Aviso de Privacidade &
Política de Segurança da Informação
AVISO DE PRIVACIDADE
A CashU Fintech de Antecipação de Recebíveis Ltda. (“CashU” ou “nós”), inscrita no CNPJ sob nº 35.444.423/0001-85, com sede na Avenida Jabaquara, 2229, 13º andar, Mirandópolis, São Paulo/SP, CEP 04045-003, está comprometida com a conscientização de todos os titulares de dados (“Titular” ou “você”), a saber, (a) os usuários que acessam o site http://www.cashu.com.br – “Site”, (b) os representantes de seus clientes (“Clientes CashU”), (c) os colaboradores dos Clientes CashU, e (d) os envolvidos na análise de crédito solicitada pelos Clientes CashU (i.e., Titulares relacionados aos clientes finais dos Clientes CashU, tais como os tomadores de crédito e sócios das empresas que tomam crédito dos Clientes CashU, pessoas relacionadas a esses sócios – participantes de cadeias societárias e parentes até 3º grau -, e protestadores; em conjunto, denominados “Envolvidos”), em relação aos dados pessoais coletados, utilizados, armazenados ou de outra forma tratados pela CashU.
Por isso, apresentamos nosso Aviso de Privacidade (“Aviso de Privacidade”), que tem por objetivo fornecer informações claras e precisas aos Titulares acerca do tratamento de dados pessoais realizado pela CashU. Para mais informações, entre em contato com nosso encarregado (“Encarregado”) pelo e-mail [email protected].
1. Definições
Neste Aviso de Privacidade serão utilizados os seguintes termos:
● Controlador(a): quem toma as decisões referentes ao tratamento de seus dados pessoais. Neste caso, a CashU é a controladora de seus dados pessoais;
● Titular: pessoa natural a quem se referem os dados pessoais tratados (“Titular” ou “você”);
● LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e disposições a serem especificadas, atualizadas, alteradas ou substituídas periodicamente pela Autoridade Nacional de Proteção de Dados (“ANPD”) ou outro órgão aplicável;
● Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou
identificável (“Titular” ou “você”);
● Tratamento: toda operação feita com Dados Pessoais, tais como coleta, produção, recebimento, classificação, uso, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle.
2. Quais Dados Pessoais são tratados pela CashU?
Nos limites permitidos pela legislação aplicável, a CashU poderá tratar Dados Pessoais dos Titulares, incluindo, mas não se limitando, aos exemplos a seguir:
(i) Dados Pessoais de Clientes CashU:
• Dados de identificação e contato dos representantes dos Clientes CashU, como nome e sobrenome, endereço, endereço de e-mail, número de telefone.
(ii) Dados Pessoais de Colaboradores dos Clientes CashU:
• Dados de identificação e contato, como endereço de e-mail.
(iii) Dados Pessoais dos Envolvidos:
• Informações de identificação, qualificação e contato, como prenome e sobrenome, nome dos pais, endereço, endereço de e-mail, número de telefone, dados de documento de identificação (CPF);
• Informações sobre pessoas e sociedades relacionadas, como dados de participantes de cadeias societárias e parentes até 3º grau;
• Informações profissionais, como dados sobre a empresa que integra sociedade tomadora de crédito (informações de marcado – score e limite de crédito -, faturamento e dívidas), e cargo que ocupa;
• Dados financeiros, como nota fiscal, protestos, informações fiscais e informações de terceiros, conforme necessário para se construir um histórico de transações, pagamento e crédito;
• Dados pessoais constantes de notas fiscais;
• Outros dados financeiros relacionados ao Envolvido, tais como dados do SCR do Banco Central do Brasil, certificado digital (dados fiscais) e dados de open banking, coletados mediante consentimento do Envolvido.
(iv) Dados Pessoais Relacionados aos Usuários do Site:
• Informações de navegação, incluindo sobre a sua visita ao Site, tais como endereço do protocolo de Internet (IP) e dados de tráfego.
• Quando você entra em contato com a CashU, nos envia e-mails ou mensagens através dos nossos canais de comunicação ou redes sociais, podemos reter suas informações (tais como nome de usuário, informações enviadas por mensagem, foto de perfil e qualquer outro dado pessoal enviado por Você ou disponível publicamente na rede) a fim de processar suas perguntas, responder suas solicitações, melhorar nossos serviços e/ou enviar e-mails promocionais.
• Quando você enviar seu nome, e-mail e nome da empresa, dentre outros dados, pela sessão “Fale Conosco” do Site, podendo a CashU retornar o contato com você para fornecer informações de seu interesse, como informações detalhadas sobre os serviços prestados pela CashU e.
A CashU poderá coletar os dados acima (i) diretamente com os Titulares, (ii) com o Cliente CashU ou terceiro relacionado ao Titular (por exemplo, a sociedade a qual você integra), (iii) a partir de fontes publicamente acessíveis (como, por exemplo, da Receita Federal), (iv) com bureaus de crédito, ou (v) a partir do tráfego do Site ou enviados por você à CashU através dos canais de contato do Site ou por redes sociais.
Independentemente da origem do dado, o tratamento será regido por este Aviso de Privacidade. No caso de dúvidas, entre em contato conosco através do e-mail [email protected].
