Política de Segurança da Informação

1. Objetivo

Esta política destina-se a proteger a informação, qualquer que seja a forma como ela é recebida, armazenada, tratada, compartilhada ou descartada na Tecnobank e apoia a política corporativa da Tecnobank em todos os princípios da Gestão do Sistema de Segurança da Informação e Privacidade (SGSIP), visando o atingimento dos seguintes objetivos:

  • Identificar, compreender e tratar os riscos estratégicos e operacionais relativos à privacidade e segurança da informação de forma que sejam eliminados, mitigados ou aceitáveis, não comprometendo os requisitos aplicáveis (legislação) e nem a estratégia e imagem da organização.
  • Assegurar a confidencialidade e proteção das informações dos clientes, fornecedores, parceiros e colaboradores bem como dos planos estratégicos, de desenvolvimento de produtos e de marketing.
  • Manter a disponibilidade dos ativos de informação, garantir que estejam acessíveis quando necessários, minimizando interrupções, mantendo a operacionalidade contínua dos sistemas e dados
  • Garantir a integridade das informações armazenadas, processadas ou que transitam dentro e fora da organização, assegurando a disponibilidade de acesso aos sistemas e recursos internos ou dispostos na Internet para os clientes e parceiros, de acordo com o estabelecido em contratos, leis, portarias e regulatórios.
  • Manter o Certificado de Sistema de Gestão da Segurança da Informação (NBR ISO/IEC 27001:2022)

2. Abrangência

Possui abrangência corporativa e devem ser cumpridas em conjunto com as demais políticas da Tecnobank, por todas as áreas de negócio e colaboradores, incluindo, sem limitações, os sócios, diretores, administradores, empregados, bem como prestadores de serviços, fornecedores e parceiros que, no âmbito das suas relações com a Tecnobank, possam vir a ter acesso às áreas, equipamentos, informações, redes e aos arquivos e dados de propriedade da Tecnobank.

3. Considerações Gerais

Segurança da informação é a proteção da informação contra as ameaças, visando assegurar a continuidade dos negócios da Tecnobank, minimizando os riscos e garantir o retorno sobre os investimentos e oportunidades.

4. Princípios da Segurança da Informação

O Compromisso com o tratamento adequado das informações se baseia nos seguintes princípios:

  • Autenticidade: todos os esforços serão feitos para que as informações sejam confiáveis e corretas, ou seja, as informações não serão alteradas de forma não autorizada ou indevida;
  • Confidencialidade: o acesso a informação é permitido somente para pessoas autorizadas e quando ele for de fato necessário;
  • Disponibilidade: somente as pessoas autorizadas têm acesso à informação sempre que necessário;
  • Integridade: todos os esforços serão feitos para que as informações sejam exatas e completas bem como seu processamento;
  • Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.

5. Diretrizes da Segurança da Informação

Estabelecer as diretrizes e orientações necessárias para proteção dos ativos de informação em suas diversas formas, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes, visando preservar o valor e a integridade da organização bem como salvaguardar a confidencialidade, integridade e disponibilidade das informações da Tecnobank.

5.1 Diretrizes Gerais

A Tecnobank adota os princípios de segurança da informação, de forma a fomentar a implementação de seu sistema de gestão:

  • Conscientizar todos os colaboradores, fornecedores, prestadores e responsáveis pela segurança da informação de acordo com seus papéis de trabalhos.
  • Alocar os recursos necessários para financiar os controles de segurança da informação pertinentes aos processos operacionais e de gerenciamento de projetos.
  • Considerar que eventuais fraudes associadas ao mau uso de sistemas de informação serão levadas em conta no desenvolvimento e manutenção dos sistemas e da plataforma tecnológica.
  • Disponibilizar relatórios periódicos contendo a situação da segurança da informação.
  • Revisar e avaliar periodicamente os riscos de segurança da informação.
  • Monitorar riscos de segurança da informação e as ações que serão tomadas quando mudanças incorrerem em riscos que não sejam aceitáveis.
  • Visando atingir os objetivos estratégicos e operacionais da Tecnobank, a tomada de riscos poderá ser tolerada, desde que aceita pela direção e acionistas.
  • Não tolerará situação que coloque a Tecnobank em posição de violação da lei ou regulamentos.
  • Aplicar os esforços e recursos necessários para que a continuidade dos negócios seja atendida de acordo com as leis, portarias, regulamentos e contratos.
  • Promover auditorias que permitam identificar o grau de maturidade da área de Segurança da Informação e Privacidade do fornecedor/parceiro.
  • Executar as ações corretivas e preventivas, com base nos resultados das auditorias do SGSIP e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSIP.

