Política de Segurança da Informação e Cibersegurança

1. OBJETIVO

Esta política tem como objetivo proteger a informação, independentemente de sua forma de recebimento, armazenamento, processamento, compartilhamento ou descarte na Tecnobank.

Ela reflete os princípios fundamentais do Sistema de Gestão de Segurança da Informação e Privacidade (SGSIP), garantindo a proteção da confidencialidade, integridade e disponibilidade das informações, conforme boas práticas reconhecidas e requisitos legais aplicáveis, com foco nos seguintes objetivos:

  • Manter o SGSIP em conformidade com as normas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27701:2019, assegurando sua eficácia por meio de melhoria contínua.
  • Identificar, compreender e tratar os riscos estratégicos e operacionais relacionados à Segurança da Informação, à Privacidade e à Proteção de Dados, de forma a eliminá-los, mitigá-los ou mantê-los em níveis aceitáveis, sem comprometer os requisitos legais aplicáveis, a estratégia ou a imagem institucional.
  • Assegurar a confidencialidade e a proteção das informações de clientes, fornecedores, parceiros e colaboradores, bem como dos planos estratégicos, de desenvolvimento de produtos e de marketing da organização.
  • Manter a disponibilidade dos ativos de informação, garantindo que estejam acessíveis sempre que necessário, minimizando interrupções e assegurando a continuidade das operações.
  • Garantir a integridade das informações armazenadas, processadas ou em trânsito dentro e fora da organização, assegurando o acesso adequado aos sistemas e recursos internos e externos, conforme contratos, leis, portarias e regulamentações aplicáveis.

2. ABRANGÊNCIA

A presente Política considera os requisitos regulatórios aplicáveis às atividades da Tecnobank, incluindo aqueles decorrentes da prestação de serviços a instituições financeiras reguladas e da atuação junto a órgãos reguladores de trânsito, adotando práticas compatíveis com padrões reconhecidos de governança e cibersegurança.

3. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

O compromisso com o tratamento adequado das informações baseia-se nos seguintes princípios.

  • Confidencialidade: o acesso à informação é permitido somente para pessoas autorizadas e quando ele for de fato necessário.
  • Integridade: garantir que as informações sejam exatas, completas e íntegras, bem como que seu processamento ocorra de forma correta e autorizada.
  • Disponibilidade: garantir que as informações e ativos estejam acessíveis e utilizáveis sob demanda por entidades autorizadas, minimizando interrupções e indisponibilidades não planejadas.
  • Autenticidade: a organização adota controles destinados a assegurar que as informações sejam confiáveis e não sofram alterações não autorizadas.
  • Não repúdio: garantia de que a autoria e a integridade de transações ou documentos possam ser comprovadas.

4. DIRETRIZES DA SEGURANÇA DA INFORMAÇÃO

As diretrizes a seguir norteiam a atuação dos colaboradores, fornecedores e prestadores de serviço da Tecnobank:

  • Proteger a confidencialidade, integridade e disponibilidade das informações acessadas ou tratadas em ambientes físicos e digitais.
  • Agir com ética, responsabilidade e transparência, cumprindo as legislações vigentes, contratos, políticas internas e normas aplicáveis.
  • Utilizar os recursos tecnológicos e informacionais da Tecnobank exclusivamente para fins profissionais e autorizados.
  • Respeitar a classificação da informação definida pela Tecnobank, aplicando os controles adequados conforme o nível de sensibilidade dos dados.
  • Proteger os ambientes de trabalho físicos e digitais, adotando controles apropriados, inclusive em atividades terceirizadas e com subcontratados.
  • Comunicar, de forma proativa e tempestiva, qualquer incidente, desvio ou violação relacionada à segurança da informação ou à privacidade.
  • Contribuir para uma cultura organizacional baseada em responsabilidade, por meio da participação em ações de conscientização, avaliação, auditoria e melhoria contínua.

5. DIRETRIZES APLICÁVEIS AOS FORNECEDORES

Os fornecedores e prestadores de serviço da Tecnobank que tenham acesso a informações, sistemas, infraestrutura tecnológica ou ambientes físicos da organização, quando aplicável, devem observar e cumprir as diretrizes a seguir, durante todo o ciclo da relação contratual.

5.1 Compromissos Legais e Contratuais

  • Cumprir todas as leis, normas regulatórias, contratos e políticas internas da Tecnobank relacionadas à Segurança da Informação, Privacidade e Proteção de Dados Pessoais, incluindo, mas não se limitando à LGPD e ao Marco Civil da Internet.
  • Garantir que eventuais subcontratados também estejam alinhados a estas exigências e cumpram todos os requisitos previstos nesta política.

5.2 Uso Adequado de Recursos

  • Utilizar os sistemas, dispositivos e recursos tecnológicos da Tecnobank exclusivamente para finalidades profissionais autorizadas.
  • Evitar qualquer uso indevido, não autorizado ou que represente risco à segurança das informações ou ao ambiente da organização.

5.3 Proteção da Informação

  • Proteger a confidencialidade, integridade, disponibilidade e resiliência das informações e sistemas acessados, tratados ou armazenados.
  • Classificar, tratar, armazenar, transmitir e descartar informações conforme seu nível de sensibilidade, seguindo a classificação de informação da Tecnobank.

5.4 Governança e Controles Internos

  • Possuir políticas internas de proteção de dados e segurança da informação formalizadas, aplicáveis e revisadas periodicamente.
  • Designar responsáveis formais pela gestão da segurança da informação e proteção de dados, mantendo uma estrutura clara de governança de dados.
  • Realizar gestão de riscos relacionada à segurança da informação e privacidade, adotando controles técnicos e organizacionais proporcionais ao risco.

