POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA
WOOVI
Data: 10.12.2024
Versão: 01
SUMÁRIO
1. Apresentação e Objetivo
2. Normas Aplicáveis
3. Definições
4. Abrangência
D. PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
1. Gestão de Ativos
2. Autenticação e Controle de Acesso
3. Segmentação de rede
4. Classificação da Informação
5. Gestão de riscos e falhas de segurança
6. Gestão de Fornecedores
7. Segurança física do ambiente
8. Backup e gravação de LOG e proteção contra vírus
9. Testes de varredura para detecção de vulnerabilidade
10. Plano de continuidade
11. Incidentes de segurança
a. Classificação de relevância dos incidentes
b. Gestão de incidentes
c. Plano de compartilhamento de incidentes
d. Plano de ação e resposta a incidentes
12. Mecanismos de Rastreabilidade
13. Treinamentos e conscientização
14. Contratação de serviços
a. Seleção de terceiros
b. Execução de aplicativos pela internet
c. Serviços de computação em nuvem
d. Contratação de serviços no exterior
e. Contrato de prestação de serviços
f. Comunicação ao Bacen
15. Continuidade dos serviços de pagamento
16. Arquivamento de informações
E. DECLARAÇÃO DE RESPONSABILIDADE
REGISTRO DAS ALTERAÇÕES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA DA WOOVI INSTITUIÇÃO DE PAGAMENTO
Versão | Data | Autor | Data de Aprovação | Aprovadores | Justificativa |
---|---|---|---|---|---|
0.1 | 16.05.2024 | Compliance | - | - | V.01 Política Segurança Cibernética |
A. ESCOPO DESTA POLÍTICA
1. Apresentação e Objetivo
Esta Política de Segurança da Informação e Segurança Cibernética (“Política”) tem o objetivo de estabelecer diretrizes que permitem a WOOVI INSTITUIÇÃO DE PAGAMENTO (“WOOVI”), preservar e proteger as informações de seus Clientes, Colaboradores, Fornecedores, Parceiros de Negócios, partes interessadas e da própria instituição contra ameaças e riscos relacionados à segurança da informação e cibernética. Orienta quanto a implementação de controles e procedimentos que visam a reduzir a vulnerabilidade da WOOVI a incidentes, bem como dispõe sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
A WOOVI é uma plataforma B2B para PME completa, que auxilia empresas a aumentarem suas vendas e fidelizarem seus clientes, oferecendo diversas funcionalidades, como o PIX, o Cashback, Plugins, SDKs e outras soluções, seja para e-commerce, delivery ou ERP.
A WOOVI deve implementar e manter esta Política formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade, a autenticidade e a disponibilidade dos dados e dos sistemas de informação utilizados.
2. Normas Aplicáveis
- Lei 12.865/2013: Dispõe sobre os Arranjos de Pagamento e as Instituições de Pagamento integrantes do Sistema de Pagamentos Brasileiro (SPB).
- Resolução BCB nº 80/2021: Estabelece os requisitos e os procedimentos para constituição e funcionamento, e de pedido de autorização de funcionamento das Instituições de Pagamento.
- Resolução BCB nº 85/2021: Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
As leis e normas são citadas de forma exemplificativa e contemplam apenas as diretrizes em vigor na data de elaboração desta Política, não esgotando toda a Legislação Aplicável às atividades da WOOVI.
O Diretor responsável pela Segurança Cibernética será o responsável por verificar eventual atualização, revogação e a edição de novas normas atinentes a esta Política.
3. Definições
- Administradores: diretores da WOOVI.
- Ativos: todas as formas tratamento de informações. Os Ativos podem ser documentos impressos, sistemas, softwares, banco de dados, arquivos digitais, dispositivos móveis etc.
- Bacen: Banco Central do Brasil.
- Clientes: queles que contratam e utilizam produtos e/ou serviços da WOOVI.
- Colaboradores: funcionários, prestadores de serviços sem vínculo empregatício, trainees e estagiários da WOOVI.
- Comitê de Segurança da Informação e Segurança Cibernética: comitê formado por Colaboradores indicados pelas áreas de WOOVI e aprovado pelos Administradores, com o objetivo de deliberar a respeito de assuntos relacionados à Segurança da Informação e Segurança Cibernética;
- Conta de Pagamento: conta de registro detida em nome do Cliente, aberta e gerenciada pela WOOVI, utilizada para a execução de Transações.
