Ewally

Login

Manual de Segurança da Informação para Terceiros

1. DEFINIÇÕES E SIGLAS

1.1 Definições

Para uma melhor compreensão e interpretação deste Manual de Segurança da  Informação para Terceiros, as seguintes definições são atribuídas aos termos nele  contidos: 

Ameaça: significa qualquer fator e/ou ação, em conjunto ou de forma isolada, ainda  a causa potencial de um Incidente indesejado capaz de interferir nos objetivos do  negócio da EWALLY ou de causar danos e impactos à integridade, à  confidencialidade, à autenticidade e à disponibilidades de dados e informações. Elas  podem ser internas ou externas, intencionais ou não intencionais;  

Colaborador: significa todos os funcionários da EWALLY, incluindo aqueles em  regime CLT, contratação PJ ou estagiários (aquele que possui um termo de  compromisso entre a EWALLY e a instituição de ensino), incluindo jovens  aprendizes; 

Criptografia: significa a prática de construir e analisar protocolos que impedem  terceiros não autorizados a conseguirem acessar o conteúdo de arquivos e/ou  mensagens privados. Em outras palavras, significa converter Dados de um formato  legível para um formato codificado pelo uso de algoritmos codificados, hashes e  assinaturas, com intuito de proteger as Informações;  

Dado: significa a forma primária de Informação, que não foi processada,  correlacionada, integrada, avaliada, interpretada ou atribuída qualquer sentido  inerente em si mesma;  

Disponibilidade: significa a capacidade de suportar interrupções (planejadas, não  planejadas, desastres e afins) e de fornecer processamento contínuo para todas as  aplicações (com destaque para as mais importantes). Ou seja, é a garantia de que o  acesso às funcionalidades e soluções relativo à Informação e aos sistemas está  disponível de maneira satisfatória;

E-mail: significa a ferramenta que possibilita a composição, envio e recebimento de  mensagens, textos, imagens e outros arquivos pela Internet

Hash: significa o algoritmo matemático que transforma qualquer bloco de dados em  uma série de caracteres de comprimento fixo; 

Incidente: significa um evento que foge à operação padrão do negócio da EWALLY e  pode impactar nos serviços por ela prestados, provocando uma interrupção ou  redução na qualidade destes e que podem resultar na incapacidade de prestar  qualquer serviço para o qual ela se proponha a fazê-lo; 

Informação: significa o conjunto de Dados que, organizados, constituem uma  mensagem sobre determinado fenômeno ou evento, inclusive Dados pessoais,  quando for o caso, que interpretada de forma ligada podem esclarecer sobre o  funcionamento de determinado processo. São consideradas informações àquelas  transmitidas de forma impressa ou escrita em papel, armazenada eletronicamente,  transmitida por correio postal, por meios eletrônicos, exibida em vídeos ou falada  em conversas, ou outras aqui não especificadas. É um ativo em que se podem  registrar Dados de clientes, Dados de negócios, configurações de sistemas etc. Pode  ser registrada de diversas formas como, por exemplo, impressa ou escrita em papel,  armazenada em computadores, servidores, pendrives, CDs e/ou outras mídias,  transmitida pelo correio ou por tráfego de rede, meios eletrônicos, exibida em filmes  ou falada em conversas;  

Manual: significa a presente Manual de Segurança da Informação para Terceiros; Segurança da Informação (SI): significa a proteção da Informação da EWALLY contra  ampla gama de Ameaças existentes, a fim de garantir a continuidade do negócio e  minimizar o risco dele inerentes; e  

Terceiros: significa tanto a entidade, quanto seu representante legal e/ou preposto  que prestem ou estejam prestando serviços para a EWALLY, como os Prestadores  de serviço, em si, Parceiros, Fornecedores, auditores e afins.

1.2. Siglas

BCB (Banco Central do Brasil): significa a autarquia federal que figura como  regulador da EWALLY, enquanto Instituição de Pagamento.

