizados a los datos limitados en todo momento;
4.5.5. El mantenimiento y la gestión de los programas de software antivirus, firewalls y otros programas de seguridad instalados y actualizados, y el mantenimiento de los programas informáticos instalados en el medio ambiente.
4.5.6. El cumplimiento de las leyes y las normas por las que se rigen las actividades llevadas a cabo por la Stregu, inc.
En vistas al cumplimiento de las instrucciones enumeradas anteriormente, el Stregu inc. tiene como objetivo la seguridad de los titulares de prevenir, detectar y reducir la vulnerabilidad a los accidentes relacionados con el medio ambiente cibernético.
Con respecto a las medidas de seguridad en el Stregu inc., adopta los procedimientos y los controles necesarios para reducir la vulnerabilidad a los incidentes, así como para cumplir con los objetivos de la seguridad informática. Uno de ellos:
i. la Autenticación, el cifrado, la prevención y la detección de intrusos;
el de Prevención de pérdida de datos, la realización periódica de pruebas y análisis para la detección de vulnerabilidades. protección frente a software malicioso y el establecimiento de mecanismos de seguimiento, el sistema de control de acceso y de orientación de la red y del almacenamiento de la copia de seguridad de los datos y de la información,
conforme a normas vigentes en la materia;
iii. se Aplica a los procedimientos y los controles mencionados anteriormente, incluyendo el desarrollo de sistemas de información y de seguros, y en la adopción de las nuevas tecnologías empleadas en las actividades de la Stregu, inc.
iv. cuenta con controles específicos, incluidos los dedicados a la trazabilidad de la información, que buscan garantizar la seguridad de la información de este tipo.
- v. el que Controla, vigila, se debe restringir el acceso a los activos de información de la menor de los permisos y privilegios posibles:
vi. que Contribuye a la mitigación de los riesgos de negocio y de internet de acuerdo con la Política de Gestión del Riesgo Operacional.
vii. lleva a cabo el registro, el análisis de la causa y el efecto, así como en el control de los efectos de los incidentes relacionados con las actividades de la Stregu inc., que abarca incluso a la información recibida de las empresas que prestan servicios a terceros.
viii. se Elabora el inventario de situaciones de crisis, a la cibernéticos relacionados con los incidentes de la seguridad de los considerados en las pruebas de continuidad de los servicios prestados, y en el frente de cada año a fin de garantizar la efectividad de los procesos, además de producir anualmente un informe de respuesta a las incidencias en el entorno tecnológico de la Stregu inc.;
ix. Clasifica a los incidentes de seguridad, de acuerdo con su importancia, de acuerdo a la clasificación de los datos que intervienen en el impacto en la continuidad de los negocios y de la Stregu inc.;
x lleva a cabo la evaluación periódica de los proveedores de servicios que lleven a cabo el tratamiento de los datos que son relevantes para la Stregu inc., con el fin de monitorear el nivel de madurez de los controles de seguridad para la prevención y el tratamiento de los incidentes,
xi. cuenta con criterios para la valoración de la importancia de los servicios de procesamiento y almacenamiento de datos y la computación en la nube, en el país o en el extranjero.
xii. Adopta en el proceso de gestión de continuidad de negocio, de acuerdo con la Política Corporativa de la Continuidad del Negocio.
xiii. se Establecen reglas y normas para garantizar que la información que obtenga en el nivel adecuado de protección en cuanto a su importancia. Toda la información que posee el propietario de una casa, que es necesariamente calificada y recibe las garantías y controles que garanticen la confidencialidad de ésta, conllevando a que las buenas prácticas del mercado y las normativas vigentes en la materia.
xiv. Realiza acciones para prevenir, detectar, registrar y responder a los incidentes y a las crisis de seguridad que afectan el medio ambiente de tecnología de la Stregu inc., y que pueden dar lugar a la consolidación de los pilares fundamentales de la seguridad de la información, o llevar el riesgo reputacional, el sector financiero o en la operación.
xv. Adoptará los mecanismos para la difusión de la cultura de la seguridad de la información y de la informática en la empresa, incluida la aplicación de un programa de capacitación obligatorios para los empleados en la prestación de servicios de información a los usuarios finales acerca de las precauciones en el uso de los productos y servicios que se ofrecen, y el compromiso de la alta dirección con la mejora continua de los procedimientos relativos a la seguridad de la información y de la cibernética.
xvi. Adoptan iniciativas para el intercambio de información sobre los casos pertinentes, a través de la suscripción a los foros de discusión y el intercambio de la plataforma de la ciudad de SIEM.
4.6. El compromiso de la Alta DirecciónEl compromiso de la Alta dirección, con la eficacia y la mejora continua de la Política, los procedimientos y los controles relacionados con la seguridad de la información y de la cibernética, que se percibe a través de la constante transformación y el mejoramiento de la gobernanza en las actividades relacionadas con los pilares en los que se ha mencionado anteriormente, y de la disponibilidad de los recursos, que son compatibles con la complejidad de la Stregu inc., la evaluación y la aprobación de Políticas y Procedimientos, entre otras iniciativas.