5.5 Treinamento e Conscientização

  • Desenvolver, manter e demonstrar programas contínuos de capacitação e conscientização sobre proteção de dados e segurança da informação.
  • Participar, quando solicitado, de treinamentos e ações promovidas pela Tecnobank.

5.6 Resposta a Incidentes

  • Estabelecer e manter um plano de resposta a incidentes, prevendo ações para mitigação, comunicação e recuperação de eventos que afetem segurança ou privacidade.
  • Comunicar imediatamente à Tecnobank, por meio dos canais oficiais, qualquer incidente, desvio ou violação que envolva dados pessoais ou informações corporativas.

5.7 Cultura de Segurança e Privacidade

  • Contribuir ativamente para o fortalecimento da cultura organizacional de segurança e privacidade, por meio da participação em ações de melhoria contínua, gestão de riscos e conscientização promovidas pela Tecnobank.

5.8 Ciclo de Vida da Contratação

  • Adotar medidas de proteção às informações durante todas as fases da relação contratual: contratação, execução dos serviços, movimentações internas, entrega de produtos e distrato.
  • Garantir o encerramento adequado de acessos físicos e lógicos ao término do contrato ou em caso de mudança de escopo.

5.9 Requisitos para Avaliações de Conformidade

A Tecnobank reserva-se o direito de realizar auditorias ou avaliações periódicas de Segurança da Informação, Privacidade e Proteção de Dados junto aos fornecedores e prestadores de serviços. Nessas situações, os fornecedores deverão:

  • Responder, de forma completa e dentro dos prazos estabelecidos, aos questionários de segurança da informação e de privacidade e proteção de dados disponibilizados pela Tecnobank;
  • Apresentar evidências documentais que comprovem a conformidade com os requisitos estabelecidos pela organização;
  • Participar, quando solicitado, de entrevistas remotas ou visitas presenciais, para verificação técnica ou validação de informações;
  • Desenvolver e implementar planos de ação corretiva, com prazos previamente acordados com a área de Segurança da Informação ou Privacidade e Proteção de Dados da Tecnobank, nos casos em que forem identificadas não conformidades.

5.10 Requisitos Técnicos e Organizacionais

Os fornecedores e prestadores de serviços da Tecnobank, quando aplicável e de acordo com a natureza dos serviços prestados e o nível de risco envolvido, devem adotar controles técnicos e organizacionais compatíveis com boas práticas de mercado e com os requisitos legais aplicáveis, observando, no mínimo, os seguintes pilares:

Governança e Conformidade

  • Manter estrutura formal de governança de segurança da informação e proteção de dados, com definição clara de responsabilidades.
  • Possuir políticas e procedimentos documentados e periodicamente revisados.
  • Demonstrar conformidade com a legislação aplicável, especialmente normas de proteção de dados pessoais.
  • Submeter-se, quando aplicável, a avaliações, auditorias ou processos de due diligence conduzidos pela Tecnobank.
  • Adotar práticas de gestão de continuidade de negócios compatíveis com a criticidade dos serviços prestados.

Gestão de Acessos e Identidades

  • Implementar controles de acesso baseados no princípio do menor privilégio e na necessidade de conhecimento.
  • Garantir que acessos físicos e lógicos sejam concedidos, revisados e revogados de forma controlada e rastreável.
  • Adotar mecanismos adequados de autenticação e proteção de credenciais.
  • Monitorar acessos a sistemas e informações críticas, mantendo registros para fins de auditoria.

Proteção de Infraestrutura e Informações

  • Implementar controles destinados a proteger a confidencialidade, integridade e disponibilidade das informações.
  • Utilizar mecanismos adequados de proteção contra acessos não autorizados, incidentes cibernéticos e vazamentos de dados sigilosos e pessoais.
  • Proteger dados sigilosos e pessoais sensíveis por meio de técnicas apropriadas de criptografia e segregação de ambientes, quando aplicável.
  • Manter controles físicos e lógicos proporcionais ao risco associado às atividades desempenhadas.

Gestão de Vulnerabilidades, Incidentes e Continuidade

  • Adotar processo estruturado para identificação, avaliação e tratamento de vulnerabilidades.
  • Implementar medidas para correção tempestiva de falhas de segurança.
  • Manter plano de resposta a incidentes, incluindo comunicação à Tecnobank, quando aplicável.
  • Garantir mecanismos de backup e recuperação compatíveis com a criticidade das informações e serviços.
  • Realizar testes periódicos de continuidade e recuperação, quando aplicável.

6. CANAIS DE COMUNICAÇÃO

Suspeitou de um e-mail malicioso ou identificou qualquer comportamento anômalo que possa representar um risco à segurança da informação?

Encaminhe imediatamente um e-mail para: seguranca.informacao@tecnobank.com.br

7. DOCUMENTOS DE REFERÊNCIAS

  • Lei Geral de Proteção de Dados Pessoais
  • Marco Civil da Internet
  • Marco Legal das Garantias
  • Normas ISO/IEC 27001:2022
  • Normas ISO/IEC 27701:2019
  • Política de Medidas Disciplinares
  • Política Nacional de Cibersegurança
  • Política Nacional de Segurança da Informação
  • Resolução Contran 1016
  • Resolução Contran 807

8. GESTÃO DO DOCUMENTO

8.1 Revisão

Este documento passará por revisões anuais.

Revisões adicionais podem ser realizadas sob demanda, caso haja mudanças significativas nas circunstâncias, nos requisitos regulatórios ou nas práticas recomendadas de segurança da informação e privacidade.

8.2 Vigência

A partir de 24/04/2026

Classificação: Uso Público

Versão 09 | Vigência: a partir de 24/04/2026