Política de Segurança Cibernética e da Informação

1. Objetivo deste documento

Esta Política visa descrever as diretrizes, atribuições e regras que devem ser observados para a proteção dos ativos tangíveis e intangíveis da Instituição, dos clientes e interesses do público em geral, visando assegurar que todas as informações processadas, transferidas e/ou armazenadas recebam a proteção e o tratamento adequado.

2. Público – alvo

Esta Política é aplicável a todos os colaboradores, gestores, fornecedores e prestadores de serviço da Pagsmile, abrangendo todos os dados, inclusive os do ambiente PCI-DSS (Payment Card Industry – Data Security Standard), por meio de programas de capacitação, prestação de informações à clientes e usuários sobre precaução na utilização de produtos e serviços e o comprometimento da Alta Administração com a melhoria contínua dos procedimentos.

3. Base Normativa

Circular BCB Nº 3.909/2018
Resolução CMN Nº 4.893/2021
Resolução BCB Nº 85/2021

4. Estrutura

A área de Segurança da Informação, sob gestão do Diretor Presidente, é responsável por zelar pela aplicação das diretrizes desta política.

5. Atribuições

Deverá ser implementada e mantida Diretoria que deverá zelar pela aprovação do acesso, compartilhamento, divulgação e manutenção do sigilo das informações, para que seja vedada a divulgação de quaisquer tipos de informações para terceiros, sem a prévia autorização.

A Pagsmile deverá elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, nos termos do Art. 8º da Circular BCB 3.909.

A área de Segurança da Informação será responsável pela criação de controles e processos, para a melhoria contínua da proteção das informações; por disseminar a cultura de segurança da informação; por garantir o efetivo cumprimento desta política, e o uso ético, seguro e legal das informações; por orientar e informar os colaboradores, fornecedores e prestadores de serviços para que comuniquem sempre que identificarem possíveis violações de segurança dos dados; por zelar pela guarda e proteção das informações; pela não divulgação de informações sem a devida aprovação; e por zelar para que os direitos e as permissões de uso concedidas sejam respeitados.

A área de Compliance será responsável por orientar a área de Segurança da Informação e demais áreas sobre os normativos aplicáveis ao tema, e também é responsável pela divulgação desta Política.

A Diretoria e a Área de Compliance devem ser comunicadas sempre que houver qualquer incidente de segurança ou suspeita

A área de Recursos Humanos deve observar a segurança da informação nos processos de contratação, encerramento e modificação das atividades dos colaboradores.

6. Compromisso de Sigilo e Confidencialidade

Terceiros e parceiros deverão assumir o dever de sigilo e confidencialidade, por si, seus empregados, prepostos ou terceiros sob suas ordens e efetuar uso, com prévia autorização, dos dados e informações da Pagsmile ou seus clientes, gestores e colaboradores, seja qual for o meio de divulgação destes dados.

7. Contratação de Fornecedores e Prestadores de Serviços

A contratação de fornecedores deverá observar a idoneidade, conduta social, ambiental e ética, e o compromisso pela segurança de dados e informações.

A área de Segurança da Informação deve zelar pela segurança dos processos, serviços e sistemas em ambiente de Cloud Computing, abrangendo todas as informações processadas, transferidas ou armazenadas.

8. Diretrizes de Segurança para Colaboradores e Prestadores de serviços

Uso do e-mail e Internet

O e-mail corporativo deve ser utilizado apenas para fins profissionais e em atenção aos interesses da empresa. A Pagsmile reserva o direito de monitorar e auditar, sem aviso prévio, as informações acessadas e manipuladas, podendo utilizar tais evidências para detectar e analisar incidentes. Essa medida visa preservar os direitos da empresa e prover um ambiente seguro e controlado aos colaboradores, fornecedores e prestadores de serviço.

Uso de Rede Sociais

Não é permitido ao colaborador comentar ou responder em nome da empresa, divulgar ou compartilhar informações, fotos, vídeos e gravações no ambiente de trabalho ou em eventos corporativos, que exibam documentos e informações internas, exceto quando expressamente autorizado.

9. Proteção contra Vírus e Softwares Maliciosos

Servidores, estações de trabalho ou notebook, deverão ser protegidos por software de antimalware homologado pela Pagsmile. A área de Segurança da Informação tem autonomia para, caso julguem necessário, tomar medidas pró-ativas para combater ou prevenir a disseminação de agentes maliciosos.