- Fornecedores: toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividades de comercialização de produtos ou prestação de serviços para a WOOVI;
- Gestão de Ativos: são as boas práticas utilizadas pela WOOVI em seu processo de controle de ativos tangíveis e intangíveis (equipamentos, contratos, marcas, ferramentas e materiais, know-how), que buscam alcançar um resultado desejado e sustentável para a operação.
- Informações Sensíveis: que tem valor estratégico para o desenvolvimento dos negócios e das operações da WOOVI, ganhando tangibilidade por meio de transações, processamentos, bancos de dados, entre outras formas, e que serão tratados com base no legítimo interesse da instituição, estritamente necessários para a finalidade pretendida nos termos desta Política e da legislação em vigor.
- Instituição de Pagamento: para fins desta Política, é a WOOVI como emissora de moeda eletrônica, cuja atividade consiste em gerenciar a conta de pagamento de Clientes, utilizada para o carregamento e o pagamento de transações pré-pagas.
- Parceiros de Negócios (“Parceiros”): toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, que celebra contratos com a WOOVI, com a finalidade de, mediante retribuição, colaborar com os negócios da WOOVI.
- Política: esta Política de Segurança da Informação e Cibernética.
- Segurança da Informação: conjunto de conceitos, mecanismos e estratégias que visam a proteger os Ativos da WOOVI.
- Segurança Cibernética: conjunto de tecnologias e processos desenvolvidos para proteger os sistemas internos, computadores, redes e dados da WOOVI contra ataques, danos, ameaças ou acesso não autorizado.
- Transação(ões): para fins desta Política, consistem nas movimentações realizadas pelo Cliente de sua conta de pagamento, mediante o aporte, a transferência ou o resgate de recursos financeiros.
4. Abrangência
A Política de Segurança da Informação e Cibernética se aplica a todos os Administradores, Colaboradores, Parceiros e Fornecedores, responsáveis pela segurança cibernética da WOOVI, que direta ou indiretamente utilizam ou suportam os sistemas, a infraestrutura ou as informações da instituição, e que devem, no que couber:
- cumprir as normas e procedimentos relacionados ao uso de informações e sistemas associados, em conformidade com o estabelecido nesta Política;
- informar, imediatamente, às áreas responsáveis, qualquer falha em dispositivo, serviço ou processo relacionado à Segurança da Informação e Segurança Cibernética, para que sejam tomadas ações de forma tempestiva;
- utilizar as informações relacionadas à esta Política, como patrimônio da WOOVI, e mantê-las seguras, integras e disponíveis, conforme sua classificação e necessidade.
Esta Política foi elaborada e revisada pelo Diretor responsável pela segurança da informação e cibernética, e aprovada pelos Administradores, e será revisada com a periodicidade mínima anual. A Política também poderá ser alterada, a qualquer momento, para contemplar quaisquer alterações regulatórias e outras obrigações legais.
Além da Política, o Diretor será responsável pela execução do plano de ação e de resposta a incidentes, que consiste em avaliar a política e os procedimentos de segurança da informação e cibernética adotados pela instituição.
Esta Política será compatível com:
- O porte, o perfil de risco e o modelo de negócio da WOOVI;
- A natureza das atividades da WOOVI e a complexidade dos seus produtos e serviços oferecidos; e
- A sensibilidade dos dados e das informações sob responsabilidade da instituição.
B. PRINCÍPIOS
A WOOVI tem o compromisso garantir a segurança e o tratamento adequado dos dados e das informações. Para tanto, a instituição adota as atividades que se baseiam nos seguintes princípios:
- Autenticidade: garantia de identificar e autenticar usuários, entidades, sistemas ou processos com acesso à informação;
- Confidencialidade: garantia de que somente pessoas autorizadas terão acessos às informações e apenas quando houver necessidade;
- Disponibilidade: garantia de que a informação estará disponível às pessoas autorizadas sempre que for necessário**;**
- Integridade: garantia de que as informações permanecerão exatas e completas e não serão modificadas indevidamente.
C. DIRETRIZES GERAIS
Com o propósito de garantir os objetivos desta Política, os procedimentos de Segurança da Informação e Segurança Cibernética seguirão as seguintes diretrizes:
-
Assegurar que não haja acessos indevidos, modificações, destruições ou divulgações não autorizadas das informações. Para tanto, o acesso dos Colaboradores devemo acesso dos Colaboradores deve ser pessoal, intransferível e restrito aos recursos necessários para realizar suas atribuições na WOOVI.
