Esta política corporativa (Política) tem como objetivo estabelecer diretrizes e princípios gerais de segurança da informação e segurança cibernética para o Conglomerado Financeiro Votorantim ("Conglomerado"), em um esforço para garantir que os usuários atuem em observância às regras referentes ao tratamento e proteção das informações e ativos de informação, bem como assegurar a sua capacidade em prevenir, detectar e reduzir sua vulnerabilidade a incidentes.
1.1. Esta Política é a declaração formal do Conglomerado, referente ao compromisso com a proteção de suas informações e ativos de informação, bem como das informações e ativos de informação de seus clientes e fornecedores.
1.2. Esta Política é aplicável a todos os colaboradores e usuários de informações e ativos de informação do Conglomerado no Brasil e no exterior.
1.3. Fornecedores e sociedades investidas do Conglomerado também estão sujeitos às diretrizes, procedimentos e controles estabelecidos nessa Política sempre que realizarem o tratamento de informações ou utilizarem os ativos de informação. Da mesma forma estão sujeitos, os clientes do segmento Banking as a Service "Clientes BaaS" que são co-controladores no que compete às decisões referentes ao tratamento dos dados pessoais de seus clientes no âmbito da prestação dos serviços pelo Conglomerado.
1.4. Para os fins desta Política, "colaborador" significa empregados, contratados, subcontratados, estagiários, menores aprendizes e administradores do Conglomerado, e "fornecedor" significa todas as empresas fornecedoras, parceiras e prestadoras de serviços a terceiros que celebraram um contrato de fornecimento, parceria e/ou prestação de serviços com o Conglomerado, bem como seus representantes, empregados e subcontratados.
1.5. Para os fins desta Política, os termos "informações" e "ativos de informação" incluem o conceito de dado pessoal e/ou dado pessoal sensível, incluindo os locais de armazenamento e/ou processamento destes dados, tal como definido pela Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709/18, conforme alterada.
1.6. Para os fins desta Política, o termo "Clientes BaaS", refere-se a empresas de diferentes segmentos que contratam o serviço Banking as a Service do Conglomerado, ou que atuam no arranjo de pagamentos Pix como "Participante Contratante", nos termos da regulamentação vigente, por meio de contrato específico com o Conglomerado. O Banking as a Service é uma solução que possibilita que instituições de pagamento e/ou empresas não financeiras, ofereçam serviços financeiros, de forma personalizada e eficiente, por meio de integração sistêmica com uma instituição financeira e/ou uma instituição de pagamento.
1.7. Para os fins desta Política, o termo "investida" ou "sociedade investida", significa qualquer sociedade na qual o Conglomerado possua investimento financeiro representado por participação societária, instrumentos conversíveis em participação ou outro arranjo que lhe permita ou facilite a criação de sinergias e relacionamento, visando geração de valor para o Conglomerado.
2.1. Por princípio, a segurança da informação abrange 4 (quatro) aspectos básicos destacados a seguir:
2.2. Para os fins desta Política, o termo "usuário" significa qualquer indivíduo, processo, dispositivo ou mecanismo que acesse, use, manipule ou trate uma
informação ou ativo de informação.
3.1. As diretrizes desta Política constituem os principais pilares do Sistema de Gestão de Segurança da Informação do Conglomerado, norteando a elaboração de instruções normativas e manuais de procedimento pelas áreas responsáveis.
3.2. A proteção das informações e ativos de informação deve ser uma prioridade constante das áreas de negócio e de suporte do Conglomerado, de forma a reduzir riscos de falhas, bem como danos e/ou prejuízos que possam comprometer a imagem e os objetivos organizacionais.
3.3. A proteção das informações e ativos de informação deve ser aplicada de forma compatível com seu impacto ao Conglomerado, abrangendo todos os processos, informatizados ou não.
3.4. Uma atitude engajada e proativa no que diz respeito à proteção das informações do Conglomerado deve ser prioridade constante de toda a organização, reduzindo-se os riscos de falhas, danos e/ou prejuízos que possam comprometer a imagem e os objetivos organizacionais.
3.5. As informações sob responsabilidade do Conglomerado devem ser manuseadas de acordo com as leis vigentes e instruções normativas internas e utilizadas apenas para a finalidade para a qual foram coletadas, evitando o comprometimento de sua confidencialidade, integridade, disponibilidade, autenticidade e privacidade.
3.6. Todos os processos devem garantir a segregação das funções por meio da participação de mais de um colaborador ou equipe de colaboradores nas atividades, a fim de evitar o conflito de interesse e reduzir o risco de uso indevido acidental ou proposital dos ativos de informação e sistemas do Conglomerado.
