Atualizada em 08/2022
POLÍTICA
DE SEGURAA CIBERNÉTICA
POLÍTICA DE SEGURANÇA CIBERNÉTICA
Sumário
1 OBJETIVO 3
2 PÚBLICO-ALVO ...................................................................................................................................... 3
3 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO ..................................................................................... 3
4 RESPONSABILIDADES ............................................................................................................................ 3
5 DIRETRIZES DE SEGURANÇA CIBERNÉTICA ............................................................................................. 4
5.1 CLASSIFICAÇÃO DOS DADOS E DAS INFORMAÇÕES ............................................................................................. 4
5.2 CENÁRIOS DE INCIDENTES ............................................................................................................................ 5
5.3 PROCEDIMENTOS E CONTROLES PARA PRESTADORES DE SERVIÇOS ........................................................................ 5
5.4 AVALIAÇÃO DA RELEVÂNCIA DOS INCIDENTES ................................................................................................... 5
6 PROCEDIMENTOS E CONTROLES ............................................................................................................ 6
6.1 AUTENTICAÇÃO ......................................................................................................................................... 6
6.2 CRIPTOGRAFIA...........................................................................................................................................6
6.3 PREVENÇÃO E DETECÇÃO DE INTRUSÃO .......................................................................................................... 6
6.4 PREVENÇÃO DE VAZAMENTO DE INFORMAÇÕES ............................................................................................... 6
6.5 DETECÇÃO DE VULNERABILIDADES ................................................................................................................. 7
6.6 PROTEÇÃO CONTRA SOFTWARE MALICIOSO ..................................................................................................... 7
6.7 MECANISMOS DE RASTREABILIDADE PARA INFORMAÇÕES SENSÍVEIS ..................................................................... 7
6.8 CONTROLES DE ACESSO ............................................................................................................................... 7
6.9 BACKUP DOS DADOS E DAS INFORMAÇÕES ...................................................................................................... 7
6.10 REGISTRO E CONTROLE DOS EFEITOS DE INCIDENTES RELEVANTES ......................................................................... 7
6.11 GESTÃO DE PRESTADORES DE SERVIÇO............................................................................................................ 8
6.12 PLANO DE AÇÃO E DE RESPOSTA A INCIDENTES ................................................................................................. 8
6.13 DIVULGAÇÃO DE INCIDENTES RELEVANTES ...................................................................................................... 9
7 CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE
COMPUTAÇÃO EM NUVEM ................................................................................................................... 9
7.1 ABRANGÊNCIA 9
7.2 AVALIAÇÃO DA RELEVÂNCIA DO SERVIÇO A SER CONTRATADO ........................................................................... 10
7.3 AVALIAÇÃO DA CAPACIDADE DO POTENCIAL PRESTADOR DE SERVIÇO .................................................................. 10
7.4 CONTRATAÇÃO DE SERVIÇOS PRESTADOS NO EXTERIOR .................................................................................... 11
7.5 CLÁUSULAS CONTRATUAIS ......................................................................................................................... 11
7.6 COMUNICAÇÃO DA CONTRATAÇÃO AO BACEN ............................................................................................. 12
POLÍTICA DE SEGURANÇA CIBERNÉTICA
8 CULTURA DE SEGURANÇA CIBERNÉTICA .............................................................................................. 13
9 RELATÓRIO ANUAL .............................................................................................................................. 13
10 DOCUMENTAÇÃO ................................................................................................................................ 13
11 GERENCIAMENTO CONTÍNUO DE RISCOS CIBERNETICO ...................................................................... 14
11.1 INTRODUÇÃO ...................................................................................................................................... 14
11.1 OBEJETIVO E DEFINIÇÕES ................................................................................................................... 15
11.3 PRINCIPIOS E VALORES ................................................................................................................... 15
11.4 CRITÉRIOS E PROCEDIMENTOS ...................................................................................................... 16
11.5 ÁREAS ENVOLVIDAS / RESPONSABILIDDES ......................................................................................... 16
11.6 DECLARAÇÃO DE RESPONSABILIDADE ................................................................................................ 18
11.7 TREINAMNETO .................................................................................................................................... 18
11.8 SERVIÇOES DE COMPUTAÇÃO EM NUVEM ......................................................................................... 19
11.9 CONTRATAÇÃO DE SERIÇOS DE PROCESSAMNTOS E ARMAZENAMENTO DE DADOS E COMPUTAÇÃO
EM NUVEM.. ....................................................................................................................................... 19
11.10 CONTRATOS COM PRESTADORES DE SERVIÇOS ................................................................................ 20
11.11 TRATAMENTOS DE INCIDENTES ......................................................................................................... 22
11.12 RELATÓRIO DE PLANO DE AÇÃO E REPSOSTA A INCIDENTES ............................................................. 23
11.13 DOCUMENTAÇÃO MÍNIMA A SER ARQUIVADA ................................................................................. 24
11.14 CONSIDERAÇÕES FINALS .................................................................................................................... 24
12 DIVULGAÇÃO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA .................................................................... 24
13 COMPROMETIMENTO DA ALTA ADMINISTRAÇÃO ................................................................................ 24
14 VIGÊNCIA E REVISÃO ............................................................................................................................. 24
15 APROVAÇÃO DA POLÍTICA .................................................................................................................... 24
POLÍTICA DE SEGURANÇA CIBERNÉTICA
3
1 OBJETIVO
Esta Política de Segurança Cibernética tem por objetivo definir princípios e diretrizes
que permitam garantir a confidencialidade, a integridade e a disponibilidade dos
dados e dos sistemas de informação utilizados pela instituição, bem como orientar
a implementação de procedimentos e controles para prevenir, detectar e reduzir a
vulnerabilidade a incidentes relacionados com o ambiente cibernético.
2 PÚBLICO-ALVO
Esta política aplica-se a todos os sócios, administradores, diretores e demais
colaboradores da instituição, clientes, parceiros e prestadores de serviços a
terceiros que tenham acesso aos dados da instituição ou aos sistemas
informatizados por ela utilizados.
3 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
Os princípios que regem esta política são:
Confidencialidade: garantir que a informação esteja acessível somente às
pessoas autorizadas.
Integridade: garantir a autenticidade da informação e dos seus métodos de
processamento.
Disponibilidade: garantir que a informação esteja disponível às pessoas
autorizadas sempre que for necessário acessá-la.
4 RESPONSABILIDADES
Devido ao porte, o perfil de risco e o modelo de negócio da instituição ficam definidas
as seguintes responsabilidades:
I. Diretor (Raimundo Nonato Nogueira da Costa):
Aprovar a Política de Segurança Cibernética;
Executar o Plano de Ação e de Resposta a Incidentes;
Promover a melhoria contínua dos procedimentos relacionados com a segurança
cibernética.
