Política de Segurança da Informação

1. Objetivo

Esta política tem como objetivo proteger a informação, independentemente de sua forma de recebimento, armazenamento, processamento, compartilhamento ou descarte na TECNOBANK. Ela reflete os princípios fundamentais da Gestão do Sistema de Segurança da Informação e Privacidade (SGSIP), garantindo a confidencialidade, integridade e disponibilidade dos dados em todos os momentos, com foco no alcance dos seguintes objetivos

  • Manter o Sistema de Gestão de Segurança da Informação e Privacidade (SGSIP) em conformidade com as normas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27701:2019, assegurando sua eficácia por meio de melhoria.contínua;
  • Identificar, compreender e tratar os riscos estratégicos e operacionais relacionados à Segurança da Informação, à Privacidade e à Proteção de Dados, de forma a eliminá-los, mitigá-los ou mantê-los em níveis aceitáveis, sem comprometer os requisitos legais aplicáveis, a estratégia ou a imagem institucional;
  • Assegurar a confidencialidade e a proteção das informações de clientes, fornecedores, parceiros e colaboradores, bem como dos planos estratégicos, de desenvolvimento de produtos e de marketing da organização;
  • Manter a disponibilidade dos ativos de informação, garantindo que estejam acessíveis sempre que necessário, minimizando interrupções e assegurando a continuidade das operações;
  • Garantir a integridade das informações armazenadas, processadas ou em trânsito dentro e fora da organização, assegurando o acesso adequado aos sistemas e recursos internos e externos, conforme contratos, leis, portarias e regulamentações aplicáveis.

2. Princípios da segurança da informação

O Compromisso com o tratamento adequado das informações se baseia nos seguintes princípios:

  • Confidencialidade: o acesso à informação é permitido somente para pessoas autorizadas e quando ele for de fato necessário;
  • Integridade: todos os esforços serão feitos para que as informações sejam exatas e completas bem como seu processamento;
  • Disponibilidade: somente as pessoas autorizadas têm acesso à informação sempre que necessário;
  • Autenticidade: todos os esforços serão feitos para que as informações sejam confiáveis e corretas, ou seja, as informações não serão alteradas de forma não autorizada ou indevida;
  • Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.

3. Diretrizes da segurança da informação

As diretrizes a seguir norteiam a atuação dos colaboradores, fornecedores e prestadores de serviço da TECNOBANK em relação à segurança da informação:

  • Proteger a confidencialidade, integridade e disponibilidade das informações acessadas ou tratadas em ambientes físicos e digitais.
  • Agir com ética, responsabilidade e transparência, cumprindo as legislações vigentes, contratos, políticas internas e normas aplicáveis.
  • Utilizar os recursos tecnológicos e informacionais da TECNOBANK exclusivamente para fins profissionais e autorizados.
  • Respeitar a classificação da informação definida pela TECNOBANK, aplicando os controles adequados conforme o nível de sensibilidade dos dados.
  • Proteger os ambientes de trabalho físicos e digitais, adotando controles apropriados, inclusive em atividades terceirizadas e com subcontratados.
  • Comunicar, de forma proativa e tempestiva, qualquer incidente, desvio ou violação relacionada à segurança da informação ou à privacidade de dados.
  • Contribuir para uma cultura organizacional baseada em responsabilidade, por meio da participação em ações de conscientização, avaliação, auditoria e melhoria contínua.

4. Requisitos da segurança da informação

Os fornecedores e prestadores de serviços com acesso a informações, sistemas ou infraestrutura da TECNOBANK devem:

  • Assegurar que compreendam e cumpram suas responsabilidades quanto à proteção de informações e ativos.
  • Cumprir as leis, normas, regulamentações e cláusulas contratuais relacionadas à segurança da informação.
  • Garantir o uso exclusivo de dispositivos e sistemas da TECNOBANK para fins profissionais autorizados.
  • Classificar, tratar, armazenar e descartar informações de acordo com seu nível de sensibilidade e criticidade.
  • Proteger as informações da TECNOBANK durante todo o ciclo de vida da relação contratual (admissão, movimentações e desligamento).
  • Responder a auditorias e avaliações de conformidade conduzidas pela TECNOBANK.
  • Reportar imediatamente qualquer risco, incidente ou descumprimento relacionado à segurança da informação ou às normas da organização.
4.1. Requisitos Técnicos e Organizacionais

Os fornecedores e prestadores de serviços, quando aplicável, devem adotar controles compatíveis com os seguintes requisitos técnicos e organizacionais:

