1. OBJETIVO
Esta Política tem o intuito de fornecer os princípios e diretrizes adotadas pela S3 BANK e S3 PAY (ou simplesmente, “S3 BANK”) a fim de reduzir a vulnerabilidade da ocorrência de incidentes relacionados ao ambiente cibernético, de modo a assegurar a confiabilidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pela empresa.
Para elaboração dessa Política foram considerados os produtos e serviços oferecidos, o porte, modelo de negócio, natureza das atividades e o perfil de risco da instituição, bem como a sensibilidade dos dados e das informações coletas e armazenadas sob a responsabilidade do S3 BANK.
A presente Política será revisada sempre que necessário ou, no mínimo, anualmente, sendo aprovada pela Diretoria Executiva.
2. DEFINIÇÕES
•Segurança cibernética: É um conjunto de práticas que protege informação armazenada nos computadores e aparelhos de computação e transmitida através das redes de comunicação, incluindo a Internet e telefones celulares.
•Ambiente cibernético ou virtual: É o espaço não físico criado por redes de computadores (principalmente a Internet) e inclui instituições que participam da interconectividade bem como o espaço que interliga pessoas, documentos e máquinas.
•Ativos e ferramentas de informação: Os ativos incluem dados ou um conjunto de dados que tenham relação com o funcionamento no dia a dia de uma instituição. As ferramentas são os meios de armazenamento, transmissão e processamento da informação, os sistemas de informação, bem como os locais em que se encontram esses meios, e as pessoas que a eles têm acesso.
•Intrusão: Ações realizadas com intuito de comprometer a estrutura básica da segurança de informação de um sistema informatizado, afetando sua integridade, confidencialidade e disponibilidade.
•Detecção de intrusão: Processo de monitoramento e análise de logs/eventos que ocorrem em um ambiente de computadores ou em uma rede de dados, para que se possa realizar análises em busca de indícios de incidentes ilegais.
•AWS: Amazon Web Services.
3. RESPONSABILIDADES
•Diretoria Executiva - Promover a melhoria contínua dos procedimentos relacionados à segurança cibernética, a capacitação dos colaboradores e a disseminação da cultura, bem como incentivar o compartilhamento de informações com outras instituições, na forma estabelecida pelo Banco Central do Brasil.
•Tecnologia da Informação - Adotar medidas, procedimentos, controles, sistemas e tecnologias necessárias para reduzir a vulnerabilidade da empresa a incidentes relacionados à segurança cibernética e de modo a garantir a continuidade de negócios, bem como a prestação de informações aos usuários finais sobre precauções na utilização de produtos e serviços oferecidos.
•Controles Internos e Compliance - Conjuntamente com a área de Tecnologia da Informação assegurar a implementação de procedimentos e controles internos que garantam a redução das vulnerabilidades da instituição a incidentes relacionados à segurança cibernética e de modo a garantir a continuidade de negócios.
•Consultoria Jurídica - Dar suporte e assessoria a todas as áreas, de modo a garantir que condutas praticadas ou contratos celebrados atendam às normas e regulamentos vigentes, no que concerne à segurança cibernética.
•Todos os Colaboradores, Terceiros Contratados e Prestadores de Serviços - Inteirar-se dos materiais educativos para perfeita compreensão de temas relativos a Segurança Cibernética, bem como prestar informações, a clientes e usuários, acerca das precauções na utilização de produtos e serviços disponibilizados pelo S3 BANK.
4. PROCEDIMENTOS E CONTROLES ADOTADOS
O S3 BANK adota as precauções necessárias para a proteção do ambiente virtual, dos ativos da empresa e dados pessoais dos seus Clientes através da prevenção, detecção e redução da vulnerabilidade de ocorrência de incidentes cibernéticos.
O S3 BANK reconhece a importância de manter a segurança do ambiente cibernético dos ativos e ferramentas de informação sob sua responsabilidade e nesse sentido, adotou os procedimentos e controles abaixo, os quais seguem as seguintes diretrizes:
4.1 IDENTIFICAÇÃO E AUTENTICAÇÃO
•Determinação de quem pode acessar determinado sistema (login);
•Verificação por meio de credencial (senha) fornecida pelo usuário;
•Liberação de acesso lógico somente aos recursos e informações necessários e indispensáveis ao desempenho das atividades do colaborador;
•Bloqueio ou desabilitação de todo e qualquer serviço de rede não autorizado.
4.2 CRIPTOGRAFIA
•Criptografia de toda e qualquer informação transmitida pela Internet classificada como sigilosa conforme padrões homologados;
•Criptografia de informações que são alvo típico de criminosos, tais como senhas de acesso, entre outras;
•Execução de processo contínuo e periódico que teste as regras criptográficas aplicadas, a fim de assegurar o perfeito funcionamento da tecnologia no ambiente.
4.3 PREVENÇÃO E DETECÇÃO DE INTRUSÃO
•Monitoramento do tráfego e das atividades da rede;
•Avaliação do tráfego da rede em busca de ameaças que gerem padrões incomuns de fluxo de dados;
•Disponibilização de informações sobre as atividades da rede a fim de que se possa identificar atividades suspeitas.
