Menu

Política de Segurança Cibernética

1. INTRODUÇÃO

A informação é um dos pilares de ativos de maior importância no mundo dos negócios e é vital no conhecimento
dos segmentos bem como na montagem de estratégias e tomadas de decisões. As informações devem ser
adequadamente recebidas, tratadas, armazenadas e protegidas. A facilidade de mapeamento e montagem de
estratégias utilizando as informações armazenadas veem com o crescimento do índice de ameaças internas e
externas.
A Política de Segurança Cibernética concentra esforços para a garantir a segurança no recebimento das
informações (inputs), a segurança na garantia de qualidade das informações (tratamentos), segurança no
armazenamento e a proteção dos dados, disponibilidade e monitoramentos do ambiente virtualizado.
As crescentes ameaças cibernéticas bem como a integração entre plataformas e o alto nível de dependência das
organizações sobre sistemas de informação fazem com que a segurança da informação e segurança cibernética
sejam alvo constante de atenção, dedicação, evolução e monitoramento. Isto faz com que a proteção dos sistemas
e das informações interna e externa sejam priorizadas.

2. OBJETIVO

O objetivo da Política de Segurança da Informação e Segurança Cibernética é definir procedimentos, controles,
mapeamentos, diretrizes, disseminação de conhecimento, planos de ação e relatórios que a Hinova Pay Instituição
de Pagamentos S.A estabelece para proteção da informação e tratamento dos riscos e ameaças relacionadas à
Segurança da Informação e Segurança Cibernética, com base na Resolução n° 85 de 08 de Abril de 2021 do Banco
Central do Brasil.

3. CONCEITOS

3.1 Capacidades da Instituição

Capacidade de prevenir, detectar, reduzir, responder e recuperar rapidamente de uma ameaça cibernética com intuito de proteger a confidencialidade/sigilo, integridade e disponibilidade das informações.


3.2 Incidentes

Eventos que saem da sua normalidade e podem gerar instabilidade ou inoperância das operações.


3.3 Diretrizes contratação de terceiros

Estabelece critérios e testes necessários, controles voltados a terceiros, analise e classificação de incidentes e análise e classificação de dados voltados para contratação de serviços relevantes para processamento e armazenamento de dados.
A análise e classificação de incidentes irá englobar a relevância, determinando a complexidade e abrangência do possível incidente determinando o nível de impacto.
A análise e classificação de dados irá englobar relevância, determinando a complexidade e abrangência dos dados transitados em ambiente virtual.

3.3.1 Governança corporativa

Ter documentado e implantado a governança sobre os processos e práticas realizadas nos serviços prestados de acordo com o segmento com intuito de realizar os devidos controles necessários para avaliação, direcionamento e monitoramento.

3.3.2 Cumprimento da legislação

Estar em conformidade com a legislação vigente de acordo com o segmento cumprindo assim as exigências aplicadas em cada área de atuação.

3.3.3 Acesso aos dados

Permitir e proporcionar acesso da instituição contratante aos dados armazenados e processados com intuito de realizar analises, monitoramentos e gerenciamento das informações custodiadas pela contratada.

3.3.4 Provimento de informações

Prover recursos e ferramentas que permitam a contratante ter acesso a informações com intuito de realizar a análises, monitoramentos e gerenciamento das informações custodiadas pela contratada.

3.3.5 Relatórios auditados

Disponibilizar a contratante relatórios realizados por auditorias independentes contratada pela prestadora do serviço sobre os controles utilizados no processamento e armazenamento de dados.

3.3.6 Certificações e certificados

Estar aderente as devidas certificações e certificados exigidos pela entidade supervisora de acordo com o segmento.

3.3.7 Capacidade técnica

Apresentar e garantir capacidade técnica na execução dos fluxos e processos das operações.

3.3.8 Confidencialidade

Garantir que as informações sejam de conhecimento a um grupo restrito e autorizado de pessoas.

3.3.9 Integridade

Garantir que as informações sejam fidedignas, sem modificações acidentais ou propositais.

3.3.10 Disponibilidade

Garantir que as informações e operações estejam disponíveis às pessoas autorizadas.

3.3.11 Segmentação de rede

Visa separação virtual e física do ambiente com objetivo de controlar acessos e operações somente apessoas autorizadas bem como separação entre os ambientes de desenvolvimento, homologação e produção das operações.