3. Para quais finalidades coletamos e tratamos seus Dados Pessoais?
A CashU trata Dados Pessoais para fins de proteção ao crédito, especialmente para a prestação de serviços de análise e proteção ao crédito. A CashU ainda poderá tratar seus Dados Pessoais conforme os seus interesses legítimos na administração e gestão de seus serviços, ou conforme os interesses legítimos dos Clientes CashU.
Tendo em vista o compromisso da CashU com uma gestão transparente, destaca-se abaixo as principais finalidades para utilização de seus Dados Pessoais, sem prejuízo de outras que sejam pertinentes e estejam em conformidade com a legislação aplicável:
• Cadastrar os representantes dos Clientes CashU, para acesso completo aos serviços da CashU e faturamento;
• Possibilitar o acesso do colaborador do Cliente CashU à plataforma da CashU;
• Desenvolver scores de crédito e recomendações de limite de crédito dos clientes de Clientes CashU;
• Melhorar o limite de crédito recomendável aos clientes de Clientes CashU;
• Monitorar a utilização da plataforma CashU, a fim de solucionar problemas de software, verificar a proteção da CashU contra erros, fraudes ou qualquer outro crime eletrônico;
• Legítimo interesse da CashU, dos Titulares, ou dos Clientes CashU;
• Manter a nossa relação com você por meio do envio de comunicações (i) administrativas e institucionais, (ii) promocionais, e (iii) sobre questões de privacidade.
Análise de Crédito
Para fins de prestação de serviços de análise de crédito, a CashU desenvolve indicadores, scores e recomendações de limite de crédito a partir de Dados Pessoais dos Envolvidos. Todos os dados tratados pela CashU são, em regra, processados e transformados em indicadores. Tais indicadores subsidiam a criação do score de crédito e a recomendação de
limite de crédito que será entregue ao Cliente CashU, bem como a indicação de grupos de variáveis que impactam positivamente ou negativamente o score, por exemplo:
• Situação na Receita Federal;
• Renegociação (existência de renegociação interna com o fornecedor);
• Pendências Internas (existência de títulos não pagos);
• Protestos (existência de protestos abertos);
• Cheques (existência de cheque em aberto);
• Associação (existência de pendência de título com empresas do grupo).
A criação do score e análise desses indicadores é conduzida por meio de decisões automatizadas.
Decisões Automatizadas
A CashU poderá tomar decisões automatizadas ao longo do processo de tratamento dos seus Dados Pessoais para oferecimento dos serviços, especialmente, mas não se limitando, para a criação do score e análise desses indicadores, para fins de análise de crédito. Decisões automatizadas significam decisões tomadas exclusivamente com base no tratamento automatizado dos seus Dados Pessoais. Isto significa um tratamento que usa, por exemplo, código informático ou um algoritmo que não necessita de intervenção humana. A decisão final sobre a concessão e forma de gestão de crédito dos Clientes CashU pertence exclusivamente aos Clientes CashU.
4. Com quem compartilhamos seus Dados Pessoais?
A CashU poderá compartilhar seus Dados Pessoais com terceiros ou parceiros de negócios que sejam relevantes para a boa prestação dos serviços pela CashU.
A CashU ainda poderá compartilhar seus Dados Pessoais com terceiros (incluindo órgãos governamentais), a fim de responder a investigações, medidas judiciais, processos judiciais ou investigar, impedir ou adotar medidas acerca de atividades ilegais, suspeita de fraude ou situações que envolvam ameaças em potencial à segurança física de qualquer pessoa ou se de outra maneira exigido pela legislação.
Referido compartilhamento ocorre com base nos seguintes critérios:
• Clientes CashU, para fins de proteção ao crédito, por meio do compartilhamento de
scores, indicadores e recomendações de limite de crédito de seus clientes;
• Bureaus de crédito, para viabilizar a análise de crédito pela CashU;
• Provedores de softwares e outras tecnologias da informação para fins armazenamento de dados e demais funcionalidades administrativas necessárias para o funcionamento da CashU;
• Prestadores de serviços de e-mail, para podermos executar nossos serviços e nos comunicarmos com você;
• Serviços de web analytics para identificarmos os seus padrões de navegação no nosso site e, assim, oferecermos uma experiência melhor a você;
• Órgãos reguladores e demais autoridades, incluindo a Autoridade Nacional de Proteção de Dados (“ANPD”);
• Empresas do grupo da CashU, conforme aplicável.
5. Transferências de Dados Pessoais para fora do Brasil
A CashU poderá transferir alguns de seus Dados Pessoais a prestadores de serviços localizados no exterior, incluindo prestadores de serviços em nuvem e bureaus de crédito.
Quando seus Dados Pessoais forem transferidos para fora do Brasil pela CashU, a CashU adotará medidas apropriadas para garantir a proteção adequada de seus Dados Pessoais em conformidade com os requisitos da legislação aplicável de proteção de dados.
6. Por quanto tempo iremos reter seus Dados Pessoais?
Armazenamos e mantemos seus dados: (i) pelo tempo exigido por lei – durante os prazos prescricionais aplicáveis ou enquanto necessário para cumprimento de obrigação legal ou regulatória -; (ii) até o término do tratamento de Dados Pessoais, conforme mencionado abaixo; ou (iii) pelo tempo necessário a preservar o legítimo interesse da CashU.