II. Diretora Executiva (Nayara Nogueira da Costa):
Realizar o registro e o controle dos efeitos de incidentes relevantes;
Realizar periodicamente testes e varreduras para detecção de vulnerabilidades;
Executar e manter cópias de segurança dos dados e das informações;
Realizar a atividade de documentação referente à verificação de capacidade do
potencial prestador de serviço, das práticas de governança corporativa e da
POLÍTICA DE SEGURANÇA CIBERNÉTICA
4
avaliação da relevância do serviço a ser contratado;
Elaborar relatório anual sobre a implementação do Plano de ão e de Resposta
a Incidentes, tratada no item 14 desta política;
Comunicar ao Banco Central do Brasil sobre a ocorrência de incidentes
relevantes e das interrupções dos serviços relevantes que configurem uma
situação de crise pela instituição, bem como as providências para o reinício das
atividades;
Comunicar ao Banco Central do Brasil sobre a contratação de serviços
relevantes de processamento, armazenamento de dados e de computação em
nuvem.
5 DIRETRIZES DE SEGURANÇA CIBERNÉTICA
Esta política estabelece as seguintes diretrizes gerais:
Atender às leis e normas que regulamentam as atividades da instituição;
Assegurar a proteção das informações contra acessos, modificações,
destruições ou divulgações não autorizadas;
Assegurar que as informações sejam acessadas e utilizadas somente para as
finalidades para as quais foram coletadas;
Assegurar a adequada classificação dos dados e das informações relevantes
para a operação da instituição;
Estabelecer procedimentos e controles de segurança da informação para a
prevenção, detecção e redução de riscos cibernéticos;
Disseminar a cultura de segurança cibernética por meio da capacitação e
avaliação dos colaboradores da instituição;
Assegurar a aderência de terceiros relacionados aos negócios da instituição a
esta política e a legislação e regulamentação aplicáveis.
5.1 Classificação dos dados e das informações
As informações sob responsabilidade da instituição serão classificadas
considerando a relevância, sensibilidade, criticidade e grau de sigilo para o negócio
e clientes, nos seguintes níveis:
Pública: são informações que possuem caráter informativo geral e que são
direcionadas ao público em geral;
Interna: são informações destinadas ao uso interno da instituição e que estão
disponíveis para todos os colaboradores da instituição;
Restrita: são informações disponíveis apenas a colaboradores específicos da
instituição, que as necessitem para exercer suas atribuições;
Confidencial: são informações sigilosas de caráter estratégico para a instituição
e que estão disponíveis somente para a diretoria e pessoas por ela autorizadas.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
5
5.2 Cenários de incidentes
Devem ser elaborados, no âmbito dos testes de continuidade de negócios, cenários
de incidentes que impliquem em dano ou perigo de dano à confiabilidade, à
integridade, à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de
informação utilizados pela instituição, que tenham ou possam ter a capacidade de
causar interrupção nos processos de negócios da instituição, levando-se em
consideração para a elaboração desses cenários a ausência de ativos humanos ou
tecnológicos.
5.3 Procedimentos e controles para prestadores de serviços
Na elaboração de procedimentos e de controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços
a terceiros, considerando as características do serviço a ser prestado e níveis de
complexidade, abrangência e precisão, deverão ser analisados cenários de
incidentes que impliquem em dano ou perigo de dano à confiabilidade, à integridade,
à disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação
utilizados.
Uma vez identificados os possíveis cenários, serão analisados os controles voltados
à prevenção e ao tratamento dos incidentes utilizados pela prestadora, e, caso
necessário, deverão ser estabelecidos com a respectiva prestadora de serviços
outros procedimentos e controles de prevenção e tratamento dos incidentes a serem
adotados, de forma a suprir as possíveis lacunas relativas à prevenção, detecção e
redução da vulnerabilidade a incidentes relacionados com o ambiente cibernético.
São consideradas, para fins de aplicação do disposto nesta política, as empresas
prestadoras de serviços a terceiros que tiverem acesso:
Aos dados da instituição ou por ela controlados; ou
Aos sistemas utilizados pela instituição; ou
Aos ambientes físicos ou tecnológicos que possam ser utilizados para acessar
os dados e sistemas da instituição.
5.4 Avaliação da relevância dos incidentes
Os parâmetros a serem utilizados na avaliação da relevância dos incidentes
deverão considerar a frequência e o impacto dos cenários de incidentes que
impliquem em danos ou perigo de dano à confiabilidade, à integridade, à
disponibilidade, à segurança e ao sigilo dos dados e dos sistemas de informação
utilizados, que tenham ou possam ter a capacidade de causar interrupção nos
processos de negócios da instituição.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
6
6 PROCEDIMENTOS E CONTROLES
A instituição adota os seguintes procedimentos e controles para prevenir, detectar
e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético:
6.1 Autenticação
Para garantir a segurança dos acessos a instituição adota regras de autenticação
para o sistema operacional e banco de dados, os quais utilizam dados e chaves
armazenadas no banco de dados MySQL para efetuar o acesso. Sendo que o
chamado de consulta do login do usuário pelo sistema é feito em ambiente
criptografado por chaves SSL.
Acessos com a exigência de autenticação:
Sistema de e-mail;
Consulta a base de dados (em todos os canais);
Sistema ERP;
Diretórios e arquivos na rede de computadores.
A senha de acesso ao sistema utiliza caracteres alfanuméricos e especiais, é
composta de 8 (oito) a 10 (dez) dígitos, e quando gerada é armazenada com uma
máscara criptográfica MD5 e EBCDIC, que guarda a senha criptografada no banco
de dados, de modo que somente o usuário portador da senha poderá utilizá-la.
6.2 Criptografia
O sistema de comunicação e transmissão de dados da instituição é criptografado
utilizando chave SSL em seu ambiente, as senhas e logins de acesso o
criptografadas usando tecnologia MD5.
6.3 Prevenção e detecção de intrusão
O sistema de prevenção e detecção de intrusão utilizado pela instituição é o Firewall
Fortigate da Fortinet, que possui regras de detecção de ataques DDOS e é
monitorado pela equipe da Equinix, que fazem registros das tentativas de acessos
e de conexão.
6.4 Prevenção de vazamento de informações
O Banco de dados da instituição é mantido em rede interna apartado do ambiente
do sistema operacional, e mantido atrás de camadas de segurança, com os
softwares de monitoramento mantendo o sistema operacional seguro e estável. Ao
sinal de indício de instabilidade ou tentativa de comprometer algo no sistema,
recebemos um alerta que prontamente é atendido na ocorrência.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
7
6.5 Detecção de vulnerabilidades
O orquestrador Puppet atualiza as aplicações ou notifica os casos que o puderam
ser atualizados através do Zabbix, a ação é feita de forma automática, caso haja
um update de aplicação devido a uma brecha ou exploit a equipe da Equinix se
encarrega de colocar em ação na automatização os parâmetros e configurações
para sanar o problema.
6.6 Proteção contra software malicioso
A instituição possui em todas suas unidades de trabalho, assim como no servidor
web, o Antivírus BitDefender. o servidor do sistema operacional e do banco de
dados é baseado em Linux, distribuição Debian, é adicionado softwares e
aplicações homologadas pelas distribuições ou pela comunidade, sendo analisado
minuciosamente para que não haja brechas.
