POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO
1. OBJETIVO
A presente política objetiva estabelecer diretrizes e responsabilidades relacionadas à estrutura de prevenção de incidentes e controle do fluxo de informações em tratamento pela cooperativa, busca nortear o desenvolvimento de normas e processos internos, sempre em observância ao porte, natureza e complexidade dos produtos, serviços, atividades e operações desempenhadas pela Cooperativa, viabilizando a detecção, prevenção e mitigação dos pontos de vulnerabilidade no ambiente cibernético, garantindo a proteção, manutenção da privacidade das informações e da estrutura de tecnologia utilizada.
2. ABRANGÊNCIA
As disposições da Política visam estabelecer procedimentos para assegurar a confidencialidade e integridade das informações por todas as áreas da Cooperativa. Sendo assim, as determinações aprovadas devem ser observadas por toda a estrutura organizacional da Cooperativa, incluindo as empresas prestadoras de serviços.
3. ATRIBUIÇÕES E RESPONSABILIDADES
3.1 CONSELHO DE ADMINISTRAÇÃO
Dentre outras atribuições relacionadas à segurança cibernética, compete ao Conselho de Administração:
a) Deliberar sobre as medidas, orientações e regulamentações voltadas ao aprimoramento da estrutura de segurança cibernética da Cooperativa;
b) Disseminar as disposições desta Política e demais regulamentações que tratam da segurança cibernética;
c) Promover a revisão periódica das disposições desta Política, comprometendo-se com o seu aprimoramento contínuo, bem como dos demais procedimentos e controles internos dela decorrentes;
d) Analisar os relatórios e as comunicações emitidos pelos órgãos reguladores e pelas auditorias, determinando as ações e providências a serem tomadas para manter a conformidade da Cooperativa;
e) Analisar os relatórios emitidos pela área técnica da Cooperativa, atuando no aprimoramento da estrutura;
f) Participar de treinamentos e capacitações sobre segurança cibernética e da informação;
g) Prestar assistência aos funcionários e tomar medidas que visam a aderência e clareza dos processos adotados;
h) Acompanhar o processo de resolução de incidentes de segurança, observando o plano de ação de resposta a incidentes;
i) Mediante a ocorrência de incidentes relevantes que configuram uma situação de crise, comunicar ao Banco Central do Brasil, juntamente com o plano de ações para o reinício das atividades.
3.2 CONTROLES INTERNOS
a) Desenvolver controles que visam a mitigação dos riscos cibernéticos;
b) Acompanhar e atestar a efetividade da metodologia utilizada para o tratamento das informações detidas pela Cooperativa;
c) Avaliar a conformidade das atividades frente às regulamentações que tratam da segurança cibernética, bem como sua efetividade;
d) Avaliar os contratos de serviços de processamento de dados com terceiros prestadores de serviços, atestando sua conformidade frente à regulamentação emitida pelo Banco Central do Brasil;
e) Cientificar terceiros contratados das regulamentações internas alusivas à segurança cibernética e da informação da Cooperativa;
f) Propor ao Conselho de Administração a atualização da política de segurança cibernética e da informação e do plano de ação de resposta a incidentes;
g) Acompanhar a disponibilização dos acessos para exercício da função de cada colaborador, garantindo a conformidade entre os acessos e as atividades exercidas.
3.3 ÁREA DE OPERAÇÕES
a) Desenvolver métodos de verificação do termo de consentimento, especialmente no que tange o tratamento de dados pessoais de crianças e adolescentes;
b) Receber e dar os devidos encaminhamentos às reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
c) Atuar, juntamente com as demais áreas das estruturas, no desenvolvimento de ferramentas e metodologias para a proteção de dados e prevenção de riscos cibernéticos.
