Esta Política tem como objetivo estabelecer as diretrizes para proteção das informações da Companhia, de modo a preservar a confidencialidade, a Integridade e a Disponibilidade dos Dados e dos sistemas de Informação utilizados, orientar quanto ao uso adequado de seus Ativos e garantir a capacidade da Companhia de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

Gestão de Riscos

Todos os produtos e serviços desenvolvidos, adquiridos, implementados ou disponibilizados devem ser submetidos a um processo formal de análise, avaliação e tratamento de riscos, visando atingir o grau de segurança adequado para Companhia.

Gestão de Continuidade

A Companhia deve implementar planos de continuidade de negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção. Deve haver redundância dos Ativos da Companhia, para que estes atendam aos requisitos de Disponibilidade.

Gestão de Incidentes de Segurança da Informação e/ou Privacidade

Todos os Colaboradores devem reportar quaisquer incidentes de Segurança, nos termos da Normativa de Gestão de Incidentes de Segurança da Informação e Privacidade, inclusive detectados a partir de informações recebidas de empresas prestadoras de serviços a terceiros, para que estes possam ser registrados, classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade, relevância e impacto, nos termos determinados no Plano de Resposta a Incidentes de Segurança da Informação.

Plano de Resposta a Incidentes envolvendo Dados Pessoais

Em caso de incidentes de Segurança dos serviços de pagamento prestados que afetem Dados Pessoais, os Colaboradores devem seguir as orientações da Política de Resposta a Incidentes de Segurança da Informação, que tem por objetivo assegurar (i) o menor impacto aos Dados Pessoais e Titulares envolvidos no Incidente de Segurança; (ii) a notificação rápida aos Titulares de Dados Pessoais e à Autoridade Nacional e/ou ao Controlador, quando aplicável; e (iii) uma robusta resposta interna e externa ao Incidente de Segurança.

Classificação e Tratamento da Informação

Todas as Informações e os Ativos que as suportam devem ser classificados de acordo com seu grau de sigilo e relevância, segundo os parâmetros delineados na Política de Classificação da Informação, recebendo o devido tratamento visando permitir sua proteção durante todo o ciclo de vida.

Gestão de Acessos

No ato da contratação, mudança de área ou desligamento de Colaboradores ou finalização do vínculo de Terceiros, devem existir processos que registrem, revisem e ajustem os acessos físicos e lógicos de acordo com as novas funções desempenhadas, para que os mesmos tenham acessos somente as informações e recursos necessários ao seu novo cargo ou função ou tenham seu acesso cessado por conta do desligamento ou da finalização do vínculo. Deve ser obrigatória a utilização de um crachá de identificação nas dependências da Companhia, a fim de impedir o acesso não autorizado e, consequentemente, impedir a ocorrência de danos e interferências nos recursos de processamento de informações.

Senhas de Usuários

Todas as senhas dos Colaboradores devem ser confidenciais, pessoais e intransferíveis. As senhas devem conter requisitos mínimos de segurança, conforme descrito na Política de Senhas de Usuários.

Utilização dos Ativos de Tecnologia da Informação

Os Ativos de tecnologia da informação são recursos corporativos, de propriedade da Companhia, disponibilizados apenas para a execução das atividades funcionais dos Colaboradores. É de responsabilidade do Colaborador em posse dos Ativos de tecnologia da informação zelar pela proteção e pela informação contida nos Ativos sob sua responsabilidade. Devem ser utilizados somente Ativos homologados e autorizados pela Companhia.

Criptografia

O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a Confidencialidade, Autenticidade e Integridade das informações, garantindo a transmissão segura entre os dispositivos e redes da Companhia, conforme descrito na Política de Uso de Controles Criptográficos.

Segurança de Redes

Os ativos de redes de computadores, como Firewalls, Roteadores, switches e pontos de acesso sem fio, devem possuir controles para restringir o acesso a usuários e de segmentação de redes para garantir a segurança dos dados e das informações.

Relacionamento com Terceiros

Para garantir a proteção dos Ativos acessados por Terceiros, a Companhia realiza a disseminação da cultura de Segurança da Informação por meio de treinamentos específicos focados em garantir a confidencialidade, integridade e disponibilidade das informações.

