Política de Segurança da Informação

O objetivo desta política é definir as regras aplicáveis com base na estrutura da ZiliCred e assegurar que todos tenham acesso e conheçam o Plano de Segurança da Informação.

Redação ZiliCred em Tempo de leitura: 8 minutos 47 visualizações

Sobre este artefato

O objetivo deste artefato é definir as regras aplicáveis com base na estrutura da ZiliCred e assegurar que todos tenham acesso e conheçam o Plano de Segurança da Informação.

As medidas de segurança da informação têm por finalidade minimizar as ameaças aos negócios da ZiliCred e às disposições desta Política, buscando, principalmente, mas não exclusivamente, a proteção de Informações Confidenciais.

Objetivos

A Política de Segurança da Informação (“PSI”) visa preservar a confidencialidade, integridade e disponibilidade das informações, descrevendo a conduta adequada para o seu manuseio, controle, proteção, descarte e compromisso, preservando as informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os colaboradores da ZiliCred.

Regulamentação

Resolução CMN, nº 4.893/2021 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Diretrizes

As diretrizes de Segurança da ZiliCred têm os seguintes objetivos principais:

  • Garantir a confidencialidade, integridade e disponibilidade das informações dos seus clientes e proteger os dados e os sistemas da informação, contra acessos indevidos, pessoas e alterações não autorizadas;
  • Assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de segurança da informação;
  • Definir controles que permitam a proteção das informações de acordo com seu grau de classificação;
  • Definir controles “rastreabilidade”
  • Criar e manter atualizados mecanismos de proteção contra arquivos maliciosos;
  • Avaliar e propor controles que visem oferecer segurança no desenvolvimento de sistemas;
  • Zelar para que os colaboradores estejam cientes do Termo de Ciência de Segurança da Informação ao iniciar as atividades na instituição;
  • Assegurar que a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no país ou no exterior, contemple as políticas, estratégias e estruturas necessárias para o adequado gerenciamento dos riscos quanto à terceirização de serviços, conforme a legislação em vigor;
  • Determinar a comunicação imediata à área de Segurança da Informação, bem como ao Compliance, de qualquer violação desta PSI e/ou das demais normas e procedimentos de segurança da informação, a fim de se aplicar as medidas de remediação e penalidades previstas;
  • Monitorar constantemente o ambiente tecnológico, avaliando e implementando medidas técnicas e melhoria de processos relacionados à disciplina de Segurança.
  • Papéis e Responsabilidades da ZiliCred

Compete ao colaborador

  • Cumprir as regras estabelecidas na PSI, normas e procedimentos de segurança da informação, bem como as demais leis, regulamentos e normas aplicáveis pelos órgãos reguladores;
  • Proteger as informações contra acessos indevidos, divulgação não autorizados e descarte de forma segura;
  • Zelar para que os recursos tecnológicos sejam utilizados de forma eficaz, dentro das finalidades corporativas e de conhecimento;
  • Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (elevadores, táxi e quaisquer outros meios de transporte, restaurantes, etc.) ou com terceiros não autorizados;
  • Não compartilhar ou divulgar credenciais de acesso ou equipamentos sem a autorização explícita da área de Segurança da Informação. As senhas são de responsabilidade do usuário, sendo individual e intransferível, sendo substituídas de forma periódica;
  • Estar atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da área de Segurança da Informação sempre que estiver com dúvidas;
  • Solicitar quaisquer acessos e perfis necessários às atividades profissionais por meio de ferramenta de chamados, contendo as aprovações do gestor imediato;
  • Não criar, adquirir ou realizar uso de softwares não homologados e não instalados pela área de Tecnologia;
  • Comunicar à área de Segurança da informação quaisquer riscos de segurança da informação existentes na área de atuação.


Compete à gestão de segurança

  • Determinar as diretrizes de Segurança da Informação;
  • Aprovar e revisar periodicamente PSI;
  • Apresentação de assuntos relevantes à Diretoria quando cabível.