3.4 FUNCIONÁRIOS
a) Agir e desenvolver suas atividades com diligência e probabilidade, buscando manter a integridade e transparência dos processos;
b) Atender com agilidade às solicitações de informações realizadas pelas áreas de operação e de Controles Internos;
c) Fomentar a cultura de proteção, transparência e sigilo das informações tratadas pela Cooperativa;
d) Participar de treinamentos e capacitações relacionados à proteção de dados e segurança cibernética;
e) Atuar em conformidade com as disposições desta política e demais regulamentações internas vigentes;
f) Comunicar toda e qualquer ocorrência, da qual tenha conhecimento, que apresenta inconformidade frente a este regulamento.
4. SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO
Segurança da Informação consiste na proteção das informações, sendo caracterizada pela preservação de:
- Confidencialidade: garantia de que a informação somente será acessada por pessoas efetivamente autorizadas;
- Integridade: garantia de que o conteúdo da mensagem não será alterado ou violado indevidamente, ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção e validade.
- Disponibilidade: garantia de que os Colaboradores autorizados obtenham acesso à informação e aos sistemas correspondentes sempre que necessários, nos períodos e ambientes aprovados pela empresa;
- Conformidade: Garantia de que controles de segurança da informação, devidamente estabelecidos, estão sendo executados conforme esperado e produzindo resultados efetivos no cumprimento de seus objetivos.
Já a segurança cibernética se trata do conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado. Também conhecida como Segurança de TI, visa proteger somente assuntos relacionados ao digital.
5. FERRAMENTAS DE CONTROLE
5.1 CONTROLE DE ACESSO
O controle de acesso visa garantir que todos os equipamentos utilizados pelo quadro funcional e diretivo sejam destinados ao desempenho das atividades de cada função.
Os sistemas utilizados para realização das atividades deverão ser acessados apenas em zona de rede pertencente à Instituição, os acessos realizados fora da área estabelecida dependem de autorização da área interna responsável, bem como do superior imediato do colaborador solicitante.
Acessos realizados fora do horário de expediente também deverão ser tempestivamente analisados e deliberados pela área responsável, em conjunto com o superior imediato do colaborador solicitante.
O processo de gestão dos acessos a qualquer sistema da Cooperativa, quer seja interno ou em nuvem, deve ser conduzido pela área de TI, exceções deverão ser tratadas junto a alta direção.
Os acessos de colaboradores e terceiros devem ser desativados assim que desligados ou encerrados contratos de prestação de serviços.
5.2 CONTROLE DE ACESSOS A ESPAÇOS FÍSICOS
Os espaços físicos da Cooperativa deverão passar por processos de avaliação e classificação, considerando o volume e teor das informações e documentos que cada espaço comporta. Os espaços que contenham informações classificadas como confidenciais, sigilosas e de alto risco deverão contar com vigilância e demais meios de proteção. Já os espaços classificados com níveis controlados de risco deverão conter níveis de segurança correspondentes, a serem aplicados pela área responsável.
5.3 CONTROLES CONTRA SOFTWARE MALICIOSO
A cooperativa deve adotar controles de proteção dos equipamentos de processamento de software, buscando a prevenção, detecção, correção e erradicação de software executáveis e maliciosos, garantindo que os equipamentos se mantenham atualizados com programas originais, contando com sistema antivírus confiáveis e adequados à estrutura.
5.4 TESTES DE INTRUSÃO E VARREDURA DE VULNERABILIDADES
A cooperativa deverá providenciar testes de intrusão e varredura de vulnerabilidades, visando mapear, monitorar e corrigir eventuais ocorrências que possam apresentar riscos no ambiente cibernético.
5.5 RASTREABILIDADE
A infraestrutura cibernética deverá apresentar trilha de auditoria, viabilizando a análise de eventos e autenticação de usuários e ações executadas pelos usuários.
Todas as ações de colaboradores e visitantes, realizadas nas dependências da Cooperativa ou remotamente, abrangendo o acesso físico e a utilização de recursos de tecnologia da informação e comunicação do grupo, podem ser monitoradas. Ao acessarem sistemas e recursos tecnológicos da Cooperativa, Colaboradores e visitantes concordam que suas ações podem ser monitoradas.
