Politica de Segurança da Informação e Segurança Cibernetica

O objetivo deste documento é estabelecer a Política de Segurança da Informação e Segurança Cibernética que visa garantir a Confidencialidade, Integridade e Disponibilidade das informações da Bansur e daquelas que estão sob sua custódia.

A política descreve as diretrizes e a conduta adequada para o manuseio, controle e proteção das informações contra destruição, modificação, divulgação indevida e acessos não autorizados (acidentais ou intencionais).

O detalhamento das diretrizes aqui dispostas serão objetos de normas e procedimentos específicos compondo o Sistema de Gestão de Segurança da Informação e Segurança Cibernética.

Colaborador: Funcionário, estagiário e prestador de serviços

Ativo de Informação: Qualquer ativo que processe ou armazene informação e a própria informação

Informação: Ativo essencial para o negócio, pode estar na forma escrita, impressa, verbal, e em meio digital ou físico; 

Usuário: Colaborador autorizado a utilizar informações e recursos da informação da Bansur;

Equipamentos: Quaisquer hardwares disponibilizados pela Bansur.

Violação de Dados: Violação de segurança que leva à destruição acidental ou ilícita, à perda, à divulgação não autorizada ou o acesso a dados protegidos e transmitidos, armazenados ou transformados de outro modo.

A Segurança da Informação é caracterizada pela preservação dos princípios: 

Confidencialidade – garantia de que a informação é acessível somente por pessoas com acesso autorizado; 

Integridade – é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento; 

Disponibilidade – garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário. 

A Segurança Cibernética é a preservação dos princípios da Confidencialidade, Integridade e Disponibilidade no Espaço Cibernético. 

O espaço cibernético engloba a internet, os sistemas de informação, os dispositivos móveis e as tecnologias digitais que são suporte aos negócios, infraestrutura e os serviços.

Proteção da Informação

A informação pode estar presente de diversas formas, tais como: sistemas, drives locais e em nuvem, banco de dados, mídia impressa, dispositivos eletrônicos, equipamentos e comunicação oral, dentre outros.

Independente da forma, toda informação gerada, adquirida, armazenada e processada, pela Bansur ou através de fornecedores e prestadores de serviço é de sua propriedade e deve ser protegida de riscos e ameaças que possam comprometer a Confidencialidade, Integridade e Disponibilidade.

Tratamento da Informação

As informações da Bansur e de seus clientes devem ser tratadas de forma ética e sigilosa, utilizadas com transparência e apenas para finalidade para a qual foi coletada.

A segregação de função deve ser observada em todo ciclo de vida da informação de forma a evitar o conflito de interesse.

O acesso às informações e recursos só pode ser realizado mediante autorização e respeitando a diretriz de menor privilégio, no qual os usuários têm acesso somente aos recursos imprescindíveis para o desempenho de suas atividades.

Os colaboradores que manipulam as informações devem ser identificados unicamente e são responsáveis pelas ações realizadas.

O colaborador é totalmente responsável pela correta utilização dos recursos disponibilizados e pelos atos executados com suas senhas, devendo manter sua confidencialidade. Todos os envolvidos no tratamento da informação da Bansur e de seus Clientes devem se comprometer com a Confidencialidade assinando um Acordo de Confidencialidade.

Privacidade e Direitos de Propriedade

O tratamento da informação deve ser realizado respeitando direitos autorais, regras de licenciamento de softwares, direitos de propriedade, privacidade e proteção de propriedade intelectual.

O tratamento de dados pessoais deve ser realizado em conformidade com a Lei Geral de Proteção de Dados (LGPD). As diretrizes para o tratamento de dados pessoais na Bansur estão dispostas na Política de Privacidade e no Aviso de Privacidade.

Gestão da Segurança da Informação e Segurança Cibernética na Bansur

A segurança da informação e segurança cibernética devem ser monitoradas e controladas para garantir a proteção do ambiente da Bansur contra as seguintes ameaças, não se limitando a:

• Acesso não autorizado;
• Infecção por código malicioso;
• Invasão;
• Violação de dados;
• Vazamento de dados.

Os riscos e vulnerabilidades devem ser identificados, avaliados quanto ao impacto para o negócio da Bansur, bem como enviados para tratamento de forma a proteger o ambiente. Deverá ser composto um Comitê de Segurança e Privacidade com o objetivo de acompanhar, recomendar e aprovar as ações de segurança da informação, segurança cibernética e privacidade.