-
Cada Colaborador, quando aplicável, receberá uma senha pessoal de acesso e ficará responsável por manter sua senha em sigilo para evitar acesso indevido às informações que estão sob sua responsabilidade. A WOOVI adotará mecanismos que visam a assegurar a utilização segura de senhas.
-
Qualquer risco à informação deverá ser imediatamente reportado pelo Colaborador por meio dos canais e procedimentos indicados pela WOOVI.
-
Assegurar que todas as informações sejam tratadas de maneira ética e sigilosa e que sejam adotadas medidas capazes de evitar ou, ao menos, registrar os acessos indevidos, modificações, destruições ou divulgações não autorizadas.
-
Assegurar que as informações sejam utilizadas somente para a finalidade para a qual foram coletadas e que o acesso esteja condicionado à autorização.
-
Assegurar o cumprimento da lei geral de proteção de dados.
-
Assegurar o cumprimento dos procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de Segurança Cibernética, tais como: a autenticação, a criptografia, a prevenção e a detecção de intrusão; a prevenção de vazamento de informações; a realização periódica de testes e varreduras para detecção de vulnerabilidades; a proteção contra softwares maliciosos; o estabelecimento de mecanismos de rastreabilidade; os controles de acesso e de segmentação da rede de computadores; e a manutenção de cópias de segurança dos dados e das informações.
-
Assegurar que os controles específicos, incluindo os voltados para a rastreabilidade da informação, garantam, no melhor nível possível, a segurança das informações sensíveis.
-
Assegurar o registro, análise da causa e o impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da WOOVI.
-
Assegurar a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados pela instituição.
-
Definir os procedimentos e controles voltados à prevenção e ao tratamento dos incidentes que devem ser adotados pelos Fornecedores que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da WOOVI.
-
Classificar os dados e as informações quanto à relevância.
-
Definir os parâmetros a serem utilizados na avaliação da relevância dos incidentes.
-
Estimular iniciativas para compartilhamento de informações sobre incidentes relevantes, com instituições de pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Bacen.
-
Manter o registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes de informações recebidas de empresas prestadoras de serviços a terceiros.
-
Contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela WOOVI e por esta Política.
-
Divulgar ao público resumo contendo as linhas gerais desta Política.
-
Assegurar os mecanismos para disseminação da cultura de segurança cibernética, incluindo:
- A implementação de programas de capacitação e de avaliação periódica de pessoal;
- A prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos.
-
Colaboradores, fornecedores ou outros (públicos de interesse) que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética nos canais abaixo, podendo ou não se identificar:
[email protected]PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
A fim de assegurar que todas as diretrizes acima sejam cumpridas e que os princípios de Segurança da Informação e de Segurança Cibernética sejam devidamente seguidos, a WOOVI adota políticas e procedimentos para os processos elencados a seguir.
D. PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
1. Gestão de Ativos
Os Ativos devem ser inventariados e protegidos de acessos indevidos ou ameaças que possam comprometer o negócio. Para tanto, o acesso às salas com armazenagem de documentos físicos deve ser restrito e limitado, por meio de mecanismos de autenticação e autorização de acesso, destinados a impedir o acesso de indivíduos não autorizados.
Os Ativos devem ser utilizados tão somente para a finalidade devidamente autorizada. A WOOVI deve assegurar proteção aos Ativos durante todo o seu ciclo de vida, a fim de garantir que os princípios da autenticidade, confidencialidade, disponibilidade e integridade sejam cumpridos integralmente.
- Autenticação e Controle de Acesso
2. Autenticação e Controle de Acesso
A WOOVI adota mecanismos para garantir que o acesso às informações e ambientes tecnológicos seja permitido apenas aos indivíduos autorizados, para de forma consequente prever os respectivos processos de autorização levando em consideração o princípio do menor privilégio, a segregação de funções e a classificação da informação.
A WOOVI deve adotar controles de acesso em toda infraestrutura para evitar que indivíduos não autorizados tenham acesso aos ambientes segregados, aos sistemas internos e as informações que não sejam de livre acesso e sem permissão prévia. Desta forma, a WOOVI deve implementar mecanismos para a autenticação de usuários, manutenção de segregação de funções, rastreabilidade de acesso e aprovação de acesso, quando aplicável, de forma a garantir procedimentos internos adequados e consistentes.