Os registros obtidos através de monitoramento poderão ser utilizados em processos de investigação de incidentes e suspeitas de violação de leis e dos normativos internos, bem como, em processos judiciais e trabalhistas, a critério da Cooperativa.
5.6 CÓPIAS DE SEGURANÇA (BACKUP)
A Cooperativa deverá assegurar a adoção de um programa de Backup para armazenamento periódico de informações, bem como assegurar sua efetividade.
6. PROCEDIMENTOS DE CONTRATAÇÃO DE TERCEIROS
Na contratação de serviços, os contratos firmados entre as partes e a Cooperativa devem conter cláusulas de confidencialidade, responsabilidade pela proteção da informação, não divulgação e descarte das informações. Outras cláusulas específicas de Segurança da Informação podem ser requeridas de acordo com o contexto do serviço contratado.
Ainda, os contratos com terceiros devem prever que o sigilo aplicado às informações deve perdurar mesmo após o encerramento da prestação de serviços.
A área operacional é responsável por adotar meios de confirmação da veracidade das informações contidas em contratos com terceiros e atestar que este possua boas práticas de segurança da informação em sua estrutura.
7. CLASSIFICAÇÃO DA INFORMAÇÃO
Toda a informação deve ser classificada, de acordo com seu valor, grau de sigilo, criticidade e sensibilidade perante o negócio, de forma que sejam adotados os mecanismos de proteção adequados, balanceando custo e complexidade do controle.
A metodologia de classificação das informações deve compreender os seguintes grupos:
- Público: Informações que podem ser consultadas ou estão disponíveis em bancos de dados públicos;
- Interno: Informações que podem ser acessadas apenas pelos colaboradores da instituição;
- Confidencial: Informações disponíveis apenas para pessoas autorizadas;
- Restrito: Informações disponíveis apenas para pessoas incumbidas previamente.
Informações sem classificação explícita devem ser consideradas como ‘Interno”, não sendo permitido o seu repasse ou divulgação para qualquer pessoa que não seja da Cooperativa, exceto informações públicas e de mercado, devidamente autorizadas.
Todos os Colaboradores devem tratar as informações da Cooperativa de acordo com seu nível de classificação de forma a protegê-las contra atos ou acessos indevidos ou divulgação não autorizada, mantendo sua confidencialidade, integridade e disponibilidade.
8. COMPORTAMENTO SEGURO
Independente dos meios onde a informação esteja armazenada, ou seja, transmitida, cada colaborador deve assumir um comportamento seguro e proativo impedindo seu vazamento para pessoas ou meios externos da Cooperativa.
Aos Colaboradores, sem autorização prévia, é vetado emitir opiniões em nome da Cooperativa ou utilizar informações privadas da Cooperativa em: e-mails, sites, redes sociais, publicações impressas, fóruns de discussão, serviços da Internet e outros ambientes públicos, em face da possibilidade de divulgação inadvertida. Ainda, o uso da marca, nome ou citação da Cooperativa deve cumprir os requisitos de autorização por direito de imagem e propriedade.
Os colaboradores são responsáveis por manter as informações da Cooperativa em locais seguros. Isso se aplica a informações impressas, escritas em quadros ou em outras mídias físicas, que não devem ser deixadas desprotegidas em salas de reuniões, mesas ou qualquer local dentro e fora da empresa.
O descarte de informações internas, restritas ou confidenciais, contidas em qualquer meio, quer seja impresso, eletrônico, magnético, ou sob qualquer outra forma, deve ser feito de forma segura, garantindo a destruição dos dados de forma que não possam ser novamente recuperados.
O uso de recursos tecnológicos para gravação, foto e filmagem de qualquer reunião ou evento corporativo não é permitido sem prévia autorização e consentimento de todos os participantes.