Classificação da Informação

As informações produzidas, processadas e armazenadas pela Bansur são classificadas e protegidas de acordo com seu nível de confidencialidade e grau de risco ao negócio.

Gestão de Ativos

Os ativos de informação são identificados de forma individual, inventariados e protegidos de acesso indevido.

Gestão de Acessos

Os acessos são concedidos de acordo com os princípios de menor privilégio e da segregação de função de forma a evitar fraudes e acesso indevido.
Os acessos são revisados periodicamente pelos responsáveis pelas informações da Bansur.

Gestão da Continuidade dos Negócios

A Bansur possui um Ambiente de Contingência para garantir a continuidade de seus processos críticos.
Para gestão de continuidade do negócio a Bansur possui a Política de Continuidade do Negócio e o Plano de Continuidade do Negócio.

Monitoramento e segurança do ambiente

A Bansur monitora todo ambiente que suporta seus produtos e serviços de forma a garantir a proteção de seus dados e informações.

Gestão de incidentes de segurança da informação

Os eventos de segurança da informação são comunicados e monitorados de forma a tomar ações corretivas rapidamente minimizando os impactos decorrentes de um incidente. Para gestão de incidentes de segurança a Bansur possui a Política de Resposta a Incidentes e o Plano de Resposta a Incidentes.

Gestão das vulnerabilidades

O ambiente da Bansur é avaliado frequentemente a fim de identificar e tratar as vulnerabilidades. As aplicações críticas devem ser submetidas a teste de invasão anualmente.

Conscientização e Treinamento

Todos os colaboradores devem ser conscientizados e treinados quanto às melhores práticas de segurança da informação de forma a compreender o seu papel e responsabilidade, com o objetivo de fortalecer a cultura e a proteção das informações da Bansur e de seus clientes.

Segurança dos fornecedores e prestadores de serviços

Os fornecedores e prestadores de serviços da Bansur devem garantir os princípios de Confidencialidade, Integridade e Disponibilidade na execução dos serviços contratados.

Os fornecedores e os prestadores de serviços devem ser avaliados antes da contratação, bem como monitorados durante a vigência do contrato.
A contratação de fornecedores e prestadores de serviços considerados relevantes para o negócio da Bansur, bem como a alteração e cancelamento do contrato devem ser comunicados ao Banco Central do Brasil de acordo com o Regulamento 4.893.

Proteção da Informação

A informação pode estar presente de diversas formas, tais como: sistemas, drives locais e em nuvem, banco de dados, mídia impressa, dispositivos eletrônicos, equipamentos e comunicação oral, dentre outros.

Independente da forma, toda informação gerada, adquirida, armazenada e processada, pela Bansur ou através de fornecedores e prestadores de serviço é de sua propriedade e deve ser protegida de riscos e ameaças que possam comprometer a Confidencialidade, Integridade e Disponibilidade.

Tratamento da Informação

As informações da Bansur e de seus clientes devem ser tratadas de forma ética e sigilosa, utilizadas com transparência e apenas para finalidade para a qual foi coletada.

A segregação de função deve ser observada em todo ciclo de vida da informação de forma a evitar o conflito de interesse.

O acesso às informações e recursos só pode ser realizado mediante autorização e respeitando a diretriz de menor privilégio, no qual os usuários têm acesso somente aos recursos imprescindíveis para o desempenho de suas atividades.

Os colaboradores que manipulam as informações devem ser identificados unicamente e são responsáveis pelas ações realizadas.

O colaborador é totalmente responsável pela correta utilização dos recursos disponibilizados e pelos atos executados com suas senhas, devendo manter sua confidencialidade.

Todos os envolvidos no tratamento da informação da Bansur e de seus Clientes devem se comprometer com a Confidencialidade assinando um Acordo de Confidencialidade.

Privacidade e Direitos de Propriedade

O tratamento da informação deve ser realizado respeitando direitos autorais, regras de licenciamento de softwares, direitos de propriedade, privacidade e proteção de propriedade intelectual.

O tratamento de dados pessoais deve ser realizado em conformidade com a Lei Geral de Proteção de Dados (LGPD).

As diretrizes para o tratamento de dados pessoais na Bansur estão dispostas na Política de Privacidade e no Aviso de Privacidade.

