Política de Segurança da Informação

Atualizado em 20 de Dezembro de 2021

1. OBJETIVOS

A Política de Segurança da Informação (“PSI”) visa preservar a confidencialidade, integridade e disponibilidade das informações, descrevendo a conduta adequada para o seu manuseio, controle, proteção, descarte e compromisso, preservando as informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os colaboradores da Numbrs.

2. REGULAMENTAÇÃO

Resolução CMN, no 4.658/2018 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

3. DIRETRIZES

As diretrizes de Segurança da Numbrs têm os seguintes objetivos principais:

• Garantir a confidencialidade, integridade e disponibilidade das informações dos seus clientes e proteger os dados e os sistemas da informação, contra acessos indevidos, pessoas e alterações não autorizadas;
• Assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de segurança da informação;
• Definir controles que permitam a proteção das informações de acordo com seu grau de classificação;
• Criar e manter atualizados mecanismos de proteção contra arquivos maliciosos;
• Avaliar e propor controles que visem oferecer segurança no desenvolvimento de sistemas
• Zelar para que os colaboradores estejam cientes do Termo de Ciência de Segurança da Informação ao iniciar as atividades na instituição;
• Assegurar que a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no país ou no exterior, contemple as políticas, estratégias e estruturas necessárias para o adequado gerenciamento dos riscos quanto à terceirização de serviços;
• Comunicar imediatamente à área de Segurança da Informação, bem como ao Compliance, qualquer violação desta PSI e/ou das demais normas e procedimentos de segurança da informação, a fim de se aplicar as medidas de remediação e penalidades previstas.
• Monitorar constantemente o ambiente tecnológico, avaliando e implementando medidas técnicas e melhoria de processos relacionadas a disciplina de Segurança.

4. PAPÉIS E RESPONSABILIDADES DA NUMBRS

Compete ao Colaborador:

• Cumprir as regras estabelecidas na PSI, normas e procedimentos de segurança da informação, bem como as demais leis, regulamentos e normas aplicáveis pelos órgãos reguladores;
• Proteger as informações contra acessos indevidos, divulgação não autorizados e descarte de forma segura;
• Zelar para que os recursos tecnológicos sejam utilizados de forma eficaz, dentro das finalidades corporativas e de conhecimento pela Numbrs;
• Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (elevadores, taxi e quaisquer outros meios de transporte, restaurantes, etc.) ou com terceiros não autorizados;
• Não compartilhar ou divulgar credenciais de acesso ou equipamentos sem a autorização explicita da área de Segurança da Informação. As senhas são de responsabilidade do usuário, sendo individual e intransferível, sendo substituídas de forma periódica;
• Estar atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da área de Segurança da Informação sempre que estiver com dúvidas;
• Solicitar quaisquer acessos ou perfis necessários as atividades profissionais por meio de ferramenta de chamados, contendo as aprovações do gestor imediato;
• Não criar, adquirir ou realizar uso de softwares não homologados e não instalados pela área de Tecnologia;
• Comunicar a área de Segurança da informação quaisquer riscos de segurança da informação existentes na área de atuação.

Compete à Gestão da área de Segurança:

• Determinar as diretrizes de Segurança da Informação;
• Aprovar e revisar periodicamente PSI;
• Apresentação de assuntos relevantes a Diretoria quando cabível.

Compete às Gerências da Numbrs:

• Reforçar junto as equipes o cumprimento das diretrizes de Segurança da Informação, bem como servir como replicador das boas práticas e controles.;
• Propor ajustes e ferramentas à área de Segurança da Informação que auxilie nos processos de negócio das áreas;
• Informar, à área de Segurança da Informação, sobre o encerramento de contratos em que os prestadores de serviços possuam qualquer tipo de acesso físico ou lógico às informações;
• Contribuir nos processos de revisão periódica de acessos ou em outras situações em que forem acionados pela área de Segurança da Informação.

Compete à área de Segurança da Informação:

• Propor controles e melhorias relacionados ao tema segurança da informação;
• Definir e documentar as políticas e procedimentos relacionados a operacionalização da segurança da informação;
• Monitorar e analisar os alertas e informações relacionadas à segurança das informações;
• Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços;
• Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais
• Disseminar a cultura de Segurança junto as demais áreas da Instituição;
• Participar dos projetos em que a área estiver envolvida acompanhando e sugerindo questões relacionadas ao tema da área.

Compete à área de Gente e Gestão:

• Disponibilizar a política e as normas de Segurança da Informação para todos colaboradores e assegurar que o mesmo esteja ciente das diretrizes, normas e procedimentos internos;
• Informar à área de Segurança da Informação todos os desligamentos, transferências, férias e modificações no quadro de funcional;
• Garantir que os colaboradores tenham ciência e assinem o Termo de Ciência de Segurança da Informação no processo de integração.
• Cabe à área de Infra de Tecnologia da Informação (TI):
• Realizar as cópias de segurança do ambiente tecnológico;
• Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta PSI e normas adicionais;
• Planejar, implantar, fornecer e monitorar a capacidade de armazenamento, processamento e transmissão necessárias para ambiente computacional.

Compete ao Compliance:

• Aplicar as penas previstas na Matriz de Penalidades, após deliberação do Comitê de Compliance em casos onde necessitarem desta ação;
• Avaliar as ações de remediação previstas para os casos de não conformidade a PSI
• e suas normas;
• Receber e analisar os eventos de riscos de segurança da informação, sugerindo ações de remediação.

Compete à área Jurídica:

• Requerer a inserção de cláusulas que obriguem o cumprimento desta PSI e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da Numbrs e preservando sua confidencialidade.

5. NORMAS

As informações geradas e os ambientes tecnológicos utilizados por seus respectivos usuários são de exclusiva propriedade da Numbrs, sendo vedada a sua utilização para fins pessoais ou quaisquer outros, que não os estabelecidos nos termos das normas e procedimentos.

Maiores detalhes de normas e procedimentos vinculados as atividades e processos, estão disponibilizados no portal da Intranet.

6. DESCUMPRIMENTO DA PSI

Na hipótese de violação desta PSI ou das normas de segurança da informação, a Diretoria, com o apoio das áreas de Segurança da Informação, Compliance e Recursos Humanos, determinarão as sanções administrativas que serão aplicadas ao infrator, sendo que:

• Os colaboradores estão sujeitos as sanções descritas na Matriz de Consequência, de acordo com o grau de infração.
• Para os prestadores de serviços, pode acarretar na aplicação rescisória imediata do respectivo contrato estabelecido violado.

7. CONTROLE

Esta Política entra em vigor a partir da data de sua publicação e deve ser revisada e aprovada pela Diretoria com periodicidade mínima anual. Se, no decorrer do período, houver mudança no ambiente regulatório ou na estrutura de gestão de riscos, o documento deverá contemplar a alteração. Esta Política deverá ser amplamente divulgada dentro da Numbrs SCD S.A. e disponibilizada a todos os integrantes e stakeholders do processo.