8.1 PROPRIEDADE INTELECTUAL
A Cooperativa é proprietária ou custodiante responsável por toda a informação criada, armazenada, transmitida, transportada, processada ou descartada pelos seus recursos ou por aqueles contratados pela Cooperativa em nuvem ou prestados por terceiros devidamente autorizados. Posto isso, é vetada aos Colaboradores a violação da propriedade intelectual do grupo ou de terceiros, quer seja por meio da utilização indevida de imagens, textos, softwares, marcas ou pela cópia indevida de originais ou conversão do formato destes.
8.2 UTILIZAÇÃO DOS EQUIPAMENTOS
Os recursos e as informações de propriedade ou sob custódia da Cooperativa devem ser utilizados de acordo com os interesses da organização, para prestação dos seus serviços, atendendo aos requisitos e respeitando as regras estabelecidas.
O acesso de celulares, smartphones, tablets e qualquer outro dispositivo a serviços e informações da Cooperativa deve ser permitido apenas após o atendimento integral dos requisitos de segurança da Cooperativa definidos nas normas para esta categoria de dispositivos.
Na utilização de equipamentos, fica proibida, aos Colaboradores e Terceiros, a instalação de qualquer software ou a alteração de parâmetros de configuração de computadores da Cooperativa. Estas devem ser realizadas por equipes autorizadas pela cooperativa, após processos de homologação e obtenção do licenciamento adequado. Softwares instalados indevidamente poderão ser automaticamente excluídos, sem prévio aviso.
Os colaboradores devem zelar pela segurança de ativos da empresa colocados sob sua responsabilidade, como dispositivos móveis e notebooks.
8.3 GERENCIAMENTO DE INFORMAÇÕES E DOCUMENTOS
As informações internas, restritas e confidenciais ou sensíveis da Cooperativa não devem ser copiadas, sincronizadas ou replicadas em serviços em nuvem, exceto situações analisadas e aprovadas pela alta direção.
Informações da Cooperativa ou sob custódia e responsabilidade do colaborador ou terceiro contratado, somente podem ser transportadas ou processadas em meios previamente aprovados pela alta direção, a exemplo e-mail pessoal, Internet, pendrive, redes sociais, CD/DVD, papel, computador pessoal dentre outros meios.
Também, fica proibido o armazenamento, transmissão, processamento e impressão de conteúdo que contenha pedofilia, pornografia, erotismo, violência, terrorismo, racismo, intolerância, e outros conteúdos proibidos por leis, moral, ética e normas da Cooperativa.
Documentos eletrônicos de uso da Cooperativa devem ser armazenados em repositórios centralizados da rede (servidores de arquivos) com as devidas proteções de segurança, dentre elas: controle de acesso e backup. Documentos eletrônicos do grupo não devem ser armazenados em estações de trabalho.
A transmissão digital e física de informações através de canais de comunicação não-seguros deve ser protegida de acordo com o nível da classificação da informação, especialmente analisando a necessidade de utilização de criptografia para a proteção da informação.
9. CONSCIENTIZAÇÃO E DIVULGAÇÃO DE SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO
A Política de Segurança Cibernética e da Informação, normas e padrões de segurança devem ser amplamente divulgadas no processo de admissão e integração de novos Colaboradores, tanto pela equipe de Controle Interno quanto pelos Gestores.
Programas de conscientização, divulgação e reciclagem do conhecimento da Política de Segurança Cibernética e da Informação devem ser estabelecidos e praticados regularmente para garantir o conhecimento às diretrizes e responsabilidades relacionadas à segurança das informações.
10. CONTINUIDADE DE NEGÓCIOS
A estrutura de continuidade de negócios na esfera cibernética é implementada com o objetivo de reduzir perdas e impactos sobre os ativos da informação após um incidente crítico. Neste aspecto, é essencial estabelecer, documentar, implantar e manter processos, procedimentos e controles para assegurar o nível requerido de continuidade para os serviços e processos de negócio da Cooperativa, durante situações adversas.