Gestão da Segurança da Informação e Segurança Cibernética na Bansur

A segurança da informação e segurança cibernética devem ser monitoradas e controladas para garantir a proteção do ambiente da Bansur contra as seguintes ameaças, não se limitando a:

• Acesso não autorizado;
• Infecção por código malicioso;
• Invasão;
• Violação de dados;
• Vazamento de dados.

Os riscos e vulnerabilidades devem ser identificados, avaliados quanto ao impacto para o negócio da Bansur, bem como enviados para tratamento de forma a proteger o ambiente.

Deverá ser composto um Comitê de Segurança e Privacidade com o objetivo de acompanhar, recomendar e aprovar as ações de segurança da informação, segurança cibernética e privacidade.

Classificação da Informação

As informações produzidas, processadas e armazenadas pela Bansur são classificadas e protegidas de acordo com seu nível de confidencialidade e grau de risco ao negócio.

Gestão de Ativos

Os ativos de informação são identificados de forma individual, inventariados e protegidos de acesso indevido.

Gestão de Acessos

Os acessos são concedidos de acordo com os princípios de menor privilégio e da segregação de função de forma a evitar fraudes e acesso indevido.

Os acessos são revisados periodicamente pelos responsáveis pelas informações da Bansur.

Gestão da Continuidade dos Negócios

A Bansur possui um Ambiente de Contingência para garantir a continuidade de seus processos críticos.

Para gestão de continuidade do negócio a Bansur possui a Política de Continuidade do Negócio e o Plano de Continuidade do Negócio.

Monitoramento e segurança do ambiente

A Bansur monitora todo ambiente que suporta seus produtos e serviços de forma a garantir a proteção de seus dados e informações.

Gestão de incidentes de segurança da informação

Os eventos de segurança da informação são comunicados e monitorados de forma a tomar ações corretivas rapidamente minimizando os impactos decorrentes de um incidente.

Para gestão de incidentes de segurança a Bansur possui a Política de Resposta a Incidentes e o Plano de Resposta a Incidentes.

Gestão das vulnerabilidades

O ambiente da Bansur é avaliado frequentemente a fim de identificar e tratar as vulnerabilidades.

As aplicações críticas devem ser submetidas a teste de invasão anualmente.

Conscientização e Treinamento 

Todos os colaboradores devem ser conscientizados e treinados quanto às melhores práticas de segurança da informação de forma a compreender o seu papel e responsabilidade, com o objetivo de fortalecer a cultura e a proteção das informações da Bansur e de seus clientes.

Segurança dos fornecedores e prestadores de serviços

Os fornecedores e prestadores de serviços da Bansur devem garantir os princípios de Confidencialidade, Integridade e Disponibilidade na execução dos serviços contratados.

Os fornecedores e os prestadores de serviços devem ser avaliados antes da contratação, bem como monitorados durante a vigência do contrato.

A contratação de fornecedores e prestadores de serviços considerados relevantes para o negócio da Bansur, bem como a alteração e cancelamento do contrato devem ser comunicados ao Banco Central do Brasil de acordo com o Regulamento 4.893.

Um incidente de segurança da informação ocorre quando uma ameaça explora uma vulnerabilidade violando os princípios da confidencialidade, integridade e disponibilidade. Os incidentes ou a suspeita deles devem ser comunicados através do e-mail Controlesinternos@bansurjm.com.br.

Comunicação entre empresas do ramo será feita via grupos de discussão ou canais oficiais, se houver. Para participar de forma eficaz, é importante manter-se atualizado sobre as novidades do setor, compartilhar informações relevantes com empresas do ramo ou associações e sindicatos, atentando a situações que possam se relacionar a instituição Bansur. Todo e qualquer colaborador pode se envolver nesse processo de compartilhar informações devendo se atentar somente as politicas internas de segurança da informação e proteção de dados, mas a alta gestão e a gerencia deve manter esse compartilhamento de forma eficaz e deixando abertura para a participação dos demais colaboradores.

As informações compartilhadas devem ser informações relevantes e contextuais, não podendo de forma alguma constranger ou prejudicar a instituição Bansur.

Esta política deverá ser revisada com periodicidade mínima anual ou se identificada necessidade de atualização conforme boas práticas de mercado e/ou se determinado pela legislação vigente.