4.4 PREVENÇÃO DE VAZAMENTO DE INFORMAÇÕES
•Monitoramento de forma constante a transmissão de dados;
•Prevenção ou bloqueio da saída de dados confidenciais da rede;
•Monitoramento e/ou bloqueio, se necessário, da transferência de dados.
4.5 VARREDURAS PARA DETECÇÃO DE VULNERABILIDADES
•Identificação de possíveis vulnerabilidades na rede;
•Identificação de possíveis brechas em sistemas e políticas de segurança;
•Classificação por nível de impacto as vulnerabilidades identificadas;
•Execução de testes que visem reduzir vulnerabilidades que possam ser exploradas por códigos maliciosos.
4.6 PROTEÇÃO CONTRA SOFTWARES MALICIOSOS
•Proteção dos servidores físicos e virtuais, equipamentos de mesa, dispositivos móveis e dispositivos de segurança da informação contra softwares maliciosos;
•Atualização periódica, conforme disponibilização de versão do fabricante, dos produtos utilizados para proteção contra softwares maliciosos;
•Estabelecimento de procedimentos que visem os controles de detecção, prevenção e combate a softwares maliciosos;
•Verificação da presença de códigos maliciosos, antes de serem utilizados, em todos os arquivos recebidos por meio de redes, em qualquer mídia de armazenamento, correio eletrônico, arquivos baixados (download) ou em páginas web;
•Identificação de softwares maliciosos em arquivos anexados aos e-mails;
•Emissão de avisos e alertas sempre que um software malicioso for detectado.
4.7 MECANISMOS DE RASTREABILIDADE DA INFORMAÇÃO
•Classificação dos dados e das informações quanto à relevância;
•Identificação de todos os sistemas que contenham informações de clientes da empresa;
•Garantir que os sistemas identificados possuam trilhas de auditoria;
•Garantir que as operações de entrada e saída de informações dos clientes estejam gravadas nas trilhas de auditoria;
•Garantir a implantação de controles internos que permitam assegurar a rastreabilidade das informações.
4.8 SEGMENTAÇÃO DA REDE
•Restrição de acesso não autorizado;
•Manutenção do controle e da rastreabilidade das conexões.
4.9 MANUTENÇÃO DAS CÓPIAS DE SEGURANÇA
•Estabelecimento de rotinas de backup com periodicidade diária, semanal, mensal e anual;
•Estabelecimento de periodicidade para retenção e liberação das cópias de backup;
•Estabelecimento de rotinas para recuperação das informações utilizando as cópias de backup.
5. DOS CONTROLES ESPECIFICOS
A S3 BANK opera o seu ambiente de produção na nuvem - cloud – utilizando a Amazon Web ServicesTM (AWS), através de micro serviços flexíveis que permitem criar e distribuir soluções rapidamente e com mais segurança, usando as melhores práticas de segurança cibernética da AWS. Desta forma o provisionamento e o gerenciamento da infraestrutura, da implantação do código, da automatização de processos, do lançamento e atualização da plataforma e, do monitoramento de desempenho das aplicações possuem camadas adicionais de segurança além das práticas previstas nessa Política.
6. REGISTRO E ANÁLISE DA CAUSA E IMPACTO
A área de Tecnologia da Informação é responsável pela adoção dos procedimentos e controles necessários para reduzir a vulnerabilidade a incidentes relacionados à segurança cibernética, inclusive relativo à rastreabilidade da informação e medidas de contorno, no caso de ocorrências, bem como aplicadas quando do desenvolvimento de sistemas e novas tecnologias.
O S3 BANK implementará a Política de Continuidade de Negócios, a qual abrangerá a elaboração de Análise de Impacto no Negócio que tem por objetivo apresentar todos os prováveis cenários de impacto e incidentes relevantes, incluindo os relacionados ao ambiente cibernético, que possam afetar à continuidade dos serviços de pagamento prestados, bem como os derivados de empresas prestadoras de serviço1 que manuseiam dados ou informações sensíveis consideradas relevantes para a condução das atividades do S3 BANK.
1Os procedimentos e controles utilizados pelas empresas prestadoras de serviço que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais, devem ser compatíveis com os utilizados pelo S3 BANK.
As premissas que abrangem a Análise de Impacto no Negócio são:
•Efetuar o registro das informações pertinentes ao incidente ocorrido;
•Analisar o incidente no que concerne a relevância;
•Estabelecer plano de ação visando a sua solução;
•Gerenciar os incidentes garantindo que sejam solucionados o mais rápido possível. A elaboração de Plano de Ação e de resposta a incidentes com a identificação de ações necessárias a serem desenvolvidas e implementadas para adequação da estrutura organizacional e operacional a fim de assegurar a prevenção e o tratamento de eventos relevantes relacionados ao ambiente cibernético deverá ser submetida e aprovada pela Diretoria Executiva.
7. DISSEMINAÇÃO DA CULTURA DE SEGURANÇA CIBERNÉTICA
A área de Tecnologia da Informação atuará ativamente no sentido de implementar, desenvolver e promover a cultura de Segurança Cibernética e, nesse sentido, promoverá programas de capacitação e de avaliação periódica de pessoal.