3.7. Todos os colaboradores do Conglomerado ou de fornecedores, conforme aplicável, devem ter ciência de que o uso dos ativos de informação, dos sistemas e ambientes podem ser monitorados e que os registros podem ser utilizados para detecção de violações desta Política e instruções normativas de segurança da informação, servindo de evidência para a aplicação de medidas disciplinares, processos administrativos e/ou legais.
3.8. Os papéis e responsabilidades quanto à segurança da informação são amplamente divulgados aos colaboradores, que devem conhecer e cumprir essas diretrizes.
3.9. Os riscos e as vulnerabilidade de segurança da informação do Conglomerado, bem como dúvidas sobre a Política e instruções normativas relacionadas devem ser reportados à Superintendência de Prevenção a Crimes Financeiros.
3.10. Os sistemas, aplicações e infraestruturas tecnológicas, marcas, metodologias e quaisquer informações do Conglomerado não devem ser utilizados para fins pessoais, devendo o colaborador realizar o seu uso unicamente na execução de seus deveres para com o Conglomerado, e de acordo com esta Política e demais normas internas, não utilizando as informações confidenciais em benefício próprio, ou de qualquer outra pessoa ou empresa. Sobre o uso da internet, para fins pessoais, deve ser responsável, seguindo as legislações vigentes (sobre ações discriminatórias, privacidade, pirataria, pedofilia, terrorismo etc.), não deve contrariar as instruções normativas internas, que possa trazer riscos de contaminação ao ambiente ou de vazamento de informações e não deve prejudicar os princípios de segurança da informação contidos nesta Política ou o Código de Conduta.
3.11. Exceto com a expressa autorização do seu proprietário responsável, as tecnologias, marcas, metodologias e quaisquer informações do Conglomerado não devem ser repassadas ou compartilhadas com terceiros, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador do Conglomerado durante o exercício de suas funções.
4.1. Toda informação criada ou recebida pelo Conglomerado deve ser classificada e protegida ao longo de todo seu ciclo de vida, nos termos das Instruções Normativas e Manuais de Procedimentos de Segurança da Informação do Conglomerado. O ciclo de vida das informações compreende desde a sua criação ou coleta, manuseio, armazenamento, transporte e descarte de dados e informações.
4.2. Para assegurar a proteção adequada das informações, elas devem ser classificadas de acordo com o seu valor, requisitos legais, relevância, sensibilidade e criticidade para o Conglomerado. Os critérios de classificação devem considerar as necessidades de negócio, demandas regulatórias, compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
4.3. As diferentes classificações para as informações estão definidas em instrução normativa específica.
5.1. As informações devem ser tratadas de acordo com as leis vigentes, regulamentação aplicável, Instruções Normativas e sua classificação, e utilizadas apenas para a finalidade para a qual foram coletadas, ou para outras finalidades autorizadas, sempre observando os princípios previstos na Lei Geral de Proteção de Dados.
5.2. As informações podem ser tratadas em legítimo interesse do Conglomerado para proteger a segurança dos ativos de informação ou a segurança de suas operações comerciais.
5.3. As informações são atribuídas a um proprietário formalmente designado como responsável pela autorização de acesso às informações sob sua responsabilidade.
5.4. Para fins desta Política, o "proprietário" significa o indivíduo ou grupo com autoridade operacional sobre uma Informação específica e responsabilidade para estabelecer os controles por sua criação, coleta, processamento, disseminação e descarte.
5.5 As atividades de tratamento das informações devem ser rastreáveis e registradas em trilhas auditáveis e, quando este tratamento identificar uma pessoa natural, deve ser registrado junto à Área Privacidade e Proteção de Dados.
6.1. O Conglomerado também aplica controles de segurança de informação de forma a manter constante evolução na sua segurança cibernética, com o objetivo de assegurar a disponibilidade, confidencialidade, integridade e autenticidade das informações e ativos de informação em seus ambientes tecnológicos.
6.2. De forma a auxiliar na implementação das diretrizes estabelecidas nesta Política e dos controles, processos e procedimentos do Sistema de Gestão de Segurança de Informação e da Segurança Cibernética do Conglomerado, são adotados, por padrão, os seguintes mecanismos e as melhores práticas disponíveis no mercado:
7.1. Os processos de concessão e revogação de acessos aos ativos de informação, sistemas de informação e/ou ambientes do Conglomerado são realizados pela área competente mediante aprovação formal do gestor do solicitante e do respectivo proprietário do perfil e/ou recurso.