3. Segmentação de rede
A WOOVI deve adotar mecanismos internos para a segmentação de rede para proteger seus dados de ataques cibernéticos e determinar que todos os computadores conectados à rede corporativa não estejam acessíveis diretamente pela Internet.
4. Classificação da Informação
As informações devem ser classificadas segundo sua criticidade e sensibilidade para o negócio e seus Clientes. Portanto, a WOOVI adota a seguinte classificação:
- Informação Pública: aquela que pode ser acessada por todos, sem restrição. São exemplos de Informação Pública: dados divulgados ao mercado e dados promocionais;
- Informação Interna: aquela que pode ser acessada somente por Colaboradores da WOOVI. São exemplos de Informação Interna: normas, procedimentos e formulários da instituição;
- Informação Restrita: aquela que pode ser acessada somente por Colaboradores que precisam dela para desempenhar suas atribuições. São exemplos de Informação Restrita: contratos e documentos estratégicos da WOOVI.
- Informação Confidencial: aquela que pode ser acessada somente por Colaboradores que tenham permissão de acesso ou que necessitem dela para um propósito específico. São exemplos de Informação Confidencial: plano estratégico e informações de clientes.
5. Gestão de riscos e falhas de segurança
A instituição possui processo para análise de vulnerabilidades, ameaças e impactos sobre os Ativos de informação para, diante de um incidente, adotar as medidas adequadas para minimizar os danos causados.
Os processos de gestão de riscos englobam os controles de mudanças no ambiente de tecnologia da WOOVI, que são estruturados e aplicados através de um conjunto de processos que vão atuar em todas as áreas potencialmente impactadas, bem como a capacitação e o engajamento dos Colaboradores diretamente envolvidos nas ações mitigatórias dentro da instituição, com o objetivo da preparação para essas situações.
Neste processo, será levado em conta: (i) o levantamento dos impactos organizacionais; (ii) a priorização das ações de mudanças no ambiente de tecnologia da WOOVI; (iii) o planejamento; (iv) os testes; (v) a mobilização; (vi) a comunicação; e (vii) os treinamentos contínuos para a devida capacitação das pessoas diretamente envolvidas no processo de gestão de riscos e controle dos respectivos ambientes de tecnologia da WOOVI, da seguinte forma:
-
O levantamento dos impactos organizacionais irá detalhar quais áreas da instituição podem vir a ser impactadas direta e/ou indiretamente;
-
A priorização das ações de mudanças no ambiente de tecnologia irá avaliar e elencar todas as mudanças que precisam ser implementadas, definindo quais demandas serão tratadas com prioridade e quais poderão ser mitigadas;
-
O planejamento irá definir os planos de implementação, impactos e correções, visando maximizar a segurança e integridade dos ambientes de tecnologia, e minimizar ao máximo riscos de ações ineficientes e ineficazes;
-
Os testes irão monitorar todo o processo e se certificar que tudo está acontecendo conforme o planejamento realizado. Através dos testes serão elaborados relatórios, os quais serão revisados pelo Diretor responsável pela execução e manutenção desta Política, que descreverá os resultados, funcionalidades e correções;
-
A mobilização irá, através do Diretor responsável por esta Política, em conjunto com o Comitê de Segurança da Informação e Segurança Cibernética, direcionar a WOOVI e todos os Colaboradores ao encontro do objetivo deste processo da gestão de riscos e de controles de mudanças no ambiente de tecnologia da instituição;
-
A comunicação irá informar e detalhar os objetivos da mudança através dos canais de comunicação e do desenvolvimento do plano de comunicação, para que todos os Colaboradores tenham conhecimento da relevância e da necessidade do engajamento para o alcance de todas as medidas adequadas e mitigatórias, para neutralizar ou minimizar os eventuais ou potenciais danos;
-
O treinamento contínuo irá garantir a transferência e o nivelamento de conhecimentos relacionados ao trabalho desenvolvido no processo da gestão de riscos e de controles de mudanças no ambiente de tecnologia da WOOVI.
6. Gestão de Fornecedores
A WOOVI verifica o grau de comprometimento com relação a controles de Segurança da Informação e Segurança Cibernética de todos os seus prestadores de serviços, fornecedores, provedores e parceiros que processam e armazenam dados da WOOVI, com a finalidade de verificar o nível de maturidade dos controles de segurança e o plano de tratamento de incidentes adotados.