6. Processo de Melhoria Contínua

A Tecnobank mantém um processo de melhoria contínua para o constante aperfeiçoamento e adequação do Sistema de Gestão da Segurança da Informação e Privacidade, de acordo com às necessidades de negócio e regulamentações aplicáveis.

O escopo do Sistema de Gestão da Segurança da Informação e Privacidade toda a documentação suporte são considerados no processo de melhoria contínua.

Os resultados das análises realizadas do Sistema de Gestão da Segurança da Informação e Privacidade, assim como não conformidades e oportunidades de melhorias identificadas constituem informações de entradas para o processo de melhoria contínua, no qual as ações corretivas ou melhorias controladas são realizadas.

Para as não conformidades e oportunidades de melhorias identificadas, são gerados os planos de ação pelo responsável, indicando as ações a serem realizadas, a descrição da causa raiz, a ação corretiva a ser realizada, a data de finalização da ação corretiva, bem como, as evidências das ações realizadas.

Essas ações são acompanhadas pela área de Privacidade e Segurança da Informação, de acordo com as informações recebidas do responsável que realiza a avaliação da eficácia das ações corretivas tomadas.

Os registros dos planos de ação são coordenados pela área de Privacidade e Segurança da Informação.

7. Resultados Esperados

Os resultados esperados como consequência desta política serão:

  • Incidentes de segurança da informação poderão ocorrer, porém deverão ser tratados apropriadamente e não incorrerão em custos relevantes e inesperados ou provocarão interrupção de serviços ou operações do negócio.
  • Eventuais perdas por fraudes serão conhecidas e tratadas antecipadamente através de regras rígidas no mapeamento de riscos, compliance e adequação ao SGSI.
  • Através do SGSI, a imagem institucional ou mercadológica da Tecnobank não será afetada negativamente perante os clientes de seus produtos e serviços.
  • O pleno atendimento dos requisitos de segurança da informação e continuidade de negócio estabelecidos nas leis, regulatórios, portarias e contratos pertinentes ao negócio da Tecnobank.

8. Responsabilidades dos Fornecedores e Parceiros de Negócio

  • Assegurar a confidencialidade, integridade e disponibilidade das informações da Tecnobank, mediante utilização de mecanismos de Segurança da Informação, balanceando fatores de risco, tecnologia e custo;
  • Garantir a proteção adequada das informações e dos sistemas contra acesso indevido, cópia, leitura, modificação, destruição e divulgação não autorizados;
  • Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela Tecnobank, estando sujeitos à monitoração, rastreabilidade e auditoria;
  • Assegurar a participação do quadro de pessoal nos programas de conscientização e treinamento em Segurança da Informação;
  • Assegurar a existência de processos para continuidade de negócios e gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra-ataques cibernéticos;
  • Informar aos colaboradores sobre as precauções de Segurança da Informação necessárias na utilização dos produtos da Tecnobank;
  • Incidentes de Segurança da Informação que envolvam os dados da Tecnobank devem ser avisado em até 72 horas após a descoberta;
  • Garantir o cumprimento desta Política, das normas e padrões corporativos de Segurança da Informação da Tecnobank.

9. Requisitos Mínimos de segurança para fornecedores/parceiros

  • Acesso a rede da Tecnobank somente com computadores protegidos por antivírus atualizado;
  • Todo acesso deve ser realizado por meio de VPN com duplo de fator de autenticação;
  • Proibido compartilhar o usuário de VPN;
  • Informar sempre que um colaborador que possuía acesso a nossa rede for desligado ou remanejado;
  • A educação em segurança da informação deve ser um processo contínuo e praticado regularmente a fim de reduzir riscos, todos os colaboradores do fornecedor que tenham acesso aos sistemas de informação da Tecnobank devem acessar, periodicamente e, minimamente de forma anual, um programa de conscientização em segurança e receber notificações periódicas sobre conscientização em segurança;

10. Avaliação das Violações de Segurança

A área de Privacidade e Segurança da Informação será responsável por auditar os controles adotados nessa política, bem como, o acompanhamento apropriado dos controles.

O cumprimento irrestrito dos itens desta Política é de responsabilidade de cada fornecedor/parceiro.

Qualquer violação desta Política será avaliada pela área de Privacidade e Segurança da Informação.

Caso seja identificado a violação será aplicada penalidades conforme a gravidade identificada.

11. Canais de Comunicação de Segurança da Informação da Tecnobank

Recebeu um e-mail suspeito e deseja enviá-lo para análise?
Encaminhe e-mail para: privacidade.seguranca@tecnobank.com.br

Suspeitas de incidentes de segurança da informação?
Encaminhe e-mail para: privacidade.seguranca@tecnobank.com.br

12. Vigência

A partir de 28/08/2023