2. OBJETIVO

Determinar os princípios e responsabilidades relacionados ao uso adequado das  Informações pelos Terceiros em sua relação com a EWALLY, assegurando que tais  Informações recebam um nível adequado de proteção, de acordo com seu valor,  requisitos legais, sensibilidade e criticidade. 

A preocupação com o manuseio de Informações é pilar essencial à atividade  desenvolvida pela EWALLY, de modo que é inerente à sua função gerir todo o ciclo  de vida das Informações às quais têm acesso com a máxima diligência, buscando  garantir a integridade delas perante o mercado. A informação pode ser impressa ou  escrita em papel, armazenada eletronicamente, transmitida por correio postal ou  por meios eletrônicos, exibida em vídeos, ou falada em conversas 

3. ABRANGÊNCIA

Este Manual se aplica e se destina a todo e qualquer Terceiro que mantenha  relacionamento com a EWALLY.  

4. RESPONSABILIDADE DOS TERCEIROS:

  • Cumprir os procedimentos de segurança referidos neste Manual, estando  cientes de que as responsabilidades aqui dispostas se aplicam à todas as  atividades realizadas junto à EWALLY; e 
  • Comunicar à EWALLY sobre a ocorrência de qualquer Incidente (abrangendo, mas não se limitando àqueles que envolvam questões de segurança em seu ambiente computacional) bem como violação às diretrizes  deste Manual, ainda que não intencional, bem como qualquer evento que  

    implique em possível impedimento de cumprir os procedimentos de segurança  estabelecidos. 

5. PREMISSAS

A gestão da Segurança da Informação na EWALLY possui lastro documental cujo  intuito é assegurar os princípios e atributos intentes à Informação. Deste modo, são  consideradas diretrizes gerais para garantir o atendimento daqueles a  implementação de processos e procedimentos que visem a:  

  • a) Prevenção, Identificação e tratamento de Incidentes: pela detecção, resposta  e recuperação do ambiente da organização em casos de ataques cibernéticos; 
  • b) Continuidade de Negócios: observando os casos em que ocorram situações  de crise, para que os principais processos sejam mantidos, possibilitando assim,  a continuidade das principais funções do negócio; 
  • c) Classificação dos Dados e Informações: de acordo com a sua criticidade,  observando as diretrizes estabelecidas em documento próprio; 
  • d) Melhoria Contínua: pelo comprometimento e promoção da melhoria  contínua dos fluxos relacionados a temas de SI e segurança cibernética; 
  • e) Cultura e Conscientização: para disseminar as melhores práticas de  Segurança da Informação, nacionais e internacionais; 
  • f) Gestão de Vulnerabilidades: com soluções de detecção de vulnerabilidades,  bem como varreduras periódicas com a finalidade de identificar fragilidades  tanto na infraestrutura quanto em aplicações. 
  • g) Confidencialidade: nas relações trabalhistas, prestações de serviços e  parcerias, inclusive com a assinatura de Termos com esse objetivo específico; 
  • h) Aplicação de Criptografia: tanto para os Dados em repouso como para os  Dados em trânsito, bem como implementação de boas práticas contra softwares  maliciosos, execuções de atividades anômalas ou ataques conhecidos. 

6. DIRETRIZES GERAIS

6.1. Tratamento das Informações 

  • As Informações disponibilizadas pelos Terceiros são tratadas como  essenciais à atividade da EWALLY, não devendo ser utilizadas de forma a afetar  sua confidencialidade, integridade e/ou disponibilidade; 
  • Os Terceiros devem realizar o envio de Informações à EWALLY conforme  obrigações contratadas entre as partes de forma segura, utilizando controles  criptográficos;  
  • A publicação ou exposição, pelos Terceiros, de Informações da EWALLY  consideradas confidenciais em plataformas públicas é estritamente proibida; e
  • Toda Informação armazenada e processada no ambiente computacional  da EWALLY pode ser monitorada, registrada e utilizada em procedimentos de  auditorias externas, por exigência legal ou de órgãos reguladores  (especialmente BCB) e afins, ocasião em que a EWALLY será obrigada a fornecê las, sem a incidência de qualquer ônus ou penalidade.