4.7. La formación y la SensibilizaciónEl Programa de Capacitación y Concientización en Seguridad de la Información, se ha establecido y administrado por el equipo de Asesoramiento. Es un programa anual que se establezca con los temas importantes que deben ser abordados, y que pueden ser adoptados en los diferentes formatos de capacitación y de sensibilización, como por ejemplo:
● En línea, a través de la plataforma de conocimiento existente;
● En vivo y Online a través de la plataforma de comunicación vigente en cada momento, lo que permite la interacción con las partes interesadas;
● Pruebas de suplantación de identidad (phishing antes de recibir el e-mail de los Miembros del equipo;
● La formación específicos para satisfacer las necesidades de un grupo de Miembros del equipo;
● Comunicarse con los consejos de los materiales de sensibilización publicados por los Miembros del equipo, a través de los canales oficiales de comunicación.
La evidencia de la participación y el reconocimiento de que el contenido que se evalúa a través de una encuesta o cualquier otro método que resulte apropiado.
Las evidencias de la ejecución de los programas de Entrenamiento y Concientización en Seguridad de la Información que se almacena en la Seguridad de la Información en un lugar seguro.
4.8. Los Registros y la InformaciónLa información relativa a los incidentes de seguridad de la información y de la cibernética, que son de carácter confidencial, por lo que no debe, en ningún caso, serán a disposición de las partes interesadas.
Todos los documentos relacionados con la investigación, incluyendo la recolección de las pruebas, deben ser almacenados por un período mínimo de diez (10) años de edad.
4.9. De las disposiciones generalesEl personal de Seguridad de la Información, que permite mantener las Políticas, los Procedimientos y otra información de interés registrados oficialmente en el repositorio institucional de las normas internas.
Es el responsable del documento de llevar a cabo la actualización de la normativa, por lo menos una (1) vez al año, siguiendo la orientación empresarial de la actualización de los documentos de la establecida por el equipo de la conformidad.
Los documentos que se deben seguir a la nomenclatura especificada a continuación:
POL – de las Políticas no deben ser calificados como de las Políticas de todos los documentos que contienen las instrucciones completas y las normas que al respecto de este tema.
PRODUCTO – los Procedimientos deben ser calificados como de Procedimiento, en todos los documentos que contienen las instrucciones acerca de un determinado asunto.
Otros documentos: los Documentos que no corresponden a las categorías de las Políticas y los Procedimientos (por ejemplo, formularios, gráficos, etc.) deben cumplir con la clasificación vigente, que se estableció por parte del equipo de Asesoramiento, según sea necesario.
Uno de los documentos que deben ser transmitidos a través de la empresa, deberán ser enviados a todo el equipo de Asesoramiento para la revisión, lo que, a su vez, la enviará a un equipo de la Conformidad, para su aprobación y difusión de las plataformas corporativas utilizadas para la ocasión.
Los documentos relacionados con el tema, solamente con el personal de Seguridad de la Información deben dirigirse solo a todo el equipo de Asesoramiento para su revisión y análisis.
4.10. La gestión de las Consecuencias deTodos los Miembros del equipo, proveedores, socios y clientes con los que observar cualquier desviación respecto a las normas de esta política se debe señalar que el hecho de que, a través del Canal Ético de Stregu, inc.
El no cumplimiento de los lineamientos de esta Política dará lugar a la aplicación de las medidas de rendición de cuentas de los agentes implicados, según la gravedad del incumplimiento, pudiendo éstas incluyen la responsabilidad administrativa, civil o penal, los procedimientos disciplinarios y las sanciones previstas en el proceso de Consolidación de las Leyes del Trabajo (CLT).
4.11. El cumplimiento de la Política deMás allá de la evaluación de la efectividad de esta Política, llevado a cabo por el equipo de Seguridad de la Información y de los mecanismos de seguridad que deben ser evaluados periódicamente por la auditoría interna de la Stregu inc., y el de las auditorías llevadas a cabo por las entidades de las que sean necesarias para regular las actividades llevadas a cabo por la Stregu, inc.
4.12. El contacto con los Grupos Especiales deCon el objetivo de ampliar el conocimiento sobre las mejores prácticas y mantenerse al día con la información relevante acerca de la Seguridad de la Información, se han establecido contactos con grupos de expertos en el tema.
Los contactos de los proveedores de Seguridad de la Información, que pueden ser vistos a través de los enlaces que aparecen a continuación:
CERT: BR:
El Centro de Estudios, en Respuesta a Incidentes de seguridad de la Seguridad en España.
http://www.cert.br/CVE-Particular
El Registro, la clasificación y la difusión de los problemas técnicos
https://cve.mitre.org/4.13. Vigencia y aplicación de la Política deEsta Política deberá ser revisada anualmente, o cada vez que sea necesario su empleo. Es una de las competencias del Comité de Seguridad de la Información y de la Junta directiva de la empresa, para aprobar cualquier modificación a esta Política, siempre y cuando se haga necesario.
Esta Política entrará en vigor a partir de la fecha de su aprobación por el Consejo de Administración, por el que se deroga todos los documentos, en caso contrario.