  • Manter política formal e atualizada de segurança da informação, aprovada pela alta gestão.
  • Submeter-se a auditorias internas ou externas de segurança, quando demandado.
  • Demonstrar maturidade através de certificações reconhecidas em segurança da informação (ex: ISO 27001, ISO 27701, SOC 2), quando aplicável.
  • Manter plano de continuidade de negócios (PCN) e plano de recuperação de desastres testados, revisados e com SLAs definidos.
  • Manter política de backup com rotinas periódicas e testes documentados de restauração.
  • Assegurar que subcontratados e parceiros mantenham o mesmo nível de segurança exigido pela TECNOBANK.
  • Garantir a revogação de acessos e a devolução dos ativos ao término da relação contratual.
  • Implantar gestão de acessos baseada no princípio do menor privilégio.
  • Conceder, revisar e revogar acessos de forma controlada, documentada e rastreável.
  • Monitorar e registrar acessos privilegiados e críticos, garantindo sua auditoria.
  • Aplicar autenticação multifator (MFA) e exigir senhas fortes com política de renovação periódica.
  • Utilizar credenciais individuais e intransferíveis para acesso a sistemas, redes e ambientes.
  • Criptografar dados confidenciais em repouso e em trânsito, utilizando algoritmos robustos (como AES-256), conforme viabilidade técnica.
  • Proteger os ativos com criptografia, soluções antimalware, políticas de bloqueio automático e controle de mídias removíveis.
  • Implementar perímetros de segurança para áreas de armazenamento e processamento de dados.
  • Configurar e manter firewalls, IDS/IPS, controle de navegação, soluções DLP, MDM e NAC, conforme aplicável.
  • Gerenciar acessos físicos e lógicos, prevenindo acessos não autorizados, perda ou furto de dados.
  • Adotar práticas de desenvolvimento seguro ao longo do ciclo de vida de software (SDLC).
  • Segregar os ambientes de produção, desenvolvimento e testes, aplicando controles específicos em cada ambiente.
  • Estabelecer processo formal de gestão de mudanças, incluindo aprovação, testes, rollback e registro de alterações.
  • Realizar testes automatizados de segurança nas aplicações (SAST e DAST), integrados à esteira de desenvolvimento.
  • Implementar ferramentas de varredura automatizada em infraestrutura (vulnerability scanners), com execução periódica e gestão de correções.
  • Executar testes de intrusão (pentests) manuais em aplicações e ambientes de infraestrutura, conduzidos por profissionais qualificados.
  • Avaliar e mitigar vulnerabilidades identificadas com base na criticidade e dentro de prazos definidos.
4.2. Requisitos para Avaliações de Conformidade

A TECNOBANK poderá realizar auditorias ou avaliações periódicas de segurança da informação junto aos fornecedores e prestadores de serviços. Nestes casos, os envolvidos devem estar preparados para:

  • Responder ao questionário de segurança da informação fornecido pela TECNOBANK;
  • Disponibilizar evidências documentais que comprovem a conformidade com os requisitos exigidos;
  • Participar de entrevistas remotas ou receber visitas presenciais, conforme aplicável;
  • Elaborar e implementar planos de ação corretiva com prazos acordados com a área de Segurança da Informação da TECNOBANK, em caso de identificação de não conformidades.

O questionário encontra-se localizado em nosso espaço da plataforma SharePoint, no documento para a Avaliação da Plataforma/Solução do Fornecedor, e pode ser obtido por meio do seguinte link:

https://tecnobank.sharepoint.com/:x:/s/FormsDueDiligence/EeXPhWatu_NGtIAD7y8DLOEBFopJXuPyn6gShrmG8tSq3g?e=TX32x6

5. Canais de comunicação

Suspeitou de um e-mail malicioso ou identificou qualquer comportamento anômalo que possa representar um risco à segurança da informação?

Encaminhe imediatamente um e-mail para: seguranca.informacao@tecnobank.com.br

6. Documentos de referências

  • Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
  • Normas ISO/IEC 27001
  • Normas ISO/IEC 27701
  • Requisitos contratuais e regulatórios aplicáveis

7. Disposições gerais

  • Este documento passará por revisões a cada um ano
  • Revisões adicionais podem ser realizadas sob demanda, caso haja mudanças significativas nas circunstâncias, nos requisitos regulatórios ou nas práticas recomendadas de segurança da informação.
  • O descumprimento das disposições aqui descritas pode resultar em sanções contratuais.

8. Vigência

A partir de 24/04/2025