6.7 Mecanismos de rastreabilidade para informações sensíveis
Os sistemas contêm locais fixos onde são imputados os dados originados da
instituição financeira, esses dados competem única e exclusivamente na origem,
baseado nos produtos e políticas da instituição. Locais onde estão armazenados
estão contidos em relatórios de uso interno.
6.8 Controles de acesso
O sistema dispõe de mecanismos de log, e fornece rastreabilidade dos acessos. As
telas de sistema são segregadas de acordo com as funções estabelecidas aos
usuários.
6.9 Backup dos dados e das informações
Esta instituição possui um método definido para execução de cópias de segurança,
o qual é executado de forma a garantir continuidade caso necessário o
reestabelecimento dos dados. Diariamente é feito uma cópia da base de dados e
armazenado em uma pasta dentro do servidor, em um determinado horário o
software Simpana se encarrega de efetuar uma cópia de segurança para uma ilha
de backup, onde é armazenado por até dois meses.
6.10 Registro e controle dos efeitos de incidentes relevantes
Os incidentes são registrados com o seu devido código de prioridade conforme
definido no Plano de Ação e Resposta a Incidentes, onde é descrito a forma como
devem ser registrados e tratados os incidentes de segurança, sendo que nos
processos e ocorrências, caso os responsáveis verifiquem grau de importância,
devem notificar responsáveis e envolvidos, e observar outros itens obrigatórios ou
de interesse, além de atualizar rotinas e processos de documentos como a própria
POLÍTICA DE SEGURANÇA CIBERNÉTICA
8
política, manuais e outros que a instituição defina como necessário.
6.11 Gestão de prestadores de serviço
Os contratos com prestadores de serviço deverão conter cláusulas de
confidencialidade e responsabilidades entre as partes, assim como cláusulas que
garantam que os profissionais das empresas prestadoras de serviços a terceiros:
Tenham conhecimento e cumpram esta política;
Zelem e protejam o sigilo das informações da instituição;
Cumpram as normas legais que regulamentam a propriedade intelectual e a
proteção de dados e a normas vigentes relacionadas à segurança cibernética e
afins do Banco Central do Brasil;
Utilizem os dados da instituição ou os sistemas por ela utilizados, bem como os
ambientes físico e tecnológico da instituição, apenas para as finalidades objeto
do contrato de prestação de serviço;
Notifiquem imediatamente qualquer violação desta Política ou outras normas.
6.12 Plano de ação e de resposta a incidentes
A presente política institui o Plano de Ação e de Resposta a Incidentes com os
seguintes objetivos:
Identificar os incidentes de segurança;
Registrar os eventos que acarretaram problemas de segurança/continuidade;
Direcionar medidas paliativas a incidentes ocorridos;
Criar evidências e registros para medidas corretivas;
Acionar o plano de continuidade dos negócios;
Reportar os incidentes de segurança;
Adotar iniciativas para compartilhamento de informações sobre incidentes
relevantes com outras instituições.
Esse plano abordará detalhadamente os cenários de incidentes a serem avaliados
nos testes de continuidade de negócios, considerando a avaliação de risco dos
incidentes por níveis de impacto nos negócios, sendo esses níveis estipulados em
Gravíssimo, Grave, Médio, Baixo e Muito Baixo.
Por meio da identificação do nível de impacto do incidente será sequenciado o
processo para o devido encaminhamento aos responsáveis para tratamento,
conclusão e registro. A instituição definiu um relatório de Incidente de Risco
Cibernético (RIRC) de forma a registrar, acompanhar e simular cenários de impacto
dos incidentes de segurança.
No plano a instituição elencou os serviços primordiais e os possíveis cenários que
acarretariam prejuízo nos ou parada dos negócios. Para tanto, foram mapeados
cenários que apresentaram risco de interrupção a serem considerados para os
POLÍTICA DE SEGURANÇA CIBERNÉTICA
9
testes de efetividade do plano de continuidade dos negócios, sendo estes:
Interrupção de fornecimento de link de dados;
Sinistro em servidor interno de dados;
Interrupção do acesso ao Banco de Dados (Sistema Operacional na nuvem).
Será utilizado o relatório de implementação do plano de ação anual, de forma a
evidenciar necessidades de revisões assim como simular e registrar os testes de
continuidade dos negócios nos cenários definidos pela administração.
Registra-se que o Plano de Ação e de Resposta a Incidentes, Plano de
Continuidade dos Negócios e Relatórios de Registro, Teste e Acompanhamento
complementam e integram a presente política.
6.13 Divulgação de Incidentes Relevantes
Visando maior transparência bem como a busca pelas melhores práticas de
mercado a instituição diante da ocorrência de incidentes cibernéticos relevantes
buscará a adequada divulgação em sítio na internet, disponibilizando canal para
solicitação de maior detalhamento para interessados.
7 CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E
ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM
A instituição adotará procedimentos e práticas de governança corporativa e de
gestão que serão aplicadas previamente à contratação de serviços relevantes de
processamento e armazenamento de dados e de computação em nuvem, levando-
se em consideração a avaliação da relevância do serviço a ser contratado, dos
riscos a que esteja exposta a instituição, bem como da capacidade do potencial
prestador de serviço em realizar as atividades conforme a legislação e
regulamentação aplicáveis.
7.1 Abrangência
Os procedimentos e práticas serão aplicados previamente à contratação de serviços
de processamento e armazenamento de dados e de serviços de computação em
nuvem.
Os serviços de computação em nuvem, prestados sob demanda e de maneira
virtual, compreendem a disponibilidade de ao menos um dos serviços abaixo:
Processamento de dados, armazenamento de dados, infraestrutura de redes e
outros recursos computacionais que permitam à instituição contratante implantar
ou executar softwares, que podem incluir sistemas operacionais e aplicativos
desenvolvidos pela instituição ou por ela adquiridos;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
10
Implantação ou execução de aplicativos desenvolvidos pela instituição
contratante, ou por ela adquiridos, utilizando recursos computacionais do
prestador de serviços;
Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos
pelo prestador de serviço, com a utilização de recursos computacionais do
próprio prestador de serviços.
7.2 Avaliação da relevância do serviço a ser contratado
A avaliação prévia da relevância do serviço de processamento e armazenamento
de dados e de computação em nuvem a ser contratado levará em consideração:
A criticidade do serviço;
A sensibilidade dos dados e das informações a serem processados,
armazenados e gerenciados pelo contratado;
A classificação dos dados e das informações quanto à relevância.