Compete às gerências da ZiliCred

  • Reforçar junto às equipes o cumprimento das diretrizes de Segurança da Informação, bem como servir como replicador das boas práticas e controles.;
  • Propor ajustes e ferramentas à área de Segurança da Informação que auxilie nos processos de negócio das áreas;
  • Informar, à área de Segurança da Informação, sobre o encerramento de contratos em que os prestadores de serviços possuam qualquer tipo de acesso físico ou lógico às informações;
  • Contribuir nos processos de revisão periódica de acessos ou em outras situações em que forem acionados pela área de Segurança da Informação.

Compete a área da segurança da informação

  • Propor controles e melhorias relacionados ao tema segurança da informação;
  • Definir e documentar as políticas e procedimentos relacionados à operacionalização da segurança da informação;
  • Monitorar e analisar os alertas e informações relacionadas à segurança das informações;
  • Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços;
  • Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais
  • Disseminar a cultura de Segurança junto às demais áreas da Instituição;
  • Participar dos projetos em que a área estiver envolvida acompanhando e sugerindo questões relacionadas ao tema da área.

Compete a área de gente e gestão

  • Disponibilizar a política e as normas de Segurança da Informação para todos colaboradores e assegurar que o mesmo esteja ciente das diretrizes, normas e procedimentos internos;
  • Informar à área de Segurança da Informação todos os desligamentos, transferências, férias e modificações no quadro de funcional;
  • Garantir que os colaboradores tenham ciência e assinem o Termo de Ciência de Segurança da Informação no processo de integração.

Compete à área de infra de tecnologia da informação (TI)

  • Realizar as cópias de segurança do ambiente tecnológico;
  • Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta PSI e normas adicionais;
  • Planejar, implantar, fornecer e monitorar a capacidade de armazenamento, processamento e transmissão necessárias para ambiente computacional.


Compete ao Compliance

  • Aplicar as penas previstas na Matriz de Penalidades, após deliberação do Comitê de Compliance em casos onde necessitarem desta ação;
  • Avaliar as ações de remediação previstas para os casos de não conformidade com a PSI e suas normas, bem como com a Política de Segurança Cibernética e os planos de Continuidade de Negócios e Resposta a Incidentes.
  • Receber e analisar os eventos de riscos de segurança da informação, sugerindo ações de remediação.

Compete à área jurídica

  • Requerer a inserção de cláusulas que obriguem o cumprimento desta PSI e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da ZiliCred e preservando sua confidencialidade.

Normas

As informações geradas e os ambientes tecnológicos utilizados por seus respectivos usuários são de exclusiva propriedade da ZiliCred, sendo vedada a sua utilização para fins pessoais ou quaisquer outros, que não os estabelecidos nos termos das normas e procedimentos.

Maiores detalhes de normas e procedimentos vinculados às atividades e processos, estão disponibilizados no portal da Intranet.

Descumprimento da PSI

Na hipótese de violação desta PSI ou das normas de segurança da informação, a Diretoria, com o apoio das áreas de Segurança da Informação, Compliance e Recursos Humanos, determinarão as sanções administrativas que serão aplicadas ao infrator, sendo que:

  • Os colaboradores estão sujeitos às sanções descritas na Matriz de Penalidades, de acordo com o grau de infração.
  • Para os prestadores de serviços, pode acarretar na aplicação rescisória imediata do respectivo contrato estabelecido violado.

Controle e revisão

Esta Política entra em vigor a partir da data de sua publicação e deve ser revisada pelo “Comitê Interno de Gestão SI” e aprovada pela Diretoria com periodicidade mínima anual. Se, no decorrer do período, houver mudança no ambiente regulatório ou na estrutura de gestão de riscos, o documento deverá contemplar a alteração. Esta Política deverá ser amplamente divulgada dentro da ZiliCred e disponibilizada a todos os integrantes e stakeholders do processo, Suporte e Atendimento ao Cliente.

1 Whatsapp