Esta Política aborda as diretrizes, atribuições e responsabilidades no processo de Segurança Cibernética da Platta Serviços e Intermediação de Negócios S.A.
A Segurança Cibernética é baseada na preservação da propriedade da informação, em especial sua confidencialidade, integridade e disponibilidade, permitindo o uso e o compartilhamento da informação de forma controlada, bem como do monitoramento, registro e tratamento de incidentes cibernéticos.
As políticas e procedimentos relacionados à Segurança e aos Riscos Cibernéticos são de alta importância para a Platta e seus objetivos de negócio, uma vez que visam preservar o negócio, assim como proteger os dados e informações próprias e dos nossos clientes.
1. Objetivo
Estabelecer as diretrizes para compor um programa de Segurança Cibernética na Platta.
2. Vigência
Esta Política pode ser revisada anualmente ou, quando necessário (qualquer momento), caso haja alguma mudança nas normas da Platta, alteração de diretrizes de segurança da informação, objetivos de negócio ou caso requerido pelo regulador local.
3. Abrangência
Esta Política abrange todas as ferramentas, aplicações, processos e monitoramento de Segurança da Informação e Segurança Cibernética no ambiente da Platta Serviços e Intermediação de Negócios S.A., independente da sua localização física.
4. Princípios
As ações relacionadas com a Segurança da Informação e Comunicações (“SIC”) são norteadas pelos seguintes princípios:
• Autenticidade: é a garantia de que a informação foi produzida, expedida, modificada ou destruída dentro dos preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade vinculada à Platta;
• Celeridade: as ações de SIC devem oferecer respostas rápidas a incidentes e falhas de segurança;
• Confidencialidade: é a garantia de que a informação não esteja disponível ou seja revelada à pessoa, sistema, órgão ou entidade não autorizada pela Platta;
• Clareza: as regras de SIC, documentação e comunicações devem ser precisas e de fácil entendimento;
• Disponibilidade: garantia de que a informação esteja acessível e utilizável sob demanda por pessoa física ou determinado sistema, órgão ou entidade vinculada à Platta;
• Ética: os direitos e interesses legítimos dos usuários, de acordo com a nossa
Política de Privacidade devem ser preservados, sem comprometimento a SIC;
• Legalidade: as ações de segurança devem levar em consideração as atribuições regimentais, bem como leis, normas e políticas organizacionais, administrativas, técnicas e operacionais da Platta;
• Privacidade: garantia ao direito pessoal e coletivo, à intimidade e ao sigilo da correspondência e das comunicações individuais, bem como a promoção da aderência às leis de privacidade de dados;
• Publicidade: transparência no trato da informação, observados os critérios legais.
5. Informações confidenciais
O acesso às informações confidenciais, incluindo dados pessoais, coletadas e armazenadas pela Platta é restrito aos profissionais autorizados ao uso direto dessas informações, e necessário à prestação de seus respectivos serviços, sendo limitado o uso para outras atividades.
A Platta poderá revelar as informações confidenciais nas seguintes hipóteses:
• Sempre que estiver obrigado a revelá-las, seja em virtude de dispositivo legal, ato de autoridade competente, ordem ou mandado judicial;
• Aos órgãos de proteção e defesa de crédito e prestadores de serviços autorizados pelo Grupo a defender seus direitos e créditos;
• Aos órgãos reguladores do mercado financeiro;
• Para outras instituições financeiras, desde que dentro dos parâmetros legais estabelecidos para tanto, podendo, nesta hipótese, o usuário, a qualquer tempo, cancelar sua autorização; e
• Com demais empresas parceiras, quando forem necessárias para a adequada prestação dos serviços objeto de suas atividades, mediante assinatura de acordo de confidencialidade.
6. Estrutura de Gerenciamento
O gerenciamento dos controles de segurança tem como objetivo assegurar que os procedimentos operacionais sejam desenvolvidos, implantados e mantidos ou modificados de acordo com os objetivos estabelecidos nesta Política.
6.1. Gestão de Acessos às Informações
Os acessos às informações são controlados, monitorados e restringidos à menor permissão e privilégios possíveis, revistos periodicamente, e cancelados ao término do contrato de trabalho do colaborador ou do prestador de serviço.
6.2. Proteção do Ambiente da Platta
São constituídos controles e responsabilidades pela gestão e operação dos recursos de processamento das informações, visando garantir a segurança na infraestrutura tecnológica da Platta por meio de um gerenciamento efetivo no monitoramento, tratamento e na resposta aos incidentes, com o intuito de minimizar o risco de falhas e a administração segura de redes de comunicações.
6.2.1. Gestão de Incidentes de Segurança da Informação
O comportamento de possíveis ataques é identificado por meio de controles de detecção implementados no ambiente, como filtro de conteúdo, ferramenta de detecção de comportamentos maliciosos, Antivírus, Antispam, entre outros.
6.2.2. Prevenção a Vazamento de Informações
Utilização de controle para prevenção de perda de dados, responsável por garantir que dados confidenciais não sejam perdidos, roubados, mal utilizados ou vazados na web por usuários não autorizados.
6.2.3. Testes de Intrusão
Testes de Intrusão interno e externo nas camadas de rede e aplicação devem ser realizados no mínimo anualmente.
6.2.4. Varredura de Vulnerabilidades
As varreduras das redes internas e externas serão executadas periodicamente. As vulnerabilidades identificadas devem ser tratadas e priorizadas de acordo com seu nível de criticidade.
6.2.5. Controle Contra Software Malicioso
Todos os ativos (computadores, servidores, etc.) que estejam conectados à rede corporativa ou façam uso de informações da Plataforma, devem, sempre que compatível, ser protegidos com uma solução anti-malware determinada pela área de Segurança da Informação.
6.2.6. Criptografia
Toda solução de criptografia utilizada na Platta deve seguir as regras de Segurança da Informação e os padrões de segurança dos Órgãos reguladores.
6.2.7. Cópia de Segurança (backup)
O processo de execução de backups é realizado, periodicamente, nos ativos de informação da Plataforma, de forma a evitar ou minimizar a perda de dados diante da ocorrência de incidentes.
7. Principais Recomendações de Segurança aos Clientes e Usuários
7.1. Autenticação e Senha
O cliente é responsável pelos atos executados com seu identificador (login / sigla), que é único e acompanhado de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de tecnologia.
Recomendamos que:
• Mantenha a confidencialidade, memorize e não registre a senha em lugar algum;
• Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;
• Elaborar senhas de qualidade, de modo que sejam complexas e de difícil adivinhação;
• Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado com a sua identificação;
• Bloquear sempre o equipamento ao se ausentar.
7.2. Antivírus
É recomendado que o cliente tenha uma solução de antivírus atualizada e instalada no computador utilizado para acesso aos serviços oferecidos pela Platta. Além disso, possuir o sistema operacional atualizado com as últimas atualizações realizadas.
8. Treinamento
Um programa de conscientização em Segurança Cibernética à garantia dos objetivos e diretrizes definidos nesta Política é realizado adequando-se às necessidades e responsabilidades específicas de cada colaborador e, onde pertinente, terceiros da Companhia.
9. Comunicação
Quaisquer indícios de irregularidades no cumprimento das determinações desta Política serão alvo de investigação interna e devem ser comunicadas imediatamente aos nossos canais de atendimento.