7.3 Avaliação da capacidade do potencial prestador de serviço
A instituição avaliará previamente, como critérios de decisão para a contratação de
serviços de processamento e armazenamento de dados e de computação em
nuvem, no país ou no exterior, a capacidade do potencial prestador de serviço em
assegurar:
O cumprimento da legislação e da regulamentação em vigor;
O acesso da instituição aos dados e às informações a serem processadas ou
armazenadas;
A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados
e das informações processadas ou armazenadas;
A sua aderência às certificações exigidas por lei e pela instituição para a
prestação do serviço a ser contratado;
O acesso da instituição aos relatórios elaborados por empresa de auditoria
especializada independente contratada pelo prestador de serviço, relativos aos
procedimentos e aos controles utilizados na prestação dos serviços a serem
contratados;
O provimento de informações e de recursos de gestão adequados ao
monitoramento dos serviços a serem prestados;
A identificação e a segregação dos dados dos usuários finais da instituição por
meio de controles físicos ou lógicos;
A qualidade dos controles de acesso voltados à proteção dos dados e das
informações dos usuários finais da instituição;
A adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na
liberação de novas versões de aplicativos executados por meio da internet,
implantados ou desenvolvidos pelo prestador de serviço, com a utilização de
recursos computacionais do próprio prestador de serviço.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
11
7.4 Contratação de serviços prestados no exterior
De modo complementar ao item 7.3, no caso de contratação de serviços prestados
no exterior, a instituição observará previamente os seguintes critérios:
A existência de convênio para troca de informações entre o Banco Central do
Brasil e as autoridades supervisoras dos países onde os serviços poderão ser
prestados;
Se a prestação dos serviços no exterior não causa prejuízos ao regular
funcionamento da instituição e nem embaraço à atuação do Banco Central do
Brasil;
A definição dos países e das regiões em cada país onde os serviços poderão
ser prestados e os dados poderão ser armazenados, processados e
gerenciados;
A previsão de alternativas para a continuidade dos serviços de pagamento
prestados, no caso de impossibilidade de manutenção ou extinção do contrato
de prestação de serviços.
No caso de não existir convênio para troca de informações entre o Banco Central
do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser
prestados, a instituição solicitará ao Banco Central do Brasil, no prazo de 60
(sessenta) dias anteriores à contratação, autorização para a contratação do serviço.
7.5 Cláusulas contratuais
Os contratos para prestação de serviços relevantes de processamento,
armazenamento de dados e de computação em nuvem devem prever:
A indicação dos países e da região em cada país onde os serviços poderão ser
prestados e os dados poderão ser armazenados, processados e gerenciados;
A adoção de medidas de segurança para a transmissão e armazenamento dos
dados;
A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e
dos controles de acesso para proteção das informações dos clientes;
A obrigatoriedade, em caso de extinção do contrato, de:
a) Transferência dos dados ao novo prestador de serviços ou à instituição
contratante;
b) Exclusão dos dados pela empresa contratada substituída, após a
transferência dos dados prevista na alínea "a" e a confirmação da integridade e
da disponibilidade dos dados recebidos;
O acesso da instituição contratante a:
a) Informações fornecidas pela empresa contratada, visando a verificar o
cumprimento dessas obrigações;
b) Informações relativas às certificações e aos relatórios de auditoria
especializada;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
12
c) Informações e recursos de gestão adequados ao monitoramento dos serviços
a serem prestados;
A obrigação de a empresa contratada notificar a instituição contratante sobre a
subcontratação de serviços relevantes para a instituição;
A permissão de acesso do Banco Central do Brasil aos contratos e aos acordos
firmados para a prestação de serviços, à documentação e às informações
referentes aos serviços prestados, aos dados armazenados e às informações
sobre seus processamentos, às cópias de segurança dos dados e das
informações, bem como aos códigos de acesso aos dados e às informações;
A adoção de medidas pela instituição contratante, em decorrência de
determinação do Banco Central do Brasil;
A obrigação de a empresa contratada manter a instituição contratante
permanentemente informada sobre eventuais limitações que possam afetar a
prestação dos serviços ou o cumprimento da legislação e da regulamentação em
vigor;
Os contratos devem prever, ainda, cláusulas específicas para o caso de decretação
de regime de resolução da instituição contratante pelo Banco Central do Brasil:
A obrigação de a empresa contratada conceder pleno e irrestrito acesso do
responsável pelo regime de resolução aos contratos, aos acordos, à
documentação e às informações referentes aos serviços prestados, aos dados
armazenados e às informações sobre seus processamentos, às cópias de
segurança dos dados e das informações, bem como aos códigos de acesso,
citados no inciso VII do caput, que estejam em poder da empresa contratada;
A obrigação de notificação prévia do responsável pelo regime de resolução sobre
a intenção de a empresa contratada interromper a prestação de serviços, com
pelo menos trinta dias de antecedência da data prevista para a interrupção,
observado que:
a) A empresa contratada obriga-se a aceitar eventual pedido de prazo adicional
de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime
de resolução;
b) A notificação prévia deverá ocorrer também na situação em que a interrupção
for motivada por inadimplência da contratante.
7.6 Comunicação da contratação ao BACEN
A contratação de serviços relevantes de processamento, armazenamento de dados
e de computação em nuvem deve ser comunicada ao Banco Central do Brasil,
devendo a comunicação conter as seguintes informações:
A denominação da empresa a ser contratada;
Os serviços relevantes a serem contratados;
A indicação dos países e das regiões em cada país onde os serviços poderão
ser prestados e os dados poderão ser armazenados, processados e
gerenciados, no caso de contratação no exterior.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
13
A referida comunicação deve ser realizada, no máximo, até 10 (dez) dias após a
contratação dos serviços e as alterações contratuais que impliquem modificação
dessas informações devem ser comunicadas ao Banco Central do Brasil, no
máximo, até 10 (dez) dias após a alteração contratual.
8 CULTURA DE SEGURAA CIBERNÉTICA
A instituição adotará os seguintes mecanismos para a disseminação da cultura de
segurança cibernética:
Promover a implementação de programas de capacitação e de avaliação
periódica de todos os colaboradores;
Prestar informações aos usuários finais sobre precauções na utilização de
produtos e serviços oferecidos;
Comprometimento da alta administração com a melhoria contínua dos
procedimentos relacionados com a segurança cibernética.
9 RELATÓRIO ANUAL
Anualmente, a instituição elaborará relatório sobre a implementação do Plano de
Ação e de Resposta a Incidentes, tendo como data-base o dia 31 (trinta e um) de
dezembro de cada ano.
O relatório deverá ser submetido ao Comitê de Risco, quando existente, e
apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria até
31 (trinta e um) de março do ano seguinte ao da data-base, devendo abordar:
A efetividade da implementação das ões desenvolvidas pela instituição para
adequar suas estruturas organizacional e operacional aos princípios e às
diretrizes desta política;
O resumo dos resultados obtidos na implementação das rotinas, dos
procedimentos, dos controles e das tecnologias a serem utilizadas na prevenção
e na resposta a incidentes;
Os incidentes relevantes relacionados com o ambiente cibernético, ocorridos no
período;
Os resultados dos testes de continuidade de negócios, considerando cenários
de indisponibilidade ocasionada por incidentes de segurança.