O término do tratamento de Dados Pessoais ocorrerá nos seguintes casos:
• Quando a finalidade pela qual os Dados Pessoais do Titular foram coletados for alcançada e/ou os Dados Pessoais coletados deixarem de ser necessários ou pertinentes ao alcance de tal finalidade;
• Quando o Titular estiver em seu direito de solicitar o término do tratamento e a exclusão de seus Dados Pessoais e o fizer; e
• Quando houver uma determinação legal neste sentido.
Nos casos de término de tratamento dos Dados Pessoais, ressalvadas as hipóteses estabelecidas pela legislação aplicável ou pelo presente Aviso de Privacidade, os Dados Pessoais serão eliminados. Dados Pessoais anonimizados, sem possibilidade de associação ao Usuário, poderão ser mantidos por período indefinido.
Caso aplicável, você poderá solicitar a exclusão de seus dados a qualquer momento, enviando um e-mail para [email protected].
7. Seus direitos em relação aos Dados Pessoais
Você terá determinados direitos em relação aos seus Dados Pessoais, conforme previstos em lei. Tais direitos incluem, mas não se limitam a:
• Receber informações claras e completas sobre o tratamento de seus Dados Pessoais, incluindo sobre as hipóteses de compartilhamento de Dados Pessoais;
• Solicitar o acesso a seus Dados Pessoais e/ou a confirmação da existência de tratamento de dados;
• Solicitar que retifiquemos quaisquer Dados Pessoais imprecisos, incompletos e desatualizados;
• Se opor às atividades de tratamento, solicitar a anonimização e eliminação de Dados Pessoais, desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• Solicitar a portabilidade de seus Dados Pessoais;
• Revogar o consentimento a qualquer momento, quando a CashU tratar seus Dados Pessoais com base no consentimento, exceto nas hipóteses de conservação de Dados Pessoais previstas na LGPD;
• Solicitar a revisão de decisões automatizadas que possam afetar seus interesses.
Você poderá exercer tais direitos mediante contato com o Encarregado pelo e-mail [email protected].
A CashU se reserva o direito de negar ou cobrar uma taxa pelos pedidos manifestamente infundados ou excessivos, por exemplo, em decorrência de seu caráter repetitivo, desde que não haja vedação pela lei aplicável.
8. Cookies e Tecnologias de Rastreamento
A CashU poderá utilizar cookies e tecnologias similares, como pixels e tags, em seu Site, que podem coletar dados de forma automática para finalidades específicas, incluindo, mas não se limitando a:
• Identificação das páginas e dos conteúdos acessados quando você trafega no nosso Site, se é o seu primeiro acesso ao Site, dentre outras informações, de forma exclusivamente estatística. Isso nos ajuda a melhorar nossos serviços, oferecendo uma experiência melhor para todos.
• Facilitação no preenchimento de login de acesso às plataformas da CashU.
A CashU se reserva o direito de alterar a qualquer tempo seu Aviso de Privacidade referente à forma de utilização dos cookies ou tecnologias similares de rastreamento.
9. Segurança e Armazenamento
A CashU utiliza medidas técnicas e organizacionais apropriadas para proteger seus Dados Pessoais contra tratamento desautorizado ou ilegal e contra perda acidental, destruição ou danos. Seus Dados Pessoais são armazenados de maneira segura em equipamentos protegidos. Apenas um número limitado de pessoas terá acesso a tais equipamentos e apenas indivíduos com motivos legítimos terão acesso a seus Dados Pessoais.
10. Alterações a este Aviso de Privacidade
A CashU reserva-se o direito de alterar este Aviso de Privacidade a qualquer momento, mediante publicação da versão atualizada no endereço http://www.cashu.com.br.
11. Dúvidas
Em caso de quaisquer dúvidas sobre este aviso, favor entrar em contato com nosso Encarregado, através do e-mail [email protected].
Última Alteração: Dezembro de 2022.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
1. DESCRIÇÃO
Esta política (“Política de Segurança da Informação”) aplica-se a todos sócios, diretores, profissionais, estagiários, aprendizes, parceiros de negócio e prestadores de serviços da CashU Fintech de Antecipação de Recebíveis Ltda. (“CashU”).
A segurança da informação é melhorada a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e tecnologia. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e constantemente melhorados, para garantir que os objetivos do negócio e de segurança específicos da CashU sejam devidamente atendidos, nas áreas comercial e de atendimento ao cliente, recursos humanos, tecnologia da informação, logística, financeira, controladoria, importação, beneficiamento e/ou outras.
A gestão da segurança da informação necessita da participação e envolvimento de todos os profissionais da CashU. A Política de Segurança da Informação consiste em um conjunto de definições e procedimentos que explicam como proteger os ativos da CashU.
2. JUSTIFICATIVA
A Segurança da Informação é a proteção da informação contra vários tipos de ameaças para garantir a continuidade das operações, minimizar riscos aos quais a CashU está exposta, evitar danos inesperados e garantir o retorno sobre os investimentos realizados na CashU.
A informação pode existir em muitas formas: impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em conteúdo audiovisual ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, a informação deve ser tratada de forma adequada, levando-se em consideração todos os aspectos de Segurança da Informação e o valor que essa informação possui para a CashU.