11. SEGURANÇA FÍSICA
Os equipamentos e instalações de processamento de informação críticas ou sensíveis, bem como as próprias informações sensíveis, deverão ser mantidos em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.
O acesso de qualquer pessoa às instalações da Cooperativa somente deverá ser feito mediante autorização pelos colaboradores responsáveis por esse controle e mediante identificação do visitante. Nenhum visitante tem a autorização de circular pelas dependências da Cooperativa sem estar acompanhado por um colaborador da Cooperativa, salvo definição registrada em contrário.
11.1 AÇÕES DE SEGURANÇA
11.1.1 Autenticação e Senha
O quadro social e funcional é responsável pelos atos efetivados em seu identificador (login). Ao quadro funcional orienta-se que:
- É proibido transferir, compartilhar, emprestar ou revelar a senha das credenciais de acesso concedidas pela empresa a outros colaboradores, assim como é proibido o uso de credenciais de outros colaboradores;
- Mantenha a confidencialidade das senhas e usuários, as memorizando e evitando o seu registro;
- Altere a senha sempre que houver suspeita de seu comprometimento;
- Elabore senhas que sejam complexas e de dificultosa descoberta;
- Evite o uso de seu equipamento por outras pessoas, enquanto estiver conectado/logado em seu acesso;
- Ao se ausentar, bloqueie o equipamento;
- Onde é possível, habilite a autenticação por dois fatores.
12. GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO
A Gestão de Riscos de Segurança da Informação deve ser realizada através de um processo estruturado que contemple a identificação, análise, avaliação, priorização, comunicação, tratamento e monitoração dos riscos que podem afetar negativamente os negócios da organização. O processo de gestão de riscos deve contemplar novos ativos, sistemas ou processos, quer sejam eles internos, em nuvem ou conduzidos por parceiros.
13. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
São considerados incidentes de segurança da informação quaisquer eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de SI: confidencialidade, integridade, disponibilidade e conformidade, colocando o negócio em risco. Violações ou tentativas de violação desta Política, de normas ou de controles de segurança da informação, intencionais ou não, são considerados incidentes de segurança.
Aos colaboradores cabe a responsabilidade de informar imediatamente ao seu superior imediato e este, consequentemente, a área responsável pelo tratamento de incidentes, todas as violações à Política de segurança da informação, normas, padrões incidentes ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento.
A identificação de incidentes de segurança pode ocasionar o bloqueio imediato dos acessos dos colaboradores envolvidos até que sejam concluídas as investigações necessárias.
De encontro a incidentes de segurança de informação, conforme previsto nesta Política e nos Planos anexos, cabe ao setor responsável pela segurança cibernética desenvolver, de imediato, documento detalhando o incidente e as ações tomadas ou a serem implantadas com vistas a resolver o problema e evitar que o mesmo venha a se repetir no futuro.
13.1 AVALIAÇÃO DE RELEVÂNCIA DOS INCIDENTES
A ocorrência de incidentes de segurança de informação que signifiquem acesso relevante a dados dos associados ou que representem interrupção dos serviços e atendimento aos associados, por período superior a 48 (quarenta e oito) horas deverá ser comunicada de imediato ao Banco Central do Brasil por meio dos devidos canais disponibilizados por esta autarquia.
Cabe à cooperativa criar canais com as demais instituições financeiras para, de forma corporativa, compartilhar informações quanto aos incidentes previstos no item anterior.
13.2 GESTÃO DE INCIDENTES DE SEGURANÇA
Qualquer evento relacionado a um suposto ou comprovado ataque à segurança de um sistema operacional deve ser resolvido de acordo com um processo de gerenciamento de incidentes. Os procedimentos envolvidos devem descrever os seguintes processos: de gerenciamento de incidentes, de investigação e recolhimento de provas.