10 DOCUMENTAÇÃO
Devem ficar à disposição do Banco Central do Brasil, pelo prazo de 5 (cinco) anos:
O documento relativo à política de segurança cibernética;
O documento relativo ao plano de ação e de resposta a incidentes;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
14
Os relatórios anuais sobre a implementação do plano de ão e de resposta a
incidentes;
A documentação sobre os procedimentos e práticas de governança corporativa
e de gestão e a avaliação da capacidade do potencial prestador de serviço;
A documentação referente à contratação de serviços relevantes de
processamento, armazenamento de dados e computação em nuvem, prestados
no exterior;
Os contratos de prestação de serviços relevantes de processamento,
armazenamento de dados e computação em nuvem, contado o prazo a partir da
extinção do contrato;
Os dados, os registros e as informações relativas aos mecanismos de
acompanhamento e de controle para implementação e efetividade da política de
segurança cibernética, do plano de ação e de resposta a incidentes e dos
requisitos para contratação de serviços de processamento e armazenamento de
dados e de computação em nuvem, contado o prazo referido no caput a partir
da implementação dos citados mecanismos.
11 GERENCIAMENTO CONTÍNUO DE RISCOS CIBERNETICO
Será parte integrante da Plano de Gerenciamento de Riscos.
11.1 INTRODUÇÃO
A Política Da Estrutura Simplificada De Gerenciamento Contínuo De Risco
Cibernético da SOCRED, tem por finalidade definir diretrizes para efetivar e para
manutenção das estratégias, rotinas e procedimentos de gerenciamento de riscos
cibernético.
A SOCRED mantém Estrutura Simplificada De Gerenciamento Contínuo De Riscos
em atendimento a Resolução 4.557/17 e Resolução 4.606/17 com objetivo de
identificar, mensurar, avaliar, monitorar, reportar, controlar e mitigar O RISCO
CIBERNETICO que a instituição esteja exposta de maneira relevante,
considerando:
O modelo de negócios, com a natureza das operações, complexidade dos
produtos e serviços, das atividades e dos processos da SOCRED;
A dimensão e à relevância da exposição aos riscos, segundo critérios
definidos pela SOCRED.
Adequada ao Perfil de riscos da SOCRED.
A política atende as exigências legais e os controles estabelecidos são entendidos
como oportunidade de melhoria nos padrões éticos e na transparência das
informações.
A SOCRED mantém estrutura de TI que assegura a integridade, a segurança e a
disponibilidade dos dados relativos ao gerenciamento de riscos.
A SOCRED mantém a política de continuidade de negócios que esteja exposta de
maneira relevante. Os modelos e os procedimentos internos asseguram as
operações realizadas através de procedimentos e pessoal qualificado para a
função. Todas as análises e procedimentos de risco serão reportados ao
POLÍTICA DE SEGURANÇA CIBERNÉTICA
15
Conselheiro com função de Diretor de Risco que reportará ao Conselho de
Administração. A SOCRED deverá manter atualizado o Relatório Gerencial
versando sobre o desempenho da estrutura simplificada de gerenciamento de risco
cibernético. A documentação relativa à estrutura de gerenciamento de riscos
cibernético ficará à disposição do Banco Central do Brasil por cinco anos.
11.2 O OBJETIVO E DEFINIÇÕES.
O objetivo desta Política é orientar a administração da SOCRED na gestão da
segurança da informação e cibernética, demonstrando o compromisso com a
proteção das informações corporativas e demais ativos de informação, destinados
a garantir a confidencialidade, integridade e disponibilidade das informações.
Para atingir o objetivo são determinados procedimentos internos destinados a
minimizar a ocorrência de riscos cibernéticos e para identificar violações de
segurança cibernética, estabelecendo ações sistemáticas de detecção, tratamento
e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e
lógicos, objetivando a mitigação dos riscos cibernéticos.
A SOCRED garante a confidencialidade, integridade e disponibilidade da
informação em todo o seu ciclo de vida: produção, manuseio, reprodução,
transporte, transmissão, armazenamento e descarte. Para esclarecimentos dessa
política são definidos:
a) Segurança cibernética: é um conjunto de práticas que protege informação
armazenada nos computadores e aparelhos de computação e transmitida
através das redes de comunicação, incluindo a internet e telefones
celulares;
b) Ativos de informações: são todas as informações geradas ou desenvolvidas
para operação da SOCRED, e podem estar presentes em diversas formas,
tais como: arquivos digitais, equipamentos, mídias externas, documentos
impressos, sistemas, dispositivos móveis, bancos de dados e conversas;
c) Incidentes: qualquer ocorrência que não é parte padrão da operação de um
serviço e que pode causar uma indisponibilidade, redução na qualidade
dele, perda de integridade ou confidencialidade das informações;
d) Risco cibernético: ameaça à confidencialidade, integridade e disponibilidade
das informações.
11.3 PRINCIPIOS E VALORES
A SOCRED possui como princípios seu compromisso com a transparência e o
respeito nas relações para com seus funcionários, usuários dos serviços
financeiros.
As informações dos usuários de serviços financeiros são guardadas de acordo com
padrões de confidencialidade e segurança, sendo compartilhados à terceiros, nos
termos da lei, desde que necessários para a execução de serviços/operações
contratadas e sob o dever de proteção de dados e confidencialidade dos mesmos.
Assim, como princípios e valores que norteiam essa política de Risco Cibernético
são:
POLÍTICA DE SEGURANÇA CIBERNÉTICA
16
a) Confidencialidade: garantir que as informações tratadas sejam de
conhecimento exclusivo de pessoas especificamente autorizadas;
b) Integridade: garantir que as informações sejam mantidas íntegras, sem
modificações indevidas (acidentais ou propositais);
c) Disponibilidade: garantir que as informações estejam disponíveis às
pessoas autorizadas somente para executar o tratamento necessário.
11.4 CRITÉRIOS E PROCEDIMENTOS
11.5 ÁREAS ENVOLVIDAS / RESPONSABILIDADES
O Conselho de Administração é responsável pela política de Gerenciamento de
Riscos Operacionais, devendo ser revisada e atualizada de maneira que demonstre
e identifique preventivamente a existência de vulnerabilidades que possam expor a
SOCRED a riscos, considerados incompatíveis com os níveis de riscos aceitáveis,
para que as ações sejam tomadas para reduzir essa exposição.
O Conselho de Administração, também continuamente mantém a correção de
eventuais deficiências da estrutura simplificada de gerenciamento de riscos que
possam ser identificadas, assegura a observância por todos na SOCRED.
Compete ao Conselho de Administração no mínimo a cada dois anos aprovar e
revisar as políticas e estratégias de gerenciamento de riscos operacional.
Cabe ao Conselho de administração prover recursos para a implementação,
manutenção e melhoria da gestão de segurança cibernética; promovendo a
disseminação da cultura de gerenciamento de riscos por todos os participantes da
SOCRED.
Todo componente da estrutura organizacional da SOCRED, independente do cargo,
função ou local de trabalho, é responsável pela segurança das informações e deve
cumprir as determinações desta política, normas e padrões de segurança
cibernética.