Assim, esta Política de Segurança da Informação tem como objetivo:
● Estabelecer diretrizes que possibilitem aos profissionais da CashU seguirem padrões de comportamento desejáveis e aceitáveis de acordo com a legalidade e boas práticas mundiais de Segurança da Informação, a fim de mitigar riscos;
● Orientar a definição de procedimentos e a implementação de controles e processos de atendimento da equipe de Tecnologia/Segurança da Informação;
● Resguardar a CashU quanto à confidencialidade, integridade e disponibilidade das informações;
● Assegurar a segurança das redes e dos sistemas de informação, independentemente da sua localização, em função da conectividade existente;
● Acompanhar, apoiar e monitorizar as medidas de proteção, detecção, resposta e recuperação dos recursos críticos;
● Gestão e monitorização das medidas de Segurança da Informação;
● Desenvolvimento de planos e ações de comunicação para os riscos de Cibersegurança;
● Fomentar a gestão segura dos ativos de hardware, software e redes e comunicações;
● Direcionar a implementação de controles e processos internos para atendimento dos requisitos para Segurança da Informação; e
● Mitigar os riscos de perdas financeiras de clientes e parceiros, de participação no mercado ou de qualquer outro impacto negativo ao negócio, que seja resultado de uma falha de segurança.
3. DIVULGAÇÃO
A Política de Segurança da Informação deve ser de conhecimento de todos os profissionais, temporários, menores aprendizes, estagiários, sócios, diretores, prestadores de serviços e clientes e pode ser distribuída da seguinte forma:
● Impressa;
● Campanhas de Segurança da Informação; e
● Digital.
A Política de Segurança da Informação deve estar disponível em local de acesso para todos e protegida contra alterações. Estes devem aderir a Política de Segurança da Informação, comprometendo-se a agir de acordo com as informações aqui descritas.
4. TERMOS E DEFINIÇÕES
Ativo: Bens da CashU que tem valor econômico, incluída a informação e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.
Confidencialidade: Garantir que a informação não seja revelada ou esteja disponível para indivíduos, entidades e processos não autorizados.
Disponibilidade: Garantir que a informação esteja sempre acessível e disponível quando necessário.
Incidente de segurança da informação: Um evento isolado, ou uma série de eventos relacionados à segurança da informação que são indesejados ou inesperados e incluem, mas não se limitam a acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito da informação, e que podem comprometer as operações de negócios, ameaçando a segurança da informação.
Informação: Todo e qualquer conteúdo ou dado que tenha valor para a organização ou para seus profissionais. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Integridade: Garantir a salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
Recursos de TI: Inclui qualquer equipamento de telecomunicações, computação e/ou sistemas ou subsistemas interconectados, utilizados na aquisição, armazenamento, manipulação, processamento, gestão, movimentação, eliminação, controle, exibição, troca, intercâmbio, transmissão, transferência ou recebimento de voz, dados e/ou informações. A definição em questão é intencionalmente ampla, incluindo qualquer dispositivo, software ou serviço conectado a dispositivo ou rede pertencente à CashU.
Segurança da Informação: Preservação do sigilo, a integridade e disponibilidade de informações.
5. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI)
O Sistema de Gestão de Segurança da Informação (SGSI) consiste nas políticas, procedimentos, diretrizes, recursos e atividades, com o objetivo de proteger os ativos de informação. Um SGSI é uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação da CashU para alcançar os objetivos de negócios.
6. PRINCÍPIOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A informação da CashU, por ela produzida ou recebida deverá ser utilizada em benefício exclusivo do negócio, com senso de responsabilidade, de modo ético e seguro, baseado nos seguintes princípios:
● Confidencialidade: Assegurar que o acesso à informação seja obtido somente por pessoas autorizadas e quando for de fato necessário;
● Integridade: Assegurar a exatidão e completude da informação e dos métodos de seu processamento, bem como da transparência no tratamento com os públicos envolvidos; e
● Disponibilidade: Assegurar que somente pessoas autorizadas tenham acesso à informação sempre que necessário.
7. DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
7.1. REGRAS GERAIS
● As informações da CashU e dos seus clientes são sigilosas e devem tradadas de forma ética de acordo com as políticas internas, evitando-se mau uso e exposição indevida;
● A informação deve ser utilizada apenas para a finalidade para a qual foi coletada;
● Durante todo ciclo de vida de um processo, deve-se garantir a segregação de funções, por meio da participação de mais de um profissional;
● O acesso às informações e Recursos de TI só deve ser realizado mediante a autorização;
● A liberação de acessos deve obedecer ao critério no qual os usuários têm acesso somente aos recursos de informação indispensáveis para o desempenhar suas atividades;
● A senha é utilizada como assinatura eletrônica e deve ser mantida em sigilo absoluto, e não deve ser compartilhada;
● As responsabilidades quanto à Segurança da Informação devem ser sempre comunicadas aos profissionais, que devem compreender e garantir estas diretrizes; e
● Quaisquer relações com prestadores de serviços devem existir com base em contratos das atividades correspondentes e termos de confidencialidade de informações.
7.2. ACESSO
7.2.1. Controle de Acesso
Os acessos devem ser concedidos aos profissionais, incluindo prestadores de serviço e parceiros de negócio, conforme necessário para o exercício de suas funções.
Qualquer solicitação de acesso, independentemente do nível de criticidade do sistema, deve ser devidamente documentada e não deve ser executada antes de passar pela aprovação do gestor e equipe de Tecnologia/Segurança da Informação.
