Ewally

Política de Segurança da Informação

Objetivo

Esta Política tem como objetivo estabelecer controles e processos internos orientando as práticas de prevenção, detecção, redução de vulnerabilidades e de resposta a ameaças, coerentes com o tamanho e seriedade dos serviços prestados. Mantendo assim, toda a confidencialidade, integridade e disponibilidade dos dados e das informações contidas em toda a plataforma Ewally.

Abrangência

Esta Política aplica-se a todos os colaboradores, usuários de serviço e terceiros que nos prestam algum tipo de serviço. É válido mencionar que. É válido mencionar que, as orientações aqui estabelecidas são aplicáveis aos ambientes de computação em nuvem (cloud).

Conceitos e Definições

Na sequência, serão apresentados os principais termos conjuntamente com os seus conceitos que serviram como guias para compreensão dessa política

  • Segurança da Informação: Caracterizada pela preservação da confidencialidade, disponibilidade e integridade das informações;
  • Segurança Cibernética: Conjunto de práticas que protege informações digitais armazenadas em computadores e aparelhos de computação;
  • Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;
  • Informação: É um ativo em que se podem registrar dados de clientes, dados de negócios, configurações de sistemas etc. Pode ser registrada de diversas formas como, por exemplo, impressa ou escrita em papel, armazenada em computadores, servidores, pendrives, CDs e/ou outras mídias, transmitida pelo correio ou por tráfego de rede, meios eletrônicos, exibida em filmes ou falada em conversas;
  • Informação de acesso restrito: informação sigilosa, que devem ser protegidas de forma a preservar os princípios da Segurança da Informação e gestão estratégica da Ewally, sem prejuízo das legislações específicas;
  • Ativos de Informação: Bases de dados e arquivos, documentação de sistemas, manuais de instruções e procedimentos, material de treinamento, procedimentos de negócios, suporte ou operação, planos de continuidade, procedimentos de recuperação, informações armazenadas em geral;
  • Ciclo de vida da informação: conjunto de fases composto por planejamento ou pré-produção, produção, divulgação, transporte, armazenamento e descarte de informação ou documento;
  • Ativos de Software: Aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
  • Bem Físicos: Equipamentos computacionais (monitores, laptops, tablets etc.);
  • Dado: forma primária de informação, que não foi processada, correlacionada, integrada, avaliada, interpretada ou atribuída qualquer sentido inerente em si mesma;
  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: É a subclassificação sobre os dados pessoais a qual expõe o indivíduo a possíveis situações de preconceito ou perigo por meio dos dados sobre origem racial ou étnica, convicção religiosa, opinião política, dentre outras hipóteses;
  • Tratamento: toda operação realizada com dados a partir do momento da sua coleta, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Risco: definido como a quantificação da incerteza, no contexto da segurança da informação pode ser entendido como o potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto desses ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
  • Risco cibernético: Toda e qualquer exposição possível de gerar danos e perdas resultantes da ocorrência de incidentes cibernéticos;
  • Termos de ciência de Segurança: Declaração onde o colaborador atesta a ciência sobre todos os termos tratados nesta Política de Segurança da Informação e Cibernética e as normas a ela vinculadas e a sua estrutura de funcionamento;
  • Confidencialidade: Assegurar a confidencialidade dos ativos de informação garantindo que o acesso à informação seja obtido somente por pessoas autorizadas;
  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos sistemas correspondentes dentro da disponibilidade acordada para cada tipo de informação, nos períodos e ambientes aprovados pela empresa;
  • Integridade: Assegurar a integridade garantindo que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

Diretrizes

As diretrizes que pautam essa Política são:

  • Segurança cibernética;
  • Segurança física e a proteção de dados organizacionais; e
  • Disponibilidade, integridade, confidencialidade, autenticidade da informação e proteção de dados pessoais e financeiros.

Responsabilidades

1.0 Gestor da Área de Segurança da Informação

Compete ao Diretor de Tecnologia (CTO) designar o Gestor de Segurança da Informação para que este coordene os assuntos relacionados à segurança da informação, Cybersecurity e Data Privacy sendo dentre suas principais atribuições:

  • Coordenar a elaboração e a implementação desta Política de Segurança da Informação;
  • Coordenar a elaboração e a implementação da Política de Privacidade de Dados Pessoais;
  • Assessorar a Alta Administração na implementação desta Política;
  • Desenvolver projetos para capacitação e conscientização dos colaboradores da Ewally;
  • Incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;
  • Propor recursos necessários às ações de segurança da informação e Data Privacy;
  • Aprovar e acompanhar a execução de ações, metas e planos estratégicos relacionados à segurança da informação;
  • Encaminhar periodicamente à Diretoria relatórios sobre a execução dos planos e sobre os incidentes cibernéticos e privacidade relevantes;
  • Verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação; e
  • Ser o canal de contato entre a ANPD e a Ewally para questões relacionadas à privacidade de dados pessoais.