A SOCRED entende que é importante que cada colaborador deve focar na
conformidade com as normas, leis, padrões e/ou procedimentos internos ou
externos. Tudo isso com o propósito de mitigar as diversas vulnerabilidades às quais
a SOCRED está sujeita.
GERÊNCIA
As gerências têm como responsabilidade:
a) Assegurar que todos da equipe tenham acesso, conhecimento e implementação
pratica desta política e demais normas e padrões de segurança de cibernética;
b) Assegurar que o acesso a dados e informações pela equipe seja somente o
necessário ao desempenho de suas funções, atribuições e para cumprimento
das operações e atividades da SOCRED;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
17
c) Avaliar periodicamente o grau de sigilo e segurança necessários para a
proteção das informações sob sua responsabilidade e de sua equipe,
garantindo a confidencialidade, integridade e disponibilidade das informações.
d) Designar mais de um responsável para atuação em processos e operações
suscetíveis a fraudes e tomando os devidos cuidados para preservar a
segregação de funções;
e) Identificar com a equipe cnica as violações de segurança cibernética,
estabelecendo ações sistemáticas de detecção, tratamento e prevenção de
incidentes, ameaças e vulnerabilidades nos ambientes físicos e lógicos,
objetivando a mitigação dos riscos cibernéticos;
Ainda que seja com o suporte de área técnica a Gerência será responsável em:
a) Desenvolver e estabelecer programas de conscientização e divulgação da
política de segurança cibernética;
b) Conduzir o processo de gestão de riscos de segurança cibernética;
c) Conduzir a gestão de incidentes de segurança cibernética, incluindo as
investigações para determinação de causas e responsáveis e a comunicação
dos fatos ocorridos;
d) Conduzir a definição controles para tratamento de riscos, vulnerabilidades,
ameaças e não conformidades identificadas;
e) Propor projetos e iniciativas para melhoria do nível de segurança das
informações da SOCRED.
COLABORADORES E PRESTADORES DE SERVIÇOS
Todos os colaboradores e prestadores que tenham qualquer acesso cibernético e
as informações da SOCRED será responsável:
a) Utilizar de modo seguro, responsável, moral e ético, todos os serviços e
sistemas de segurança cibernética.
b) Utilizar os dados pessoais de forma licita e somente para o que foi aprovado
a sua utilização e não armazenar além do determinado nos procedimentos
operacionais da SOCRED.
c) Notificar a área segurança da informação e cibernética os incidentes de
segurança que venha a tomar conhecimento e as violações desta política de
segurança cibernética;
11.6 Declaração de Responsabilidade
Os colaboradores e prestadores de serviços diretamente devem aderir formalmente
a um termo comprometendo-se a agir de acordo com a Política de Segurança
Cibernética.
Seguindo as boas práticas, gradualmente deverá implementar aos contratos
firmados com prestadores que tenham acesso cibernético e as informações da
SOCRED cláusula que assegure a confidencialidade das informações protegidas
por sigilo e pela legislação e regulamentação vigentes.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
18
11.7 Treinamento
A SOCRED deve estabelecer um programa de treinamento e conscientização em
Segurança Cibernética à garantia dos objetivos e diretrizes definidos nesta Política
a fim de apresentar às necessidades e responsabilidades específicas de cada
colaborador.
A SOCRED em seus treinamentos a colaboradores e/ou integrações a novos
colaboradores deverá conscientizar que todas as ações, sistemas, serviços, dados,
informações disponíveis não devem ser interpretadas como sendo de uso pessoal,
portanto, todos devem ter ciência de que o uso está sujeito à monitoramento
periódico, inclusive em equipamentos pessoais acessados durante o expediente,
fazendo uso da sua rede ou o, sem frequência determinada ou aviso prévio. Esse
monitoramento pode ser realizado automaticamente (software e/ou hardware),
pelo departamento de TI, gestores ou por prestador de serviços externo.
11.8 SERVIÇOS DE COMPUTAÇÃO EM NUVEM
Os serviços de computação em nuvem abrangem:
a) Empregar de recursos computacionais dos prestadores de serviços em
casos de implantação, execução de aplicativos adquiridos ou desenvolvidos
pela SOCRED;
b) Processamento de dados, armazenamento de dados, infraestrutura de
redes e outros recursos que permitam a SOCRED implantar e executar
softwares, que podem incluir sistemas operacionais e aplicativos internos
ou adquiridos;
c) Usar de recursos computacionais do próprio prestador de serviços para
execução por meio de internet dos aplicativos implantados ou
desenvolvidos.
Na gestão dos serviços contratados devem ser avaliados a confiabilidade,
integridade, disponibilidade, segurança e sigilo das informações, os recursos
utilizados, bem como o cumprimento da legislação vigente.
11.9 CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E
ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM
A computação em nuvem é uma forma de contratação de serviços de
terceiros, e esses prestadores de serviços de processamento e armazenamento de
dados representam um risco de cIbersegurança para a SOCRED, sendo necessário
cuidados em casos de identificação de ameaças.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
19
Na contratação de serviços relevantes de processamento e armazenamento
de dados e de computação em nuvem, no país ou no exterior devem ser
considerados os seguintes requisitos à empresa contratada:
a) Ter Política de Segurança Cibernética e plano de continuidade de negócios
– PCN;
b) Manter registro e autorização em caso de mudanças ou alterações de
serviços ou sistemas; e
c) Ter relatórios de controles e gestão de incidentes.
A SOCRED continuamente verifica a capacidade potencial do prestador de
serviços de processamento e armazenamento de dados e de computação em
nuvem a fim de assegurar o cumprimento da legislação em vigor, permissão de
acessos da SOCRED aos dados e as informações que serão processadas ou
armazenadas.
O prestador de serviços de processamento e armazenamento de dados e de
computação em nuvem deve manter a confidencialidade, integridade,
disponibilidade e recuperação dos dados e das informações processadas e
armazenadas.
A SOCRED deverá ter acesso aos relatórios de auditoria contratada pelo
prestador de serviço e fornecimento de informações e de recursos de gestão
adequados aos monitoramentos dos serviços as serem prestados.
Os prestadores de serviços relevantes serão avaliados considerando a
criticidade do tipo de serviços a ser prestado, bem como a sensibilidade dos dados
e das informações processadas, armazenadas e gerenciadas.
Ainda, devem ser verificadas a adoção de controles que reduzam eventuais
vulnerabilidades na liberação de novas versões de aplicativos no caso de serem
executados pela internet.
11.10 CONTRATOS COM PRESTADORES DE SERVIÇOS
Os contratos firmados com as empresas prestadoras de serviços relevantes
de processamento, armazenamento de dados e computação em nuvem devem
POLÍTICA DE SEGURANÇA CIBERNÉTICA
20
prever a indicação dos países e da região, em cada país, onde os serviços poderão
ser prestados e os dados que poderão ser armazenados, processados e
gerenciados, bem como adoção de medidas de segurança para transmissão de
armazenamento de dados.