A comunicação durante o processo de solicitação, aprovação e comunicação de concessão de acesso deve ser realizada através de chamados ou e-mails. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o profissional, para que sejam responsabilizados por suas ações.
7.2.2. Criação de perfil
Após a contratação de novos profissionais, o departamento de recursos humanos deve abrir uma solicitação de acesso junto à equipe de Tecnologia/Segurança da Informação para que os acessos necessários sejam criados e concedidos.
7.2.3. Procedimento Seguro de Entrada no Sistema
O sistema que realiza o procedimento de entrada deve atender os requisitos abaixo:
● Exija a utilização de senhas fortes;
● Force a mudança de senha em intervalos regulares;
● Não permita a reutilização de senhas anteriores;
● Permita que o usuário modifique sua senha no momento que achar necessário;
● Desconecte o usuário por inatividade e limite um tempo máximo de permanência no sistema;
● Não mostre a senha que está sendo digitada;
● Bloqueie os usuários depois de 5 (cinco) tentativas erradas de autenticação;
Armazene logs para auditoria informando data e hora de entrada e saída do sistema, detalhes de insucessos na autenticação, etc.
7.2.4. Gerenciamento de Senha
Todos os profissionais da CashU devem seguir as boas práticas de senhas visando assegurar a confidencialidade das informações e Recursos de TI. A responsabilidade de manter os modos de autenticação secreta é dos profissionais, que devem levar em consideração os itens abaixo listados:
● As senhas devem conter, no mínimo, 6 dígitos;
● [As senhas devem preencher os quatro quesitos de segurança abaixo: o Letras maiúsculas;
o Letras maiúsculas;
o Números; e
o Caracteres especiais.]
A senha é pessoal e intransferível. Portanto, seu compartilhamento não é permitido.
Os profissionais não devem permitir que outro profissional ou qualquer terceiro utilize o seu usuário (login) e senha. Por isso, depois que terminar o uso de um Recurso de TI, os profissionais devem bloqueá-lo ou desligá-lo, de modo a impedir que outro profissional e/ou terceiro o utilizem de modo indevido. Os profissionais não devem, de qualquer modo, deixar os Recursos de TI da CashU desassistidos em local onde não haja razoável garantia de segurança.
Se houver suspeita de qualquer comprometimento do sigilo ou suspeita de qualquer acesso aos sistemas de tecnologia por terceiros, o profissional deverá informar tal fato imediatamente à equipe de Tecnologia/Segurança da Informação e, sem seguida, alterar a sua senha previamente utilizada.
7.2.5. Restrição de acesso à Informação
Todas as credenciais de acesso aos sistemas de informação devem ser segregadas e concedidas a usuários individuais.
Os privilégios são concedidos considerando os critérios de que cada grupo tem acesso (perfis) somente às informações necessárias para desempenhar suas funções.
7.2.6. Revisão e Revogação de Acesso
Devido à necessidade de se manter um controle adequado dos acessos utilizados na CashU, a revisão e revogação de acessos devem ser realizadas a cada 6 (seis) meses, a fim de garantir que todos os usuários só tenham acesso permitido para o desempenho de suas funções.
O processo de revisão de acesso deve gerar registros e os mesmos devem ser devidamente armazenados.
7.3. SEGURANÇA NAS REDES
7.3.1. Gerenciamento de Segurança em Redes
As redes de computadores que suportam os serviços da CashU devem ser gerenciadas e controladas de modo a atender a necessidade e o nível de proteção das informações trafegadas. Os controles implementados devem garantir a proteção à segurança da informação e os serviços a esta rede conectada.
7.3.2. Controles de Redes
A gestão da segurança de redes deve assegurar o controle das configurações dos Recursos de TI, bem como a proteção dos serviços a estas conectadas. Os seguintes controles devem ser levados em consideração:
● Definir de modo segregado as responsabilidades operacionais pelas redes e pelos recursos computacionais;
● Estabelecer controles para a proteção da confidencialidade e integridade dos dados que trafegam sobre redes sem fio (wireless), além de proteger os sistemas e as aplicações a estas conectadas. Adicionalmente, controles especiais podem ser requeridos para manter a disponibilidade dos serviços e dispositivos conectados;
● Gerenciar os serviços e assegurar que os controles estão sendo aplicados de forma consistente sobre toda a infraestrutura de processamento da informação;
● Mecanismos apropriados de registros e monitoração devem ser habilitados, visando à detecção de ações que possam afetar e/ou ser relevantes para a segurança da informação;
● Assegurar que os sistemas conectados à rede da CashU sejam autenticados;
● As atividades de monitoramento devem ser coordenadas de modo a otimizar os serviços e assegurar que os controles sejam aplicados de forma consistente sobre toda a infraestrutura.
7.4. TRANSFERÊNCIA DE INFORMAÇÃO
A Segurança da Informação deve ser mantida e gerenciada para todas as informações trafegadas nas redes internas da CashU e com o meio externo. Não é permitido o acesso não autorizado, duplicação, armazenagem, manipulação, divulgação, transferência, uso ou liberação não aprovada de informações confidenciais.
Informações exclusivas da CashU não podem ser transmitidas, de qualquer modo, por meio da internet ou por dispositivos móveis e mídias removíveis sem a devida proteção contra a divulgação ou modificação por meio de tecnologia de segurança que seja autorizada pela CashU.