10. Cópia de Segurança (backup)

A área de Segurança da Informação deverá zelar pelo controle de backup, estabelecendo dados a serem copiados e a periodicidade de retenção, a fim de garantir a recuperação em caso de falha ou desastre e ainda atender requisitos legais e fiscais. O armazenamento deverá ser efetuado com a identificação de cada mídia, data do backup e tempo de retenção.

11. Criptografia

As informações confidenciais internamente tratadas são armazenadas e trafegadas de forma criptografada, conforme nível de criticidade e confidencialidade definidos nos documentos de classificação da informação.

12. Monitoramento

Com objetivo de identificar atividades não autorizadas, os sistemas e recursos de rede são monitorados e os eventos de segurança analisados.

13. Controle de Acesso

Os acessos às informações são controlados, monitorados e restringidos à menor permissão possível, e cancelados e/ou revogados conforme processo de revisão periódica ou ao término do contrato de trabalho ou prestação de serviço.

O login e senha fornecidos são de uso pessoal, intransferível, limitados às finalidade designada, de acordo com suas funções e responsabilidades

Toda violação de acesso identificada deve ser registrada e analisada pelas áreas responsáveis.

14. Aquisição, Desenvolvimento e Manutenção dos Sistemas de Informação

Aquisições, desenvolvimentos ou manutenções de aplicações deverão observar os requisitos de segurança, e o processo deverá compreender controles a serem implementados, monitorados, revisados e aprimorados.

Toda alteração em ambiente de produção deverá ser planejada e homologada.

15. Rastreabilidade da informação

Toda informação classificada como confidencial, sensível ou restrita deve possuir logs para monitorar o acesso, a inclusão e a alteração dessas informações.

16. Classificação e tratamento da informação

As informações criadas internamente ou recebidas de fontes externas, independentemente do formato, devem ser classificadas conforme sua criticidade, o custo financeiro e de risco de imagem da exposição dessas informações.

17. Gestão de Vulnerabilidades

Deverão ser adotadas medidas para correção de fragilidade das aplicações de hardenings e patches de segurança, e periodicamente revistas pela área de Segurança da Informação. Deverão ser consideradas como críticas, patches e correções de segurança para vulnerabilidades, considerando a seguinte classificação: a) urgente; b) crítica; c) alta.

18. Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem

Aplicamos proteção aos ativos de informação de forma compatível com sua criticidade para nossas atividades, alcançando todos os processos, informatizados ou não, inclusive quando do uso de computação em nuvem.

19. Respostas a Incidentes de Segurança da Informação

O processo de resposta aos incidentes de segurança compreende: detecção, triagem e análise, mitigação, investigação, resposta e educação. A resposta aos incidentes deverá ser tratada de forma a limitar os danos e minimizar o tempo e os custos de recuperação.

Todo incidente de segurança da informação deve ser reportado para análise da área de Segurança da Informação.

20. Gestão de Continuidade de Negócios

A Pagsmile deverá manter um plano de continuidade de negócios relativo à segurança da informação e operação, para minimizar os impactos e recuperar perdas de ativos da informação, após um incidente crítico, com base em seu processo de BIA – (Business Impact Analysis).

Serão realizados testes de continuidade de negócio, a fim de garantir a confidencialidade, integridade e disponibilidade dos serviços em Cloud Computing. As áreas de Tecnologia e Segurança da Informação deverão garantir a continuidade e recuperação nos serviços em Cloud Computing, e o gerenciamento das interrupções que possam ocorrer.

21. Disseminação da Cultura de Segurança Cibernética

A Pagsmile promoverá periodicamente treinamento de conscientização de segurança aos colaboradores.

22. Penalidades

As violações das Políticas e procedimentos de segurança, após apuração e constatação de responsabilidades, poderão desencadear ações disciplinares, rescisão de contrato e medidas administrativas e judiciais cabíveis.

23. Comunicação

Quaisquer indícios de irregularidades no cumprimento das determinações desta Política serão alvo de investigação interna e devem ser comunicadas imediatamente à área de Segurança da Informação.

24. Vigência

Esta Política deve ser revisada e aprovada pela Diretoria, anualmente ou em prazo inferior no caso de alteração na legislação aplicável ou se houver alguma alteração das práticas de negócios da Pagsmile que justifiquem a atualização desta Política. A Política deverá ser divulgada internamente e estar disponível para consulta.