Enquanto o contrato estiver vigente, deve prever a manutenção da
segregação dos dados e dos controles de acessos para proteção das informações
dos usuários dos serviços da SOCRED.
A empresa contratada deverá notificar a SODRED sobre a subcontratação
de serviços relevantes para a SOCRED.
A SOCRED deverá ter acesso às informações fornecidas pelas empresas
contratadas visando verificar o cumprimento da indicação dos países e da região,
em cada país, onde os serviços poderão ser prestados e os dados que poderão ser
armazenados, processados e gerenciados, bem como adoção de medidas de
segurança para transmissão de armazenamento de dados.
A empresa prestadora de serviço deverá disponibilizar a SOCRED o acesso
as informações relativas ao relatório de auditoria especializada contratada pelo
prestador de serviço e recursos de gestão adequadas ao monitoramento dos
serviços contratados.
Os contratos devem prever ainda permissão de acesso ao Banco Central do
Brasil – BCB nas seguintes informações;
a) Contratos e aos acordos firmados para a prestação de serviços;
b) Documentação e às informações referentes aos serviços prestados;
c) Dados armazenados e às informações sobre seus processamentos;
d) Cópias de segurança dos dados e das informações;
e) Códigos de acesso aos dados e às informações;
f) Adoção de medidas pela instituição contratante, em decorrência de
determinação do Banco Central do Brasil; e
g) Obrigação de a empresa contratada manter a instituição contratante
permanentemente informada sobre eventuais limitações que possam afetar
a prestação dos serviços ou o cumprimento da legislação e da
regulamentação em vigor.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
21
O contrato mencionado na alínea “a” deve prever, para o caso da decretação
de regime de resolução da instituição contratante pelo Banco Central do Brasil:
a) A obrigação de a empresa contratada conceder pleno e irrestrito acesso do
responsável pelo regime de resolução aos contratos, aos acordos, à
documentação e às informações referentes aos serviços prestados, aos
dados armazenados e às informações sobre seus processamentos, às
cópias de segurança dos dados e das informações, bem como aos códigos
de acesso, citados na alínea “g” do caput, que estejam em poder da
empresa contratada; e
b) A obrigação de notificação prévia do responsável pelo regime de resolução
sobre a intenção de a empresa contratada interromper a prestação de
serviços, com pelo menos trinta dias de antecedência da data prevista para
a interrupção, observado que:
b.1) a empresa contratada obriga-se a aceitar eventual pedido de
prazo adicional de trinta dias para a interrupção do serviço, feito pelo
responsável pelo regime de resolução;
b.2 a notificação prévia deverá ocorrer também na situação em que a
interrupção for motivada por inadimplência da contratante.
11.11 AÇÕES DE PROTEÇÃO E PREVENÇÃO DE RISCOS CIBERNÉTICO
As ações de proteção e prevenção da SOCRED a fim de manter
funcionamento e efetividade da segurança cibernética seguem os seguintes
requisitos:
a) Manter relatório de inventários de hardware e software;
b) Verificar com frequência se há na SOCRED computadores não autorizados
ou software não licenciado;
c) Manter os sistemas operacionais e software atualizados;
d) Realizar frequentemente testes de invasão externa e piscina;
e) Fazer análises de vulnerabilidade na estrutura tecnológica da SOCRED
frequentemente ou em situações que houver mudança significativas;
f) Fazer teste do plano de resposta a incidentes com simulação de cenários.
g) A SOCRED realiza testes de segurança no seu sistema de segurança da
informação e proteção de dados, dentre as medidas, incluem-se:
• Verificação dos logs dos colaboradores;
• Alteração periódica de senha de acesso dos Colaboradores;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
22
• Segregação de acessos;
h) A SOCRED deverá solicitar para os fornecedores testes e eficácia dos
processos utilizados para evitar e revelar as principais vulnerabilidades dos
sistemas que estão sob a responsabilidades deles, o que permitirá efetuar
as correções devidas a tempo de evitar ou mitigar um ataque real;
11.12 TRATAMENTO DE INCIDENTES
Os incidentes são interrupções de sistema tecnológico não planejado que
afetam os negócios das Scores e podem acontecer nas seguintes situações:
a) Queda de energia;
b) Falha de um elemento de conexão ou servidor fora do ar;
c) Ausência de conexão com a internet;
d) Indisponibilidade de acesso a SOCRED.
e) Indícios ou ocorrências com perda de dados, roubo ou vazados de dados,
f) Terrorismo e ataques cibernéticos;
As ocorrências de incidentes devem ser avaliadas com relação a gravidade
da situação, os motivos que levaram aos acontecimentos desses incidentes e as
consequências para os negócios da SOCRED.
A SOCRED deverá realizar as seguintes ações após a avaliação dos
incidentes:
a) Avaliar o impacto do incidente na SOCRED;
b) Redirecionar os contatos como as linhas de telefones para os celulares,
instruir o provedor de telefonia a desviar linhas de dados, entre outros;
c) Avaliar a relevância, em caso de sabotagem ou terrorismo a fim de decidir
pelo registro de boletim de ocorrência ou outras providencias caso seja
necessário;
d) Comunicar tempestivamente ao Banco Central do Brasil – BCB as
ocorrências de incidentes relevantes e as interrupções de serviços
relevantes que configurem uma situação de crise na SOCRED.
Após o incidente ter sido resolvido com a contingência da segurança
cibernética e demais equipes chaves notificados, as áreas devem verificar se os
dados estão faltando ou foram corrompidos ou outros problemas.
Caso seja identificado que a SOCRED perdeu informações ou dados, os
conselheiros com funções executivas e equipe de contingência da SOCRED devem
POLÍTICA DE SEGURANÇA CIBERNÉTICA
23
ser informados imediatamente e na retomada dos processos deverão ser definidos
ações que incluem a análise procedimentos para que a SOCRED possa operar
normalmente, bem como reconstrução de eventuais sistemas e mudanças e
medidas de prevenção.
11.13 RELATÓRIO DE PLANO DE AÇÃO E RESPOSTA A INCIDENTES
A SOCRED deverá emitir anualmente o relatório de implementação de plano
de ação e respostas a incidentes.
Os referidos relatórios devem ser aprovados pelos Conselheiros em função
Executiva responsável pela segurança cibernética.
O relatório deverá ser emitido com data base de 31 de dezembro e conter,
no mínimo, as seguintes informações:
a) Resumo dos resultados alcançados na implementação de rotinas,
procedimentos e tecnologias utilizados na prevenção e na resposta a
incidentes;
b) As ocorrências de incidentes relevantes ocorrido no período relacionado
referente ao ambiente cibernético;
11.14 DOCUMENTAÇÃO MÍNIMA A SER ARQUIVADA
Devem ficar à disposição do Banco Central do Brasil – BCB:
a) A presente Política;
b) A ata do Conselho de Administração com a aprovação da política;
c) Documento relativo ao plano de ação e de resposta a incidentes;
d) Relatório anual e a documentação sobre os procedimentos;
e) Documentação que trata no caso de serviços prestados no exterior;
f) Os contratos de prestação de serviços relevantes de processamento,
11.15 CONSIDERAÇÕES FINAIS
Essa Política será revisada em periodicidade de dois anos ou quando
mudanças significativas exigirem.