Os acordos de transferência de informação devem considerar os seguintes controles:
● Os procedimentos devem ser estabelecidos para proteger a informação transferida contra interceptação, cópia, modificação, desvio e destruição; e
● Os controles e restrições de acessos.
A equipe de Tecnologia/Segurança da Informação definirá procedimento de segurança para transferir documentos eletrônicos de forma segura. Os serviços de transferência de informações devem estar de acordo com os requisitos legais pertinentes e procedimentos estabelecidos pela equipe de Tecnologia/Segurança da Informação.
É proibido o uso de serviços de repositório de arquivos, como Dropbox, One Drive, Google Drive e iCloud, para armazenamento dos documentos da CashU.
Em caso de transferência de informações via mídias removíveis e mediante a classificação das informações será necessária adoção de medidas de segurança, por exemplo: Criptografia em pendrives, arquivos com senhas, etc.
7.4.1. Mensagens Eletrônicas (E-mail)
As informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas, sendo que os critérios de segurança necessários para a utilização do correio eletrônico devem seguir:
● O serviço de correio tem como finalidade o envio e o recebimento eletrônico de mensagens e documentos relacionados com as funções institucionais da CashU;
● É permitido o envio de mensagens relativas aos negócios da CashU para usuários interno ou para pessoas/organizações em endereços externos, desde que estes tenham relacionamento com esta;
● É permitido o uso do correio eletrônico para propósitos pessoais incidentais desde que sejam em um nível mínimo, que não prejudiquem o desempenho dos recursos da organização, que não interfiram no desempenho das suas atividades profissionais e não violem essa Política de Segurança da Informação;
● Os Recursos de TI, softwares e equipamentos da CashU não devem ser utilizados para finalidades pessoais. Exceções devem ser aprovadas pela equipe de Tecnologia/Segurança da Informação;
● Não é permitido originar ou encaminhar mensagens ou imagens que:
o Possuam informação pornográfica, obscena ou imprópria para um ambiente profissional; o Menosprezem, depreciem ou incitem ao preconceito a determinadas classes, como sexo, raça, orientação sexual, idade, religião, política, nacionalidade ou deficiência física;
o Contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza; o Possam prejudicar a imagem de outras companhias;
o Não possam reproduzir qualquer material recebido pelo correio eletrônico ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão por escrito do criador do trabalho; o Contenham assuntos de negócios que não os da CashU; o Contenham correntes; e o Divulguem informação confidencial sem prévia autorização.
● Não é permitido o uso de e-mail pessoal nos dispositivos da CashU. Exceções devem ser aprovadas pela equipe de Tecnologia/Segurança da Informação.
● Não é permitido o uso de e-mails baseados na web para enviar ou receber e-mails; e
● Não é permitido o uso de e-mails pessoais para envio e recebimento de informações, arquivos, documentos da CashU;
Quando houver necessidade do envio de informações sensíveis ou confidenciais por e-mail, o usuário tem que tomar providências para garantir a segurança desta informação. Os usuários são proibidos de configurar a respectiva conta de e-mail para ser redirecionado para destinos externos.
A equipe de Tecnologia/Segurança da Informação se reserva ao direito de auditar o sistema de e-mail da CashU para mantê-lo em conformidade com essa política.
7.4.2. Uso de redes sociais e outros espaços virtuais públicos
Os profissionais devem evitar o uso de redes sociais durante o expediente de trabalho. O uso das redes sociais para fins pessoais é autorizado desde que realizado de forma limitada e incidental. O uso de redes sociais de forma excessiva, de modo a desviar a atenção do profissional de suas tarefas, contrário aos interesses da CashU ou que de qualquer forma comprometa o desempenho das atividades da CashU ou contrário a essa Política de Segurança da Informação não é permitido.
Os profissionais que participarem de redes sociais devem sempre agir com responsabilidade, de modo a não consubstanciar assuntos profissionais com pessoais.
Os profissionais não devem realizar publicações em redes sociais de imagens internas da CashU, tampouco informações sigilosas, corporativas ou qualquer outro assunto que seja do interesse da CashU, cuja divulgação possa causar quaisquer prejuízos ou colocar em risco sua imagem e/ou reputação.
Somente os profissionais que estão devidamente autorizados pela CashU podem se manifestar em redes sociais em nome da CashU, divulgando imagens ou informações a este respeito.
7.4.3. Acordos de Confidencialidade e Não Divulgação
Para os acordos de confidencialidade e não divulgação, devem ser considerados os requisitos para a proteção das informações confidenciais da CashU.
Vale ressaltar que os elementos sejam selecionados e/ou acrescentados considerando, o tipo de acesso permitido para os acordos de confidencialidade ou de não divulgação, conforme os critérios abaixo:
● Definir quais informações devem ser protegidas;
● Tempo de duração esperado de um acordo, incluindo situações em que a confidencialidade tenha que ser mantida indefinidamente;
● Ações requeridas quando um acordo está encerrado;
● Responsabilidades e ações dos signatários para evitar a divulgação não autorizada das informações.
● Uso permitido da informação confidencial e os direitos do contratado para usar a informação;
● Direito de auditar e monitorar as atividades que envolvam informações confidenciais, conforme aplicável;
● Processo para notificação e relato de divulgação não autorizada e/ou violação das informações confidenciais;
● Termos para que a informação seja devolvida e/ou destruída mediante a suspensão ou finalização do acordo; e
● Ações esperadas a serem tomadas no caso da violação deste acordo.