7.2. São concedidos acessos para os colaboradores do Conglomerado e/ou de fornecedores somente às informações necessárias ao desempenho de suas funções e/ou determinação legal, seguindo as atribuições dos respectivos responsáveis.
7.3. São concedidos acessos privilegiados às informações, ativos de informações, sistemas e ambientes do Conglomerado aos seus colaboradores e/ou colaboradores de fornecedores mediante o cumprimento de regras específicas. Acessos privilegiados implicam em responsabilidades adicionais ao usuário.
7.4. As revogações de acesso devido ao desligamento de colaboradores devem ocorrer tempestivamente mediante comunicado de desligamento enviado à Superintendência de Prevenção a Crimes Financeiros pela Área Governança de Pessoas, no caso de colaborador do Conglomerado. No caso de colaborador de fornecedor, a comunicação deve ser feita com igual tempestividade, ao gestor do respectivo contrato.
7.5. Toda credencial de acesso ao ambiente, seja ele físico ou lógico, é única, individualmente identificada e atribuída a um proprietário, qualificando-o como responsável pelas ações realizadas por esta credencial, não podendo ser transferida ou compartilhada entre usuários ou terceiros.
7.6. Contas de serviço, destinadas usualmente à execução de processamentos automatizados, devem seguir a governança estabelecida pela Área Prevenção a Crimes Financeiros, garantindo a rastreabilidade dos acessos, bem como, os vínculos a área responsável e o processo de revisão periódico.
7.7. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria identifiquem individualmente o usuário, para que ele possa ser responsabilizado por suas ações.
8.1. O Conglomerado possui um processo estruturado de monitoramento, análise e identificação de vulnerabilidades, ameaças e impactos sobre os ativos de informação, para que sejam identificados os controles adequados e a eficácia periodicamente testada.
8.2. O Conglomerado desenvolve, documenta, homologa e testa periodicamente planos de contingência, e os aprova para ativação no caso de previsão, suspeita ou ocorrência de situações que comprometam a integridade, a disponibilidade e a continuidade das atividades do Conglomerado.
8.3. O Conglomerado deve manter um processo estruturado de avaliação de riscos e controles de segurança da informação e continuidade de negócios em fornecedores, investidas e em clientes BaaS, quando aplicável, para identificação do nível de risco que deve ser endereçado para o seu devido tratamento pelos gestores responsáveis pelas contratações.
9.1. O Conglomerado adota procedimentos, requisitos e controles específicos para a prevenção e resposta a incidentes ocorridos. Os procedimentos, controles e requisitos para fornecedores devem estar alinhados com os próprios níveis de complexidade, abrangência e precisão do Conglomerado.
9.2. Para os fins desta Política, o termo "incidente" significa qualquer ocorrência no acesso, no uso das informações ou ativos de informação que afete ou possa afetar a confidencialidade, disponibilidade, integridade, autenticidade das informações ou dos ativos de informação ou a privacidade dos titulares dos dados.
9.3. A classificação de relevância de incidente deve seguir o critério de impacto nos processos de negócios do Conglomerado mensurados por meio de análises qualitativas e/ou quantitativas, que avaliam potenciais impactos decorrentes da violação das diretrizes desta Política, conforme previstos nas respectivas instruções normativas.
9.4. O tratamento de incidentes relevantes que se caracterize como crise deve ser acompanhado pela Área Governança, Gestão de Riscos de SI em Terceiros, Gestão de Crise e Continuidade de Negócios (se aplica a Continuidade de Negócios), seguindo Política e instrução normativa própria para garantia da execução das ações e todos os envolvimentos necessários.
9.5. Compete à Área SecOps & OffSec, (operações e segurança ofensiva), na Superintendência de Prevenção a Crimes Financeiros, realizar o registro, análise de causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades do Conglomerado.
9.6. Cenários de incidentes de segurança de informação são incluídos nos testes de continuidade de negócio do Conglomerado.
9.7. Todo incidente de segurança da informação no Conglomerado ou em fornecedores, investidas e clientes BaaS, aplicáveis, que envolvam informações e ativos de informação do Conglomerado, deve ser formalmente reportado à Superintendência de Prevenção a Crimes Financeiros.
