Log inPT šŸ‡§šŸ‡·
Polƭtica de SeguranƧa CibernƩtica

1. Objetivo deste documento

Esta PolĆ­tica visa descrever as diretrizes, atribuiƧƵes e regras que devem ser observados para a proteĆ§Ć£o dos ativos tangĆ­veis e intangĆ­veis da InstituiĆ§Ć£o, dos clientes e interesses do pĆŗblico em geral, visando assegurar que todas as informaƧƵes processadas, transferidas e/ou armazenadas recebam a proteĆ§Ć£o e o tratamento adequado.

2. PĆŗblico ā€“ Alvo

Esta PolĆ­tica Ć© aplicĆ”vel a todos os colaboradores, gestores, fornecedores e prestadores de serviƧo da Pagsmile, abrangendo todos os dados, inclusive os do ambiente PCI-DSS (Payment Card Industry - Data Security Standard), por meio de programas de capacitaĆ§Ć£o, prestaĆ§Ć£o de informaƧƵes Ć  clientes e usuĆ”rios sobre precauĆ§Ć£o na utilizaĆ§Ć£o de produtos e serviƧos e o comprometimento da Alta AdministraĆ§Ć£o com a melhoria contĆ­nua dos procedimentos.

3. Base Normativa

Circular BCB NĀŗ 3.909/2018

ResoluĆ§Ć£o CMN NĀŗ 4.893/2021

4. Estrutura

A Ć”rea de SeguranƧa da InformaĆ§Ć£o, sob gestĆ£o do Diretor Presidente, Ć© responsĆ”vel por zelar pela aplicaĆ§Ć£o das diretrizes desta polĆ­tica.

5. AtribuiƧƵes

A Diretoria deve zelar pela aprovaĆ§Ć£o do acesso, compartilhamento, divulgaĆ§Ć£o e manutenĆ§Ć£o do sigilo das informaƧƵes, para que seja vedada a divulgaĆ§Ć£o de quaisquer tipos de informaƧƵes para terceiros, sem a prĆ©via autorizaĆ§Ć£o.

A Ć”rea de SeguranƧa da InformaĆ§Ć£o Ć© responsĆ”vel pela criaĆ§Ć£o de controles e processos, para a melhoria contĆ­nua da proteĆ§Ć£o das informaƧƵes; por disseminar a cultura de seguranƧa da informaĆ§Ć£o; por garantir o efetivo cumprimento desta polĆ­tica, e o uso Ć©tico, seguro e legal das informaƧƵes; por orientar e informar os colaboradores, fornecedores e prestadores de serviƧos para que comuniquem sempre que identificarem possĆ­veis violaƧƵes de seguranƧa dos dados; por zelar pela guarda e proteĆ§Ć£o das informaƧƵes; pela nĆ£o divulgaĆ§Ć£o de informaƧƵes sem a devida aprovaĆ§Ć£o; e por zelar para que os direitos e as permissƵes de uso concedidas sejam respeitados. A Ć”rea de Compliance Ć© responsĆ”vel por orientar a Ć”rea de SeguranƧa da InformaĆ§Ć£o e demais Ć”reas sobre os normativos aplicĆ”veis ao tema, e tambĆ©m Ć© responsĆ”vel pela divulgaĆ§Ć£o desta PolĆ­tica. A Diretoria e a Ɓrea de Compliance devem ser comunicadas sempre que houver qualquer incidente de seguranƧa ou suspeita. A Ć”rea de Recursos Humanos deve observar a seguranƧa da informaĆ§Ć£o nos processos de contrataĆ§Ć£o, encerramento e modificaĆ§Ć£o das atividades dos colaboradores.

6. Compromisso de Sigilo e Confidencialidade

Terceiros e parceiros deverĆ£o assumir o dever de sigilo e confidencialidade, por si, seus empregados, prepostos ou terceiros sob suas ordens e efetuar uso, com prĆ©via autorizaĆ§Ć£o, dos dados e informaƧƵes da Pagsmile ou seus clientes, gestores e colaboradores, seja qual for o meio de divulgaĆ§Ć£o destes dados.

