LINHAS GERAIS DA POLÍTICA DE SEGURANÇA CIBERNÉTICA
INTRODUÇÃO
Na Inovanti, oferecemos soluções de pagamento para nossos Clientes, na abertura de contas de pagamento, gestão das contas e dos recursos financeiros, e pagamentos recorrentes.
E como nosso negócio é pautado em tecnologia, temos o objetivo de implementar e manter a nossa Política de Segurança da Cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade, a autenticidade e a disponibilidade dos dados e dos sistemas de informação utilizados. Bem como a privacidade dos dados de nossos clientes, colaboradores, fornecedores e prestadores de serviços.
Aqui nós divulgamos as linhas gerais da Política de Segurança Cibernética da instituição, que definem os critérios e diretrizes para preservar e proteger as informações contra ameaças e riscos relacionados à segurança da informação e cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade a incidentes, e dispõe sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
ASPECTOS GERAIS
Nós da Inovanti temos o compromisso de garantir a segurança e o tratamento adequado das informações. Para tanto, nossas atividades se baseiam nos princípios de segurança da informação, de:
- Autenticidade: garantia de identificar e autenticar usuários, entidades, sistemas ou processos com acesso à informação;
- Confidencialidade: garantia de que somente pessoas autorizadas terão
acessos às informações e apenas quando houver necessidade; - Disponibilidade: garantia de que a informação estará disponível às
pessoas autorizadas sempre que for necessário; - Integridade: garantia de que as informações permanecerão exatas e
completas e não serão modificadas indevidamente.
PROCEDIMENTOS E CONTROLES ADOTADOS
Através dessa Política, adotamos procedimentos e controles que buscam
reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de Segurança Cibernética, partindo sempre do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética, tais como:
- Autenticação, a criptografia, a prevenção e a detecção de intrusão, a
prevenção de vazamento de informações, a realização periódica de testes
e varreduras para detecção de vulnerabilidades, a proteção contra
softwares maliciosos, o estabelecimento de mecanismos de
rastreabilidade, os controles de acesso e de segmentação da rede de
computadores e a manutenção de cópias de segurança dos dados e das
informações; - Procedimentos e controles que são adotados pela Inovanti, serão
aplicados, inclusive, no desenvolvimento de sistemas de informação
seguros e na adoção de novas tecnologias empregadas nas atividades da
instituição; - Controles específicos, incluindo os voltados para a rastreabilidade da
informação, garantam, no melhor nível possível, a segurança das
informações sensíveis; - Plano de ação e de resposta a incidentes, bem como o registro, a análise
da causa e o impacto, e o controle dos efeitos de incidentes relevantes para
as atividades da Inovanti; - Diretrizes para a elaboração de cenários de incidentes considerados nos
testes de continuidade dos serviços de pagamento prestados; - Definição de procedimentos e controles voltados à prevenção e ao
tratamento dos incidentes que devem ser adotados pelos prestadores
serviços e terceiros que manuseiem dados ou informações sensíveis ou
que sejam relevantes para a condução das atividades operacionais da
Inovanti; - Classificação dos dados e as informações quanto à relevância;
- Definição dos parâmetros a serem utilizados na avaliação da relevância
dos incidentes; - Assegurar os mecanismos para disseminação da cultura de segurança
cibernética, incluindo: (i) a implementação de programas de capacitação
e de avaliação periódica de pessoal; e, a prestação de informações a
usuários finais sobre precauções na utilização de produtos e serviços
oferecidos; - Estimular iniciativas para compartilhamento de informações sobre
incidentes relevantes, com Instituições de Pagamento, instituições
financeiras e demais instituições autorizadas a funcionar pelo Banco
Central do Brasil; - Manter o registro, análise da causa e do impacto, bem como o controle dos
efeitos de incidentes de informações recebidas de empresas prestadoras
de serviços a terceiros; e, - Contemplar procedimentos e controles em níveis de complexidade,
abrangência e precisão compatíveis com os utilizados pela Inovanti.
A Política de Segurança Cibernética e o Plano de Ação e de Resposta a
Incidentes serão revisados minimamente uma vez por ano.
PROCEDIMENTOS PARA CONTRATAÇÃO DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM
A Inovanti, procura assegurar que todas as diretrizes, estratégias e estruturas
quanto a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior, estejam alinhadas com sua Política e procedimentos.
Para isso, adotamos procedimentos que contemplam:
- As boas práticas de governança corporativa e de gestão proporcionais à
relevância do serviço a ser contratado, no País ou no exterior, e respectivos
riscos a que estejamos expostos; - Validamos a capacidade de nossos prestadores de serviços de assegurar:
o cumprimento da legislação e da regulamentação em vigor; o acesso da
Inovanti aos dados e às informações a serem processados ou
armazenados; a confidencialidade, a integridade, a disponibilidade e a
recuperação dos dados e das informações processados ou armazenados;
a aderência de nossos prestadores quanto a certificações exigidas para a
prestação do serviço a ser contratado; o acesso aos relatórios elaborados
relativos aos procedimentos e aos controles utilizados na prestação dos
serviços; a identificação e a segregação dos dados dos clientes da Inovanti
por meio de controles físicos ou lógicos; e a qualidade dos controles de
acesso voltados à proteção dos dados e das informações de nossos
Clientes.