9.8. O Conglomerado informará, em atenção ao arcabouço regulatório aplicável, ao Banco Central do Brasil e aos demais órgãos reguladores, todos os incidentes relevantes e interrupções de serviços relevantes, bem como indicará as medidas tomadas para o reinício das atividades. Quando o incidente acarretar risco ou dano relevante à privacidade e/ou proteção de dados do titular dos dados, conforme definição da LGPD, o encarregado dos dados deve avaliar a extensão do impacto e, após análise, avaliará a necessidade de comunicação à Autoridade Nacional de Proteção de Dados ("ANPD", conforme regulamentação da Agência Reguladora.
9.9. Sem prejuízo do dever de sigilo e da livre concorrência e por dever regulatório, o Conglomerado compartilhará as informações que possuir sobre incidentes relevantes de segurança de informação com demais instituições financeiras, incluindo informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros, por meio de canais estabelecidos para esse fim e sempre que tais informações forem para benefício e segurança do mercado financeiro.
10.1. O Conglomerado possui um Plano de Ação e Resposta a Incidentes ("PARI"), que deve conter as ações a serem desenvolvidas para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes desta Política, e rotinas, procedimentos, controles e tecnologias que serão utilizadas na prevenção e na resposta de incidentes.
10.2. O PARI deve ser revisto anualmente e aprovado pelo Conselho de Administração do Banco.
10.3. O Conglomerado elaborará anualmente um relatório contendo a efetividade das ações e um resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, previstas no PARI, os incidentes relevantes ocorridos no período, e os resultados dos testes de continuidade de negócios.
10.4. O relatório anual deve ser submetido ao Comitê de Controles e Riscos, Comitê de Auditoria e ao Comitê de Riscos e de Capital e apresentado ao Conselho de Administração.
11.1. A Alta Administração, comprometida com a melhoria contínua do sistema de gestão de segurança de informação do Conglomerado, publica e assume seu compromisso em cumprir com as diretrizes elencadas nesta Política.
11.2. Os papéis e responsabilidades quanto à segurança da informação são amplamente divulgados aos colaboradores e alta administração, que devem conhecer e cumprir essas diretrizes.
11.3. Como parte do seu compromisso, o Conglomerado adota ações e iniciativas para promover a capacitação, aculturamento e avaliação dos colaboradores sobre o tema segurança da informação, reforçando as diretrizes declaradas nesta Política.
11.4. O Conglomerado também promove ações e iniciativas junto aos seus clientes com informações sobre precauções na utilização de seus produtos e serviços financeiros.
12.1. Um comunicado contendo uma versão resumida desta Política é divulgada aos colaboradores do Conglomerado e a sua versão completa fica disponível no site institucional, de fácil acesso para consulta.
12.2. Uma versão desta Política é apresentada para os fornecedores do Conglomerado, contendo as diretrizes aplicáveis aqueles que prestarem serviços ou acessem informações, ativos de informação ou ambientes do Conglomerado, da mesma forma é apresentada às investidas e aos clientes BaaS com o nível de detalhamento compatível com o objeto do contrato, as funções desempenhadas ou sensibilidade das informações tratadas.
12.3. O resumo com linhas gerais desta Política é divulgado ao público geral, contendo linguagem clara e de fácil acesso.
13.1. Os contratos entre o Conglomerado e empresas ou pessoas prestadoras de serviços, colaboradores, parceiros, contratados e estagiários, que tiverem acesso às informações, aos sistemas ou aos ambientes tecnológicos corporativos devem conter cláusulas que garantam o devido tratamento de dados pessoais de acordo com as diretrizes da LGPD e com as exigências do Termo de Tratamento de Dados Pessoais, bem como, a confidencialidade entre as partes, requisitos mínimos de segurança alinhados com os mesmos quesitos de segurança adotados pelo Conglomerado, e que assegurem minimamente que os profissionais sob sua responsabilidade cumpram a Política e as instruções normativas de segurança da informação do Conglomerado.
13.2. Os contratos de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem estarão sujeitos a regime de contratação específico, obedecidos as disposições previstas pelas Áreas Prevenção a Crimes Financeiros, Contratos e Riscos de Terceiros e Jurídico Societário em observância ao arcabouço regulatório aplicável referente as diretrizes e requisitos de segurança e tecnologia da informação para terceiros.
14.1. A efetividade desta Política é verificada por meio de avaliações periódicas das áreas corporativas de controle, órgãos reguladores e auditorias interna e externa.
15.1. As violações a esta Política estão sujeitas a sanções disciplinares previstas nas instruções normativas internas do Conglomerado, na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas.
As diretrizes constantes nesta Política são regulamentadas e operacionalizadas por meio de instruções normativas e procedimentos que definem regras e processos para o correto cumprimento das políticas.