1.1 Área de Segurança da Informação

Cabe a área de Segurança da informação desenvolver os projetos internos de segurança da informação por meio de medidas como as exemplificadas abaixo:

  • Mapear os principais riscos no escopo da área de segurança da informação e cybersecurity;
  • Estabelecer controles e melhorias relacionadas ao tema de segurança da informação;
  • Mapear e desenvolver as principais políticas da área e implementá- las;
  • Documentar os principais procedimentos relacionados à operacionalização da segurança da informação;
  • Apoiar as outras áreas da Ewally, apresentando pareceres técnicos de acordo com o risco de segurança para cada produto ou serviço que for implementado ou alterado;
  • Monitorar e analisar os alertas e informações relacionadas à segurança das informações;
  • Testar a eficiência dos controles implementados da área; e
  • Implementar e disseminar a cultura de segurança da informação na Ewally.

1.2 Colaboradores

Todos os colaboradores da Ewally devem compreender e respeitar a importância do seu papel para a implementação dessa política, seguindo deste modo, as seguintes atribuições impostas:

  • Respeitar as regras estabelecidas nesta política, cumprindo com os procedimentos de segurança da informação, as demais leis, regulamentos e normas aplicáveis sobre Segurança da Informação emitidas pelos órgãos reguladores;
  • Zelar e proteger as informações institucionais com as quais têm acesso;
  • Não compartilhar e divulgar senhas de acesso , bem como equipamentos, internamente ou com terceiros;
  • Não baixar produtos e softwares não autorizados;
  • Assinar o Termo de conscientização e cumprimento da Política de Segurança da Informação e Cybersecurity e das demais normas relacionadas à segurança da informação; e
  • Comunicar à área de Segurança da informação quaisquer riscos de segurança da informação existentes.

1.3 Usuários

Para que a segurança dos nossos usuários seja mantida e preservada, contamos com algumas boas práticas, dentre elas sempre recomendamos que nossos usuários:

  • Não compartilhem informações de acesso restrito, como por exemplo os seus dos dados pessoais e dos dados pessoais sensíveis em situações desnecessárias;
  • Não utilizem a mesma senha em mais de um serviço, indica-se a utilização de gerenciadores de senhas para o armazenamento destas;
  • Atualizem seus aplicativos como forma de mitigação de possíveis riscos;
  • Não acessarem links disponibilizados em e-mails ou em mensagens SMS os quais sejam oriundos de fontes desconhecidas;
  • Habilitar um segundo fator de autenticação; e
  • No caso de suspeita de possíveis riscos de segurança, entrar em contato com a área de segurança.

Gestão de Pessoas

Os colaboradores admitidos pela Ewally participam, obrigatoriamente, do onboarding de segurança da informação, para conhecimento e ciência das práticas de segurança da instituição.

Todos os meios de comunicação para o exercício do trabalho disponibilizados pela Ewally não são particulares, portanto, e-mails, slack ou qualquer outro meio de comunicação, são passíveis de auditorias e investigações internas, de acordo com as necessidades da instituição, sem que isso seja considerado como desrespeito à privacidade.

Gestão de Bens Físicos

Os equipamentos compartilhados pela Ewally devem ser utilizados como única ferramenta de trabalho para o exercício das funções de trabalho. Sendo assim, fica expresso o não consentimento de utilização de outros aparelhos para a realização das atividades de trabalho da empresa.

A Ewally reserva-se ao direito de, sempre que julgar necessário e observando os preceitos legais, monitorar, inspecionar e auditar as informações que se encontrem armazenadas em tais equipamentos e instalações ou trafeguem pela rede da empresa.

Gestão de Riscos e do Plano de Continuidade de Negócios

Dentre as funções e responsabilidades da área de segurança da informação, existe o dever de orientar sobre os processos de levantamento, análise e tratamento das questões de vulnerabilidades capazes de afetar os ativos de informação.

Além do dever de orientar preventivamente, a área de segurança, também exerce um papel contundente nos momentos de crise, para isso acontecer, se faz necessário a implementação de um Plano de Continuidade de Negócios.

O Plano de Continuidade de Negócios é utilizado para os casos em que ocorram situações de crise, visando garantir, por meio deste, que os principais processos sejam mantidos, possibilitando assim, a continuidade das principais funções do negócio.

Tratamento de Dados Pessoais

A Ewally oferece o maior nível de segurança possível para seus clientes, para isso, são utilizadas práticas de controle de acesso, coleta e compartilhamento dos dados pessoais tratados pela instituição. A operacionalização da instituição é desenhada pensando na melhor forma de estar em conformidade com a LGPD, levando em consideração desde as boas práticas de conscientização dos funcionários, chegando ao alinhamento com os prestadores de serviços, por meio das análises contratuais.

Violações da Política

Na situação em que ocorra o desrespeito à esta Política, mesmo que seja causado por imprudência, negligência ou desconhecimento dessa Política, o colaborador estará sujeito a consequências, de acordo com o nível de infração cometida.

Referências a Leis e Regulamentações

  • Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais, (LGPD);
  • Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento; e
  • Resolução BCB, n°85 de 8 de março de 2021;
  • Normas Técnicas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, Associação Brasileira de Normas Técnicas (ABNT), que instituem o código de melhores práticas para gestão de segurança da informação;
  • Resolução BCB n° 287 de 24 de janeiro de 2023.