Para a instituição é fundamental a qualidade dos serviços prestados, bem como a segurança associada a estes. Portanto, para cada contratação a ser realizada, a WOOVI prioriza e define conjuntamente o SLA (Service Level Agreement), ondem serão analisados escopos, condições, responsabilidades e níveis de desempenho para os serviços a serem executados.
A instituição disponibiliza um canal de comunicação para que seus Parceiros e Fornecedores comuniquem incidentes de Segurança da Informação e Segurança Cibernética que estejam relacionados às informações da WOOVI, e diretrizes desta Política. Este canal de comunicação é gerenciado pela Diretoria de Segurança Cibernética,
7. Segurança física do ambiente
A WOOVI deve implementar sistema para controle de acesso dos Colaboradores, Parceiros e Fornecedores aos locais restritos.
Os equipamentos e instalações de processamento de informação crítica ou sensível devem ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.
8. Backup e gravação de LOG e proteção contra vírus, arquivos e softwares maliciosos
8. Backup e gravação de LOG e proteção contra vírus
A WOOVI adota uma rotina de backup e restauração de dados para assegurar a disponibilidade das informações relevantes para o pleno funcionamento de suas atividades. Bem como, realizará a gravação de logs de dados que permitam a rastreabilidade do acesso e a identificação do criador, data, meios de acesos e informações acessadas. As informações dos logs devem ser protegidas contra alterações e acessos não autorizados.
A WOOVI adota mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a instituição a vulnerabilidades. Para tanto, os softwares de segurança, como o antivírus, devem estar instalados e atualizados em toda a rede interna.
9. Testes de varredura para detecção de vulnerabilidade e Criptografia
A instituição se preocupa em identificar e eliminar as vulnerabilidades de seus sistemas e servidores para assegurar a integridade do ambiente dos processos de negócio. Para tanto, deve promover monitoramento constante e condução de testes e varredura para detecção de vulnerabilidades, avaliação de riscos e determinação de medidas de correção adequadas.
A vulnerabilidade é o ponto onde qualquer sistema da instituição possa ser suscetível a um ataque cibernético. Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é requisito das melhores práticas desta Política e é dever de todos o devido reporte de conhecimento de qualquer vulnerabilidade identificada. Entende-se como vulnerabilidades, acessos indevidos, ataques e intrusões através de:
- Engenharia social (tentativas de roubar cookies, páginas de login falsas);
- Phishing;
- Malware;
- Ransomware;
- Ameaça interna;
- Ataques de negação de serviço;
- Ataques de exaustão de recursos;
- Ataques aos softwares e hardwares de pagamento;
- Ataques aos sistemas da WOOVI;
- Mensagens de erro descritivas;
- Divulgação de banners em serviços comuns / públicos;
- Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt);
- Clickjacking;
- Cross-Site Request Forgery (CSRF) em formulários que estão disponíveis para usuários anônimos;
- Logout Cross-Site Request Forgery (logout CSRF);
- Presença da funcionalidade de 'preenchimento automático' ou 'salvar senha' do navegador da web ou aplicativo;
- Falta de sinalizadores de cookie seguro;
- Desvio de Captcha / Captcha fraco;
- Ataques SSL como BEAST, BREACH, ataque de renegociação;
- Conjuntos de criptografia SSL Insecure;
- Cabeçalhos de segurança HTTP ausentes;
- entre outros.
A WOOVI adota processo de atualização periódica de segurança no parque tecnológico, de forma a prevenir vulnerabilidades que possam ocasionar brechas de segurança para ataque de vírus e outros tipos de software, que se propaguem nos computadores, sistemas e servidores da instituição.
Os Ativos de informação da WOOVI devem possuir criptografia adequada, conforme a classificação da informação, em todo tráfego que ocorrer em rede pública, a fim de se garantir proteção em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores.
10. Plano de continuidade
A WOOVI realiza plano de continuidade dos serviços prestados a partir da adoção de um conjunto preventivo de estratégias e planos de ação para garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de uma contingência.
Para tanto, a WOOVI realizará o mapeamento de processos críticos, análise de impacto nos negócios e inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança.
Devem ser aplicados testes de continuidade de serviços de pagamento e realização testes periódicos para garantir a eficácia e segurança dos processos. O teste deve ser conduzido em um ambiente controlado que permita que a WOOVI certifique a conformidade dos planos desenvolvidos com os objetivos da instituição, requisitos regulatórios e requisitos legais.