Essa Política Da Estrutura Simplificada De Gerenciamento Contínuo De
Risco está aprovada pelo Conselho de Administração na reunião de 17/08/2021.
Belém, 17 de agosto de 2022.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
24
12 DIVULGAÇÃO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA
Para divulgação desta política a instituição adotará as seguintes ações:
Divulgação a todos os colaboradores da instituição e às empresas prestadoras
de serviços a terceiros, de forma acessível e em nível de detalhamento
compatível com as funções desempenhadas e com a sensibilidade das
informações.
Divulgação ao público, na página da instituição na internet, do resumo contendo
as linhas gerais desta política.
13 COMPROMETIMENTO DA ALTA ADMINISTRAÇÃO
Ao aprovar esta Política de Segurança Cibernética, a Diretoria da instituição firma
um compromisso para com a melhoria contínua dos procedimentos relacionados
com a segurança cibernética, buscando sempre se manter em conformidade com
as normas e regulamentos aplicáveis, sendo guiada pelos princípios, diretrizes e
práticas aqui adotadas para assegurar a confidencialidade, a integridade e a
disponibilidade dos dados da instituição ou dos sistemas de informação por ela
utilizados.
14 VIGÊNCIA E REVISÃO
Esta política terá vigência a partir da data de aprovação pela Diretoria, e será
revisada e documentada anualmente ou a qualquer momento para se adequar a
alterações regulatórias ou outras obrigações legais.
15 APROVAÇÃO DA POLÍTICA
Esta política foi aprovada pela Diretoria em 26 de agosto de 2022, conforme Ata em
anexo.
POLÍTICA DE SEGURANÇA CIBERNÉTICA
25
RIRC – Relatório de Incidente de Risco Cibernético ANUAL
RIRC Nº ____/2022
CÓDIGO DE IMPACTO:
( ) Gravíssimo ( ) Grave ( )
Médio
( ) Baixo ( ) Muito Baixo
Descrição:
Período em que ocorreu o Incidente
Data Início:
Data Fim:
Tipo de Impacto (s):
( ) Confidencialidade ( )
Integridade
( ) Disponibilidade
Origem da Ocorrência:
Responsáveis Comunicados:
POLÍTICA DE SEGURANÇA CIBERNÉTICA
26
__________________________________________________________________
Detalhamento do Incidente
<informar a categoria do incidente. Ex.: Alteração não planejada, Ataque DDoS, Não
Conformidade com a PSI, etc>
<descrever o que ocorreu, extensão e impactos do incidente, bem como detalhar
as causas do incidente, áreas envolvidas na investigação do incidente, etc>
__________________________________________________________________
Tratamento do Incidente
<descrever ações executadas para contenção e/ou contorno do problema/incidente,
equipes/pessoas envolvidas. Atentar ao fato de que determinadas ações de
contenção/contorno podem demandar sua prévia comunicação.
__________________________________________________________________
Análise e Encerramento do Incidente
<descrever se necessárias outras ações e recursos necessários para finalizar o
tratamento do incidente e/ou para evitar que o incidente volte a ocorrer, informando, se
possível, prazos e responsáveis para execução.> <lições aprendidas>
<informar identificador do chamado/problema vinculado ao incidente, se houver>
Considerar também a necessidade de:
o reversão da solução de controle/contorno
o implementação de uma correção para a causa-raiz do problema;
POLÍTICA DE SEGURANÇA CIBERNÉTICA
27
o implantação de um novo serviço/sistema;
o substituição do ativo/sistema afetado;
<Informar conclusões devidas caso teste de estresse e futuras alterações>
_________________________________________________________________
Acionamento do Plano de Continuidade
__________________________________________________________________
Reporte aos Órgãos de Controle/Registro
□ Sim
□ Não
__________________________________
Assinatura do Diretor de Risco Cibernético
POLÍTICA DE SEGURANÇA CIBERNÉTICA
28
__________________________________________________________________
Assinatura dos Envolvidos
□ BACEN
□ ABSCM
ATA DE REUNIÃO
Data e Horário: 26 de agosto de 2022 - 9h:30. Local: Rua dos Mundurucus 3100,
sala 1303, Cremação, CEP 66040-033, Belém Pará. Na sede da SOCRED S.A.
SOCIEDADE DE CRÉDITO AO MICROEMPREENDEDOR E À EMPRESA DE
PEQUENO PORTE S.A.
Participantes: RAIMUNDO NONATO NOGUEIRA DA COSTA - NAYARA
NOGUEIRA DA COSTA
Assuntos tratados na reunião:
1. Aprovação da Política de Segurança Cibernética, versão 2, conforme
Resolução vigente 4893/2021.
Da Aprovação
Os arquivos com o Conteúdo da Política de Segurança Cibernética
detalhando a composição, objetivo Diretrizes, funcionamento e
responsabilidades foram disponibilizados com a devida antecedência para
Diretoria e após conhecimento prévio de seu conteúdo, bem como a devida
deliberação acerca da respectiva Política e documentos anexos, todos os
documentos foram aprovados sem ressalvas.
Nada mais havendo a tratar, a Ata será encaminhada por correio
eletrônico dos participantes para a coleta das assinaturas por meio eletrônico
caso não haja possibilidade de coleta física.
Belém/PA, 26 de agosto de 2022.
_______________________________________________________________
Raimundo Nonato Nogueira da Costa
_______________________________________________________________
Nayara Nogueira da Costa
Assinado digitalmente por RAIMUNDO
NONATO NOGUEIRA DA COSTA:
04818369268
DN: C=BR, O=ICP-Brasil, OU=AC DIGITAL
MULTIPLA G1, OU=24152219000174,
OU=videoconferencia, OU=Certificado PF
A1, CN=RAIMUNDO NONATO NOGUEIRA
DA COSTA:04818369268
Razão: Eu sou o autor deste documento
Localização: sua localização de assinatura
aqui
Data: 2022.08.26 16:32:53-03'00'
Foxit PDF Reader Versão: 11.2.1
RAIMUNDO
NONATO
NOGUEIRA DA
COSTA:
04818369268
Assinado digitalmente por NAYARA
NOGUEIRA DA COSTA ARRUDA:
92008135268
DN: C=BR, O=ICP-Brasil, OU=Autoridade
Certificadora Raiz Brasileira v2, OU=AC
SOLUTI, OU=AC SOLUTI Multipla,
OU=24152219000174, OU=Certificado PF A3,
CN=NAYARA NOGUEIRA DA COSTA
ARRUDA:92008135268
Razão: Eu sou o autor deste documento
Localização: sua localização de assinatura
aqui
Data: 2022.08.26 16:38:27-03'00'
Foxit PDF Reader Versão: 11.2.1
NAYARA
NOGUEIRA DA
COSTA
ARRUDA:
92008135268