O acordo de confidencialidade e não divulgação deve estar alinhado com todas as leis e regulamentações aplicáveis.
7.5. RELACIONAMENTO COM FORNECEDORES
A CashU deve gerenciar os acordos com fornecedores (empresas prestadoras de serviços), visando à manutenção e o cumprimento dos controles definidos nesta política.
Os riscos de segurança relativos aos fornecedores e parceiros devem ser identificados durante o processo de avaliação do risco. Durante a avaliação do risco, deve ser tomado cuidado especial para identificar os riscos relativos à tecnologia da informação e comunicação.
O coordenador da equipe de Tecnologia/Segurança da Informação é responsável por decidir se é necessário avaliar os riscos relativos aos fornecedores ou parceiros individualmente.
7.5.1. Seleção de Serviços
Antes de iniciar uma análise de contratação de serviço é fundamental analisar se internamente a CashU não dispõe de pessoas e recursos capacitados e com tempo de disponibilidade para conduzir os trabalhos de implantação.
7.5.2. Identificação de Riscos
A análise de risco deve ser realizada e registrada no documento de “Análise de Risco de Fornecedores” pela equipe de Tecnologia/Segurança da Informação mediante a necessidade de acesso de fornecedores aos recursos de processamento do escopo deste SGSI.
Para concessão de acesso a fornecedores, que por razões de negócio necessitam acessar os recursos de processamento da informação que fazem parte do escopo deste SGSI, devem ser identificados os riscos e implantados os controles necessários.
Alguns controles são necessários para identificação dos riscos, tais como:
● Os requisitos necessários para a execução do serviço e/ ou projeto;
● Identificação do tipo de fornecedor e quais informações este precisa ter acesso (informação classificada, dados de caráter pessoal, etc.);
● A existência de prévia certificação ou indicativos de qualidade;
● Os funcionários da empresa prestadora de serviço: caso subcontratados, como estes são identificados;
● Os controles de segurança implantados pela empresa prestadora de serviço, considerando as certificações de segurança que possa ter;
● Os requisitos legais e obrigações contratuais;
● Identificar os tipos de acessos necessários:
o Físico (escritórios, áreas dos recursos de processamento de informação, etc.); o Lógico (aplicações, bancos de dados, sistemas operacionais, etc.);
o Rede (acesso remoto, conexões permanentes entre escritórios, etc.), caso a informação a qual se tem acesso estiver na empresa ou fora dela (nas instalações dos fornecedores); o Definir controles a serem adotados para redução dos riscos encontrados.
7.5.3. Monitoramento e Análise de Serviços com Fornecedores Críticos
Os serviços prestados por fornecedores críticos para a operação da CashU devem ser monitorados e anualmente analisados e registrados, a fim de garantir que os termos e condições estabelecidas em contratos sejam cumpridos e que os incidentes e problemas de segurança da informação encontrados sejam devidamente tratados.
O relacionamento entre a CashU e o fornecedor deve ser realizado por um membro da equipe designado para realizar a gestão dos contratos.
Esta atividade contempla, mas não se limita aos processos descritos a seguir:
● Monitoramento de desempenho em relação ao que foi previamente acordado;
● Análise crítica de relatórios enviados pelos fornecedores a fim de identificar que os mesmos correspondem à realidade;
● Realizar auditoria nos fornecedores com o intuito de validar se as premissas de segurança da informação e de capacidade estabelecidas em contrato são aplicadas devidamente;
● A auditoria nos fornecedores deve contemplar também os fornecedores dos próprios fornecedores, que estejam envolvidos direta ou indiretamente com a entrega do serviço contratado;
● Análise dos registros (logs) gerados pelo fornecedor, bem como os incidentes e problemas relatados no período, identificando os seus respectivos tratamentos; e
● Análise de a capacidade do fornecedor manter o fornecimento do serviço mesmo em caso de um desastre ou falha afetar os serviços prestados.
Os resultados das avaliações deverão ser enviados a equipe de Tecnologia/Segurança da Informação para que sejam acompanhados e apresentados em reuniões para análise crítica. A CashU deve manter controle suficiente e visibilidade em todos os aspectos de segurança para as informações sensíveis/críticas, ou para os Recursos de TI acessados, processados e/ou gerenciados por fornecedores.
7.5.4. Acordos e Contrato com Fornecedores
Todos os acordos com fornecedores que tenham acesso ao recurso de processamento de informação da CashU devem estar amparados por contratos de prestação de serviços. Os prazos de validade dos contratos serão monitorados e as renovações ocorrerão com antecedência razoável.
Os acordos podem variar consideravelmente para os diferentes tipos de prestação de serviços. O gestor responsável pela contratação do fornecedor deve analisar a necessidade das cláusulas especificas para o determinado tipo de prestação de serviços.