Além disso, cabe a cada uma das áreas envolvidas a responsabilidade por assegurar que os requisitos de Segurança da Informação sejam implementados e acordados com os Terceiros, sobretudo aqueles que manuseiam dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da Companhia. O objetivo é possibilitar a mitigação dos riscos associados aos acessos destes e a observância dos controles, procedimentos e parâmetros previstos em seus respectivos contratos de prestação de serviço, conforme descrito na Política de Segurança da Informação para Terceiros e Política de Homologação de Fornecedores.

Auditoria e Conformidade

A Companhia deve auditar periodicamente as práticas de Segurança da Informação de forma a avaliar a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

Monitoramento

A Companhia deve, em conformidade com a legislação em vigor, monitorar o acesso e a utilização de seus Ativos, tais como ambientes, equipamentos e sistemas tecnológicos, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente.

Gestão de Mudança

O processo de Gestão de Mudança tem como objetivo assegurar que as mudanças realizadas no ambiente de produção e homologação da Companhia sejam feitas de forma controlada, sendo avaliadas, planejadas, testadas, comunicadas, implementadas e documentadas, mitigando os riscos envolvidos nas mudanças de tecnologia em ambientes operacionais.

Gestão de Vulnerabilidades

Os procedimentos e os controles, inclusive a realização periódica de testes e varreduras, adotados para prevenir, detectar e reduzir a vulnerabilidade da Companhia a incidentes e atender aos demais objetivos de segurança cibernética são definidos pelo processo de Gestão de Vulnerabilidades indicado na Política de Gestão de Vulnerabilidades.

Cloud

Toda contratação de serviços de Cloud Computing deve ser regida por um contrato entre a Companhia e o fornecedor. Deve ser aprovada a disponibilização de qualquer dado, informação, aplicação ou processo da Companhia no ambiente cloud externo.

Conflitos

Na existência de conflito entre os controles de segurança e eventual necessidade de negócio específica, um novo cenário de controle deve ser analisado e implementado a fim de viabilizar os objetivos da Companhia, havendo ainda a necessidade de registro da aceitação dos riscos remanescentes, conforme as diretrizes de assunção de riscos da Companhia.

Atribuições e Responsabilidades

Diretoria

Aprovar a Política de Segurança da Informação e Cibernética;

Acompanhar periodicamente a evolução dos procedimentos, indicadores e resultados de segurança cibernética, visando sua melhoria contínua dos procedimentos relacionados com a segurança cibernética.

Áreas de Segurança da Informação

Gerenciar, coordenar, orientar, avaliar e implantar as ações, controles, atividades e projetos relativos à Segurança da Informação, promovendo ações de interesse da Companhia, programas educacionais, de conscientização e de capacitação e de avaliação periódica de pessoal;

Mitigar os Incidentes de Segurança que causam prejuízos financeiros, reputacionais e qualquer outra modalidade de impacto negativo, direto ou indireto, para o negócio da Companhia;

Analisar os desvios e as exceções às orientações desta Política;

Assegurar que o sistema de gestão da Segurança da Informação está conforme as principais práticas de Segurança da Informação do mercado, de acordo com a sua adequação e aplicabilidade;

Relatar sobre o desempenho do sistema de gestão da Segurança da Informação para a Diretoria;

Propor e apoiar iniciativas que visem a segurança dos Ativos;

Prestar informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos por meio de canais oficiais da Companhia;

Monitorar o acesso e a utilização dos Ativos tecnológicos, dos ambientes, equipamentos e sistemas da informação da Companhia, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente.

Colaboradores e Partes Interessadas

Conhecer e cumprir as diretrizes estabelecidas nesta Política e demais regulamentos que derivam desta Política ou com ela se relacionam, bem como as boas práticas que contribuem para a Segurança da Informação, conforme disponíveis e aplicáveis;

Reportar possíveis Incidentes e eventuais desconformidades com esta Política ao seu Gestor imediato, entidades responsáveis e/ou aos canais estabelecidos nesta Política, conforme aplicável;

Proteger e salvaguardar os Ativos e Informações de que sejam usuários, dos ambientes físicos e computacionais a que tenham acesso, independentemente das medidas de segurança implantadas;

Manter sigilo de todas as Informações acessadas durante seu período contratual, bem como após o encerramento dele, conforme diretrizes estabelecidas em contrato.