3.3.12 Colaboradores

Abrange todo quadro de pessoas envolvidas sejam elas funcionários, estagiários, diretores e prestadores
de serviço.

3.3.13 Vazamento de informações

Deve-se estabelecer e prevenir o vazamento de informações bem como a prevenção contra fraude
(quando cabível).

3.3.14 Qualidade dos controles de proteção dos dados

Deve garantir a qualidade no armazenamento e processamentos dos dados dos usuários finais visando e garantindo integridade, confidencialidade e disponibilidade.

4. ABRANGÊNCIA

A abrangência em que tange sobre políticas e disseminação de cultura aplica-se aos colaboradores descritos nos conceitos deste documento.
As abrangências sobre informações de clientes são designadas apenas aos colaboradores específicos do nível de compliance que fazem parte do quadro de colaboradores.
A abrangência em relação à infra-estrutura tecnológica é de competência apenas do diretor de tecnologia e líder de projeto que fazem parte do quadro de colaboradores.
As abrangências sobre possíveis incidentes são designadas apenas ao diretor de tecnologia, líder de projeto e ao órgão supervisor com anexo de “registro, causa e análise de impacto”.

5. DIVULGAÇÃO e COMUNICAÇÃO

Esta política deve ser disseminada a todos envolvidos interna ou externamente realizando atualizações quando ocorridas juntamente com treinamentos/capacitações periódicas.
Manter a segurança dos manuais técnicos restringindo os acessos de acordo com as competências com objetivo de resguardar os fluxos e processos.

6. RESPONSABILIDADES

Responsável por definir as políticas, procedimentos e processos, controle, confidencialidade, integridade, disponibilidade do ambiente virtual, relatórios e escalonamentos minimizando vulnerabilidades e incidentes que podem gerar instabilidade ou inoperância.

  • Diretor de TI: Responsável por desenvolver a política de segurança cibernética juntamente com a equipe
    de compliance e equipe de TI, revisar, monitorar a aplicação, aderência e desenvolver relatórios para o
    órgão regulador.
  • Equipe de TI: Responsável por implantar e aplicar a políticas de segurança tanto no desenvolvimento das aplicações quanto na estrutura virtual e física.
  • Diretor de Compliance: Auxilia no desenvolvimento e aplicabilidade da política de segurança cibernética bem como detecção e reporte de incidentes.
  • Demais Colaboradores: Responsáveis por cumprir as determinações desta política e prezar pela
    segurança do ambiente físico e tecnológico

7. PROCEDIMENTOS E CONTROLES

Processos que irão prevenir os riscos de incidentes visando integridade, confidencialidade, disponibilidade.

  • Autenticação;
  • Controles de acesso;
  • Criptografia;
  • Prevenção a vazamento de
  • informações;
  • Detecção de intrusão;
  • Proteção contra softwares maliciosos;
  • Fraude;
  • Testes periódico;
  • Segmentação de rede;
  • Backups;
  • Monitoramento de ambiente;

8. CLASSIFICAÇÃO DE DADOS E INFORMAÇÕES

A classificação de dados e informações determina o nível de relevância tanto de infra-estrutura quando de
dados trafegados e armazenadas. A tabela de classificação descreve o TIPO, DESCRIÇÃO, CLASSIFICAÇÃO DE
SIGILO E RELEVÂNCIA. As classificações são determinadas como S0 até S5 sendo o S0 altamente sigilosa e S5
como baixo sigilo. Esta classificação auxilia na tomada de decisão em caso de incidentes para ações de
contenção. A tabela de classificação está descrita no documento “Gestão-Incidentes-Segurança-CibernéticaHinovaPay”.

9. VIOLAÇÕES

Esta política de segurança cibernética possui aderência da diretoria da Hinova Pay e deve ser seguida por todos envolvidos nas operações bem como tomada de decisões.
Toda e qualquer violação deve ser comunicada inicialmente ao responsável direto e o mesmo deve reportar a equipe responsável de acordo com sua qualificação.
As violações possuem abrangência a todos os colaboradores descritos nos conceitos deste documento e serão analisadas, determinada as medidas cabíveis, e sujeitas a ações disciplinares. Em se tratando de prestadores de serviço, será iniciada busca de outros prestadores/fornecedores e subsequentemente o encerramento do contrato e notificação ao órgão regulador.

10. VIGÊNCIA

O presente documento entra em vigor no momento da sua assinatura e será analisado e revisado anualmente e atualizado caso haja necessidade.