O processo de gerenciamento de incidente deve:
a) Permitir a detecção, o mais cedo possível, e a capacidade de responder com a máxima eficácia para limitar os danos causados pelo incidente;
b) Limitar as zonas de vulnerabilidade pela remediação de anomalias identificadas em algum ou todos os sistemas operacionais potencialmente afetados;
c) Reter informações relevantes para posteriores investigações e coleta de provas;
d) Compilar um registro de incidentes de segurança e estatísticas para uso na previsão de possíveis incidentes futuros;
e) Identificar pontos de contato apropriados para o nível de severidade do ataque.
Cabe a cada setor da cooperativa, sempre que identificar um incidente de segurança de qualquer dos sistemas utilizados pela Cooperativa, encaminhar um comunicado formal à gerência da Cooperativa e ao setor de Controles Internos no sentido de registrar tal ocorrência.
Cabe à gerência da Cooperativa, em conjunto com o responsável pela TI, acionar, seguindo os procedimentos estabelecidos nos Planos de Continuidade de Negócios e Respostas a Incidentes de Segurança da Informação, os responsáveis pelos controles de segurança dos respectivos sistemas para resolução imediata e implementação de ações que evitem futuras repetições de possíveis incidentes detectados.
O Setor de Controles Internos da Cooperativa deverá registrar, contendo inclusive causa e impacto, as informações e encaminhamentos dados no sentido de solucionar os possíveis incidentes de segurança detectados. Os registros deverão compor relatório do setor a ser apresentado semestralmente ao Conselho de Administração e Fiscal da Cooperativa.
Uma vez que um incidente mal-intencionado for resolvido, uma análise deve ser feita para identificar a origem do ataque e iniciar procedimentos administrativos ou judiciais apropriados.
14. MANUTENÇÃO SEGURA DE SISTEMAS
Sistemas da informação desenvolvidos ou adquiridos devem contar com atributos e funcionalidades de segurança que protejam adequadamente as informações. Os requerimentos devem ser identificados e documentados na fase de concepção do sistema, para assegurar que as demandas de segurança sejam atendidas.
Toda manutenção em sistemas deve:
- Considerar os requerimentos de segurança antes, durante e depois da manutenção;
- Garantir a integridade e a conformidade das especificações funcionais iniciais;
- Respeitar a consistência e a homogeneidade do nível de segurança estabelecido inicialmente no desenvolvimento da aplicação;
- Respeitar, ao efetuar as modificações, os resultados da análise inicial do risco realizada na fase de projeto;
- Garantir a origem e a integridade das entregas para o ambiente de produção;
- Preservar a confidencialidade dos contextos operacionais;
- Preservar a segurança dos sistemas ou da rede, assegurando que nenhuma intervenção forneça a oportunidade de sabotagens de forma inesperada ou de ações maliciosas;
- Respeitar as obrigações legais e contratuais com relação à confidencialidade das informações processadas pelos sistemas.
15. ATUALIZAÇÃO DA POLÍTICA
Esta Política está sujeita a revisões anuais, podendo ser revisada em periodicidade menor, caso necessário, em decorrência de alterações na regulamentação e/ou legislação aplicável ou, ainda, para refletir alterações nos procedimentos internos da organização.
16. APLICABILIDADE
O Gestor imediato ou a alta direção deve ser consultado sempre que existir alguma dúvida referente à aplicabilidade da Política de Segurança Cibernética e da Informação e demais documentos que a compõem.
Exceções às diretrizes contidas neste documento e nos demais que compõem a Política de Segurança Cibernética e da Informação devem ser autorizadas pela alta direção.
17.PENALIDADES
O colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de reportar a infração à área responsável pelo Risco Cibernético. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.
Público-alvo: Colaboradores e membros estatutários |
|
Aprovado por: Conselho de Administração |
Data de aprovação: 22/02/2024 Ata nº 06/2024 |
Uso interno |