Além disso, haverá uma a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados Fornecedores da WOOVI, que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição. Bem como a classificação dos dados e das informações quanto à relevância; e a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes.
1. Incidentes de segurança
1. Classificação de relevância dos incidentes
A WOOVI classificará os incidentes de segurança segundo sua relevância e conforme a classificação das informações envolvidas e o impacto na continuidade dos negócios, que serão detalhados em manuais específicos da instituição.
Dentro dos procedimentos adotados, são realizados periodicamente testes de respostas a incidentes onde a área de segurança da informação relaciona os principais e mais importantes recursos de informática da instituição e as ameaças de maior gravidade para a realização dos testes, que serão revistos pelo Diretor de segurança da informação e pela auditoria.
2. Gestão de incidentes
Todos os incidentes ou suspeita de incidentes identificados por um Colaborador, Parceiro ou Fornecedor, devem ser imediatamente comunicados à área responsável. A comunicação deverá ser feita por através do e-mail [email protected]segurançadainformaçã[email protected], ou através de outros canais indicados pela WOOVI.
Os incidentes reportados serão classificados segundo o risco que representam para a instituição e o respectivo impacto na continuidade dos negócios. Além disso, devem ser devidamente registrados, tratados e comunicados.
Serão desenvolvidos os testes de respostas a incidentes através das etapas de:
- preparação – a área de segurança da informação deverá treinar equipes para atuar na resposta a incidentes, além de limitar o número de incidentes, selecionando e implementando controles com base em avaliações de risco;
- identificação de ameaças – meios para detecção de incidentes e analisar tais eventos, buscando documentar, priorizar e notificar ao diretor de segurança da informação;
- contenção das ameaças – são implementadas ações para contenção, erradicação e recuperação do incidente, bem como são identificadas as origens de ataques e coletadas as evidências;
- eliminação das ameaças – remoção do invasor e qualquer malware dos sistemas e recursos afetados, além de informar partes interessadas;
- recuperação e restauração – restauração dos sistemas, recuperação dos dados do backup e monitoramento das áreas afetadas para garantir a estabilização e neutralização dos sistemas não volte; e
- comentários e refinamento – revisão do que aconteceu e identificação das melhorias que podem ser realizadas no processo.
A WOOVI adota procedimentos para mitigar os efeitos dos incidentes relevantes e a interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratadosdata center próprio localizado em território brasileiro.
3. Plano de compartilhamento de incidentes
Sem prejuízo do dever de sigilo e da livre concorrência, a WOOVI adota iniciativas para o compartilhamento de informações sobre incidentes relevantes com as demais instituições autorizadas a funcionar pelo Bacen, por meio dos canais adotados pelas instituições.
As informações compartilhadas também estarão disponíveis ao Bacen.
Caso haja incidentes relevantes ou interrupção dos serviços relevantes, a WOOVI comunicará o Bacen e adotará medidas necessárias para que as suas atividades sejam reiniciadas, informando o prazo para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, estabelecendo e documentando os critérios que configuraram a situação de crise.
4. Plano de ação e resposta a incidentes
A WOOVI deve estabelecer plano de ação e de resposta a incidentes visando à implementação desta Política, que abrange, minimamente:
- As ações a serem desenvolvidas para adequar as estruturas organizacional e operacional às diretrizes desta Política;
- As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes.
Ainda, a WOOVI deverá elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. O relatório abordará:
- A efetividade da implementação das ações de adequação suas estruturas organizacional e operacional;
- O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes desta Política;
- Os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período;
- Os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.
O relatório anual de incidentes deve ser apresentado à Alta Administração da WOOVI até 31 de março do ano seguinte ao da data-base.
Este relatório será revisado anualmente.
12. Mecanismos de Rastreabilidade e Registro de Impacto
A WOOVI adota controles específicos para promover a rastreabilidade da informação, principalmente que busquem garantir a segurança das informações sensíveis.
Para as operações em dispositivos autorizados a realizar transações na plataforma da WOOVI, o controle e a gestão das informações sensíveis terão tratamento específico para assegurar a segurança e integridade das informações de identidade do dispositivo, preservando-se as diretrizes da Lei 13.709/2018, no que se aplicar.
A WOOVI deve realizar registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição, que devem abranger inclusive informações recebidas de Fornecedores.