6.2. Controles Criptográficos 

  • Recomenda-se que sejam utilizados controles criptográficos para a  transferência de Informações ou armazenamento entre Terceiros e a EWALLY,  visando assegurar a proteção da confidencialidade, autenticidade, integridade e  não repúdio de Informações sensíveis ou críticas que se encontrem  armazenadas na EWALLY, em processo de transporte físico ou em transmissão  eletrônica; 
  • Os processos de criptografia da EWALLY utilizam chaves e/ou certificados  confiáveis, configurações seguras e seguem as melhores práticas do mercado; e  
  • No caso de utilização de controle criptográfico durante a transferência de  Informações, via sistema, esse, assim como a qualidade e a força dos algoritmos  utilizados, será estabelecido de acordo com os resultados da avaliação de risco  realizada nos processos da EWALLY. 

6.3. Controle de acessos

  • O acesso lógico e o uso da Informação da EWALLY devem ser aprovados e  controlados, conforme seu nível de criticidade, de forma a garantir o acesso  apenas mediante aprovação formal; 
  • Qualquer acesso de Terceiro ao ambiente da EWALLY poderá, a critério da  EWALLY, ser restringido: (i) a 1 (um) Endereço IP, ou a um bloco de Endereços  IPs autorizados; (ii) ao tipo de criptografia utilizada; e (iii) ao tipo de tecnologia  utilizada, não sendo permitido o acesso proveniente de modelos e/ou formas  diferentes do que foi acordado entre o Terceiros e a EWALLY; 
  • Devem ser realizados registros dos eventos (Logs) de acesso e  transferência de Informações no ambiente da EWALLY, de modo a garantir a  manutenção e rastreabilidade de Informações; e  
  • Todos os acessos lógicos dos Terceiros à EWALLY poderão ser auditados  para assegurar que não haja qualquer uso indevido de acessos que possam vir a  comprometer a segurança do sistema da EWALLY. 

6.4. Segurança na autenticação 

  • Devem ser utilizados mecanismos que garantam a autenticidade dos  Terceiros no momento da conexão com a EWALLY; 
  • O identificador que concede acesso ao ambiente lógico da EWALLY deve  ser guardado com segurança pelo Terceiros, não podendo ser cedido,  transferido ou divulgado a pessoas estranhas, sendo os Terceiros responsáveis  por todos os atos executados com seu identificador;  
  • Em casos de má utilização (seja por quebra ou violação da autenticação)  dos acessos concedidos ao Terceiro, este deverá comunicar a EWALLY  imediatamente, para que sejam feitos todos os procedimentos de bloqueio  adequados. A EWALLY não se responsabilizará, nesses casos, por quaisquer  danos sofridos pelo Terceiro; e 
  • A fim de garantir a necessária segurança das informações, a EWALLY reserva-se o direito de, independentemente de prévio aviso, suspender a conta  do Terceiro por comportamento anômalo, que represente risco as operações ou  mesmo por inatividade de pelo menos 180 (cento e oitenta) dias consecutivos. 

7. REPORTE E CANAIS DE CONTATO

Em caso de identificação do descumprimento deste Manual, deve-se entrar em  contato com a EWALLY por meio do endereço eletrônico infosec@ewally.com.br

8. APLICAÇÃO DE PENALIDADES

Ficam os Terceiros que mantenham qualquer tipo de vínculo com a EWALLY, pela  publicidade deste, devidamente cientificados que ações ou omissões que possam  causar danos diretos ou indiretos à EWALLY decorrentes da não observância das  regras impostas neste Manual poderão resultar aplicação da aplicação das  penalidades estabelecidas contratualmente, sem prejuízo da apuração de  responsabilidade criminal, civil e administrativa do Terceiro. 

9. VIGÊNCIA E REVISÕES

O presente Manual passará a vigorar a partir da data da sua assinatura e será válido  por tempo indeterminado, devendo em caso de alterações legais, regulatórias ou de  redirecionamento estratégico da EWALLY.