7. ContrataĆ§Ć£o de Fornecedores e Prestadores de ServiƧos

A contrataĆ§Ć£o de fornecedores deverĆ” observar a idoneidade, conduta social, ambiental e Ć©tica, e o compromisso pela seguranƧa de dados e informaƧƵes. A Ć”rea de SeguranƧa da InformaĆ§Ć£o deve zelar pela seguranƧa dos processos, serviƧos e sistemas em ambiente de Cloud Computing, abrangendo todas as informaƧƵes processadas, transferidas ou armazenadas.

8. Diretrizes de SeguranƧa para Colaboradores e Prestadores de serviƧos

Uso do e-mail e Internet

O e-mail corporativo deve ser utilizado apenas para fins profissionais e em atenĆ§Ć£o aos interesses da empresa. A Pagsmile reserva o direito de monitorar e auditar, sem aviso prĆ©vio, as informaƧƵes acessadas e manipuladas, podendo utilizar tais evidĆŖncias para detectar e analisar incidentes. Essa medida visa preservar os direitos da empresa e prover um ambiente seguro e controlado aos colaboradores, fornecedores e prestadores de serviƧo.

Uso de Rede Sociais

NĆ£o Ć© permitido ao colaborador comentar ou responder em nome da empresa, divulgar ou compartilhar informaƧƵes, fotos, vĆ­deos e gravaƧƵes no ambiente de trabalho ou em eventos corporativos, que exibam documentos e informaƧƵes internas, exceto quando expressamente autorizado.

9. ProteĆ§Ć£o contra VĆ­rus e Softwares Maliciosos

Servidores, estaƧƵes de trabalho ou notebook, deverĆ£o ser protegidos por software de antimalware homologado pela Pagsmile. A Ć”rea de SeguranƧa da InformaĆ§Ć£o tem autonomia para, caso julguem necessĆ”rio, tomar medidas prĆ³-ativas para combater ou prevenir a disseminaĆ§Ć£o de agentes maliciosos.

10. CĆ³pia de SeguranƧa (backup)

A Ć”rea de SeguranƧa da InformaĆ§Ć£o deverĆ” zelar pelo controle de backup, estabelecendo dados a serem copiados e a periodicidade de retenĆ§Ć£o, a fim de garantir a recuperaĆ§Ć£o em caso de falha ou desastre e ainda atender requisitos legais e fiscais. O armazenamento deverĆ” ser efetuado com a identificaĆ§Ć£o de cada mĆ­dia, data do backup e tempo de retenĆ§Ć£o.

11. Criptografia

As informaƧƵes confidenciais internamente tratadas sĆ£o armazenadas e trafegadas de forma criptografada, conforme nĆ­vel de criticidade e confidencialidade definidos nos documentos de classificaĆ§Ć£o da informaĆ§Ć£o.

12. Monitoramento

Com objetivo de identificar atividades nĆ£o autorizadas, os sistemas e recursos de rede sĆ£o monitorados e os eventos de seguranƧa analisados.

13. Controle de Acesso

Os acessos Ć s informaƧƵes sĆ£o controlados, monitorados e restringidos Ć  menor permissĆ£o possĆ­vel, e cancelados e/ou revogados conforme processo de revisĆ£o periĆ³dica ou ao tĆ©rmino do contrato de trabalho ou prestaĆ§Ć£o de serviƧo. O login e senha fornecidos sĆ£o de uso pessoal, intransferĆ­vel, limitados Ć s finalidade designada, de acordo com suas funƧƵes e responsabilidades. Toda violaĆ§Ć£o de acesso identificada deve ser registrada e analisada pelas Ć”reas responsĆ”veis.

14. AquisiĆ§Ć£o, Desenvolvimento e ManutenĆ§Ć£o dos Sistemas de InformaĆ§Ć£o

AquisiƧƵes, desenvolvimentos ou manutenƧƵes de aplicaƧƵes deverĆ£o observar os requisitos de seguranƧa, e o processo deverĆ” compreender controles a serem implementados, monitorados, revisados e aprimorados. Toda alteraĆ§Ć£o em ambiente de produĆ§Ć£o deverĆ” ser planejada e homologada.