13. Treinamentos e conscientização
A WOOVI preza por uma cultura integra de Segurança da Informação e Segurança Cibernética. Dessa forma, devem ser adotados políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, garantindo-se a capacitação e conscientização para todos os Administradores e Colaboradores.
A instituição promove a ampla divulgação desta Política a todos os seus Fornecedores e Parceiros, bem como ao público em geral, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, incluindo a prestação de informações aos usuários finais sobre medidas de precaução para a utilização dos produtos e serviços oferecidos.
Além disto, os Administradores têm o dever de difundir a cultura de Segurança da Informação e Segurança Cibernética para promover melhorias contínuas em seus processos internos, a fim de evitar quaisquer incidentes relacionado à Segurança da Informação e Segurança Cibernética.
14. Contratação de serviços de processamento e armazenamento de dados e computação em em nuvemdata center.
1. Seleção de terceiros
O processamento e armazenamento de dados e computação em nuvem será realizado por meio de terceiros localizados no Brasil ou no exterior. A contratação de terceiros deve ser realizada por meio da aferição da capacidade do prestador de serviço para realizar as atividades em cumprimento com a legislação e regulamentação aplicável. Desta forma, a WOOVI deve adotar procedimentos para verificação da capacidade do potencial prestador de serviço de forma a assegurar:
- O cumprimento da legislação e da regulamentação em vigor;
- O acesso da WOOVI aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
- A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
- A aderência do prestador de serviço a certificações exigidas pela WOOVI para a prestação do serviço a ser contratado;
- O acesso da WOOVI aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
- O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
- A identificação e a segregação dos dados dos usuários finais da WOOVI por meio de controles físicos ou lógicos;
- A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais da instituição.
Na avaliação da relevância do serviço a ser contratado, a WOOVI também deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado. Todos os procedimentos devem ser documentados.
Ademais, a WOOVI deve adotar recursos e medidas necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso dos recursos providos pelo potencial prestador de serviços.
2. Execução de aplicativos pela internet
No caso da execução de aplicativos por meio da internet, a WOOVI deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.
3. Serviços de computação em nuvem
Os serviços de computação em nuvem disponibilizados à WOOVI, sob demanda e de maneira virtual, deverão incluir um ou mais serviços conforme descritos abaixo:
- Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela WOOVI ou por ela adquiridos;
- Implantação ou execução de aplicativos desenvolvidos pela WOOVI, ou por ela adquiridos, utilizando recursos computacionais do Fornecedor;
- Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio Fornecedor.
A WOOVI é responsável, em conjunto com o Fornecedor contratado, pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pela WOOVI ao Bacen.
4. Contratação de serviços de computação em nuvem no exterior
Em caso de contratação de serviços de processamento, armazenamento de dados e de computação em nuvem no exterior, a instituição deverá observar os seguintes requisitos:
- Existência de convênio para troca de informações entre o Bacen e as autoridades supervisoras dos países onde os serviços serão prestados;
- Verificação de que a prestação dos serviços não causará prejuízos ao seu regular funcionamento nem embaraço à atuação do Bacen;
- Definição dos países e regiões em cada país em que os serviços serão prestados e os dados armazenados, processados e gerenciados. Essa definição deverá ocorrer antes da contratação dos serviços;
- Previsão de alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
Caso não haja convênio para troca de informações entre o Bacen e as autoridades supervisoras dos países em que os serviços serão prestados, a WOOVI solicitará autorização do Bacen para a contratação do serviço. O prazo para solicitar autorização é de 60 dias anteriores à contratação. Caso haja alterações contratuais que impliquem em modificação das informações, a WOOVI deverá solicitar autorização 60 dias antes da alteração contratual.
A instituição deve assegurar que a legislação e a regulamentação nos países em que os serviços serão prestados não restrinjam ou impeçam o acesso da WOOVI e do Bacen aos dados e às informações. A comprovação do atendimento aos requisitos e o cumprimento desta exigência deverão ser documentados.
5. Contrato de prestação de serviços
A WOOVI deve assegurar que os contratos de prestação de serviços de processamento, armazenamento de dados e de computação em nuvem prevejam:
-
A indicação dos países e da região em cada país em que os serviços serão prestados e os dados armazenados, processados e gerenciados;
-
A adoção de medidas de segurança para a transmissão e armazenamento dos dados;
-
A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais;
-
Em caso de extinção do contrato, a obrigatoriedade de transferência dos dados ao novo prestador de serviços ou à WOOVI, bem como a exclusão dos dados pela empresa contratada substituída, após a transferência dos dados e a confirmação da integridade e da disponibilidade dos dados recebidos.
-
O acesso da WOOVI às informações fornecidas pela empresa contratada, bem como as informações relativas às certificações e aos relatórios de auditoria especializada e informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
-
A obrigação da empresa contratada notificar a WOOVI sobre a subcontratação de serviços relevantes para a instituição;
-
A permissão de acesso do Bacen aos contratos e acordos firmados para a prestação de serviços, documentação e informações referentes aos serviços prestados, dados armazenados e informações sobre seus processamentos, cópias de segurança dos dados e das informações, bem como códigos de acesso aos dados e informações;
-
A adoção de medidas pela WOOVI, em decorrência de determinação do Bacen;
-
A obrigação de a empresa contratada manter a WOOVI permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
6. Comunicação ao Bacen
A comunicação ao Bacen, referente a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, deve conter as seguintes informações:
- O nome da empresa a ser contratada;
- Os serviços relevantes a serem contratados;
- No caso de contratação no exterior, indicação dos locais onde os serviços serão prestados e os dados armazenados, processados e gerenciados.
O prazo para comunicação é de 10 dias, contados a partir da contratação dos serviços. Caso haja alterações contratuais que impliquem em modificação das informações, a comunicação ao Bacen deverá ocorrer em 10 dias contados da alteração contratual, salvo na hipótese da contratação de serviços de computação em nuvem no exterior, que possui prazo específico.
15. Continuidade dos serviços de pagamento
No tocante à continuidade dos serviços de pagamento prestados, a WOOVI deve assegurar:
- O tratamento dos incidentes relevantes relacionados com o ambiente cibernético;
- Os procedimentos a serem seguidos no caso de interrupção de serviços de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da WOOVI;
- Os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados.
- O tratamento para mitigar os efeitos dos incidentes relevantes da interrupção dos serviços de processamento, armazenamento de dados e de computação em nuvem contratados;
- O prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos;
- A comunicação tempestiva ao Bacen das ocorrências de incidentes relevantes e das interrupções dos serviços, que configurem uma situação de crise pela instituição, bem como das providências para o reinício das suas atividades;
- Estabelecer e documentar os critérios que configurem a situação de crise.
A WOOVI deve instituir mecanismos de acompanhamento e de controle visando a assegurar a implementação e a efetividade desta Política, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Os mecanismos de acompanhamento e controle devem incluir a definição de processos, testes e trilhas de auditoria, bem como a definição de métricas e indicadores adequados e a identificação e a correção de eventuais deficiências.
16. Arquivamento de informações
A WOOVI deve armazenar em meio físico ou digital, pelo prazo de 5 anos, as seguintes informações:
- O documento relativo à política de Segurança Cibernética;
- A ata de reunião da Diretoria da WOOVI aprovando a Política e o plano de ação de resposta a incidentes;
- O documento relativo ao plano de ação e de resposta a incidentes;
- O relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
- A documentação sobre os procedimentos desta Política referentes à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem;
- A documentação no caso de serviços prestados no exterior;
- Os contratos de prestação de serviços;
- Os dados, os registros e as informações relativas aos mecanismos de acompanhamento e controle, a partir da implementação dos mecanismos mencionados.
4. DECLARAÇÃO DE RESPONSABILIDADE
E. DECLARAÇÃO DE RESPONSABILIDADE
Os Colaboradores da WOOVI, devem aderir formalmente por meio de um termo em que se comprometem a agir de acordo com esta Política.
Os contratos celebrados com Fornecedores pela WOOVI e que tratem de Ativos de informação referentes a esta Política devem possuir cláusula que assegure a segurança das informações.
5. DISPOSIÇÕES GERAIS
F. DISPOSIÇÕES GERAIS
Esta Política está acompanhada de um Termo de Adesão à Política de Segurança da Informação e Segurança Cibernética e Termo de Adesão às Alterações da Política de Segurança da Informação e Segurança Cibernética, que deverão ser assinados por todos os Colaboradores, Fornecedores e Parceiros, no que couber.
Esta Política está disponível em local acessível a todos Colaboradores, em linguagem clara e acessível. É possível acessá-la no site xxxxx
Ainda, esta Política será divulgada publicamente em uma versão resumida contendo as linhas gerais da Política de Segurança Cibernética.