15. Rastreabilidade da informaĆ§Ć£o

Toda informaĆ§Ć£o classificada como confidencial, sensĆ­vel ou restrita deve possuir logs para monitorar o acesso, a inclusĆ£o e a alteraĆ§Ć£o dessas informaƧƵes.

16. ClassificaĆ§Ć£o e tratamento da informaĆ§Ć£o

As informaƧƵes criadas internamente ou recebidas de fontes externas, independentemente do formato, devem ser classificadas conforme sua criticidade, o custo financeiro e de risco de imagem da exposiĆ§Ć£o dessas informaƧƵes.

17. GestĆ£o de Vulnerabilidades

DeverĆ£o ser adotadas medidas para correĆ§Ć£o de fragilidade das aplicaƧƵes de hardenings e patches de seguranƧa, e periodicamente revistas pela Ć”rea de SeguranƧa da InformaĆ§Ć£o. DeverĆ£o ser consideradas como crĆ­ticas, patches e correƧƵes de seguranƧa para vulnerabilidades, considerando a seguinte classificaĆ§Ć£o: a) urgente; b) crĆ­tica; c) alta.

18. Respostas a Incidentes de SeguranƧa da InformaĆ§Ć£o

O processo de resposta aos incidentes de seguranƧa compreende: detecĆ§Ć£o, triagem e anĆ”lise, mitigaĆ§Ć£o, investigaĆ§Ć£o, resposta e educaĆ§Ć£o. A resposta aos incidentes deverĆ” ser tratada de forma a limitar os danos e minimizar o tempo e os custos de recuperaĆ§Ć£o. Todo incidente de seguranƧa da informaĆ§Ć£o deve ser reportado para anĆ”lise da Ć”rea de SeguranƧa da InformaĆ§Ć£o.

19. GestĆ£o de Continuidade de NegĆ³cios

A Pagsmile deverĆ” manter um plano de continuidade de negĆ³cios relativo a seguranƧa da informaĆ§Ć£o e operaĆ§Ć£o, para minimizar os impactos e recuperar perdas de ativos da informaĆ§Ć£o, apĆ³s um incidente crĆ­tico, com base em seu processo de BIA ā€“ (Business Impact Analysis). SerĆ£o realizados testes de continuidade de negĆ³cio, a fim de garantir a confidencialidade, integridade e disponibilidade dos serviƧos em Cloud Computing. As Ć”reas de Tecnologia e SeguranƧa da InformaĆ§Ć£o deverĆ£o garantir a continuidade e recuperaĆ§Ć£o nos serviƧos em Cloud Computing, e o gerenciamento das interrupƧƵes que possam ocorrer.

20. DisseminaĆ§Ć£o da Cultura de SeguranƧa CibernĆ©tica

A Pagsmile promoverĆ” periodicamente treinamento de conscientizaĆ§Ć£o de seguranƧa aos colaboradores.

21. Penalidades

As violaƧƵes das PolĆ­ticas e procedimentos de seguranƧa, apĆ³s apuraĆ§Ć£o e constataĆ§Ć£o de responsabilidades, poderĆ£o desencadear aƧƵes disciplinares, rescisĆ£o de contrato e medidas administrativas e judiciais cabĆ­veis.

22. ComunicaĆ§Ć£o

Quaisquer indĆ­cios de irregularidades no cumprimento das determinaƧƵes desta PolĆ­tica serĆ£o alvo de investigaĆ§Ć£o interna e devem ser comunicadas imediatamente Ć  Ć”rea de SeguranƧa da InformaĆ§Ć£o.

23. VigĆŖncia

Esta PolĆ­tica deve ser revisada e aprovada pela Diretoria, anualmente ou em prazo inferior no caso de alteraĆ§Ć£o na legislaĆ§Ć£o aplicĆ”vel ou se houver alguma alteraĆ§Ć£o das prĆ”ticas de negĆ³cios da Pagsmile que justifiquem a atualizaĆ§Ć£o desta PolĆ­tica. A PolĆ­tica deverĆ” ser divulgada internamente e estar disponĆ­vel para consulta.