Para as cláusulas contratuais, devem ser considerados no mínimo os seguintes controles:
● Cumprimento da Política de Segurança da Informação da CashU;
● Relatórios de acompanhamento do nível de serviço, assim como as penalizações que estão sujeitas, em caso de não cumprimento do acordo;
● Direito de auditar e monitorar o cumprimento dos requisitos e controles de segurança do acordo, indicando as bases nas quais deve ser realizada a auditoria e monitoração;
● Detalhamento das informações às quais o fornecedor terá acesso e o meio de acesso, bem como sua classificação;
● Definição do uso aceitável da informação, incluindo explicitamente o uso inaceitável;
● Proibir o acesso a recursos de processamento de informações não previamente autorizadas;
● Condições de renegociação ou encerramento de acordos;
● Requisitos regulatórios e legais, incluindo direitos de propriedade intelectual e direitos autorais, visando à proteção de qualquer trabalho colaborativo;
● Matriz de responsabilidades entre a empresa e o prestador de serviços, incluindo as penalidades em caso de descumprimento do estabelecido;
● Detalhamento dos controles que o fornecedor deverá aplicar para garantir a segurança das informações que serão passadas e a disponibilidade do serviço, como por exemplo, controle de acesso, relatório de desempenho, etc.;
● Lista em que estão descritas explicitamente todos os contatos autorizados a terem acesso a informações e/ou realizarem algum tipo de solicitação;
● Indicadores de nível de serviço e parâmetros aceitáveis;
● Processo de escalonamento na resolução de problemas;
● Informe periódico da relação de prestadores de serviços autorizados ativos;
● Um plano de contingência deve ser elaborado caso uma das partes deseje encerrar a relação antes do final do acordo;
● Políticas de segurança da informação as quais o fornecedor terá de cumprir; caso seja necessário, especificar em contratos as premissas que o fornecedor deve considerar ao realizar contratação de pessoal; e
● Estabelecimento do processo para caso de incidentes e problemas.
7.5.5. Política de Segurança da Informação e Acordo de Confidencialidade
Na relação com fornecedores e empresas contratadas, estas devem receber e assinar o termo de aceite da Política de Segurança da Informação e assinar um acordo de confidencialidade.
Os parceiros (funcionários da empresa contratada) devem assinar um termo de confidencialidade.
Os acordos de confidencialidades observarão o disposto no item 7.4.3 acima.
7.5.6. Conscientização, Educação e Formação em Segurança da Informação
As campanhas corporativas de conscientização, educação e formação em segurança da informação devem ser realizadas para que os fornecedores reconheçam a importância dos aspectos da segurança da informação para os processos de negócio da CashU.
7.5.7. Gerenciamento de Mudanças para Serviços com Fornecedores
As mudanças nos serviços prestados devem ser gerenciadas pelos responsáveis contratantes, considerando a criticidade dos sistemas e os processos de negócio envolvidos durante as atividades.
Os acordos de prestação de serviço e o termo de confidencialidade devem ser analisados criticamente anualmente ou em casos de alteração de escopo que influenciem os requisitos de Segurança da Informação.
Os seguintes aspectos de mudança devem ser levados em consideração:
● Mudanças nos acordos com o fornecedor;
● Mudanças realizadas pela CashU, visando à melhoria dos serviços, incorporação de novas aplicações/ sistemas, implementação de controles visando à redução de riscos ligados a incidente de Segurança da Informação;
● Mudanças realizadas pelos fornecedores, visando à melhoria dos serviços, utilização de novas tecnologias, adoção de novos produtos, etc.
Uma nova avaliação de riscos deve ser realizada mediante uma mudança ou alteração do escopo dos serviços prestados, de acordo com o item 7.5.3 desta Política de Segurança da Informação.
7.5.8. Encerramentos das Atividades
Todos os direitos de acesso às informações e/ou Recursos de TI devem ser revogados após o encerramento das atividades prestados pelos fornecedores.
No encerramento das atividades dos fornecedores, o responsável pelo mesmo deve acompanhar e garantir a aplicação dos seguintes controles:
● Conclusão sem ressalvas dos trâmites de segurança da informação definidos em contrato com o prestador de serviço; e
● Solicitar e validar a revogação de todos os acessos que foram concedidos ao fornecedor.
7.6. SEGURANÇA NAS OPERAÇÕES
7.6.1. Responsabilidades e Procedimentos Operacionais
Os procedimentos e responsabilidades pela gestão e operação de todos os Recursos de TI devem ser definidos e desenvolvidos de maneira apropriada. Além disso, estes devem ser formalizados, implementados, publicados e disponibilizados a todos os profissionais que necessitem destes.
Estes procedimentos operacionais devem indicar as etapas necessárias para as atividades associadas às necessidades, tais como: aquisição, desenvolvimento e manutenção. Adicionalmente, os procedimentos operacionais devem especificar as instruções para a execução detalhada de cada atividade, quando relevante:
● Execução de Back-up e Restore;
● Requisitos de agendamento, incluindo interdependências com outros sistemas, com horário para início e término de tarefas;
● Instruções para tratamento de erros ou outras condições excepcionais que possam ocorrer durante a execução de uma tarefa, incluindo restrições de uso dos utilitários do sistema;
● Informações para contatos de suporte, caso ocorra eventos operacionais inesperados ou dificuldades técnicas;
● Procedimento para o reinício e recuperação, em caso de falha dos Recursos de TI; e
● Gerenciamento de trilhas de auditoria e informações de registros (log) dos Recursos de TI.
Os processos de mudança nos recursos de processamento da informação que suportam os serviços da CashU devem ser controlados.
7.6.2. Proteção Contra Malware e Software Malicioso
Todos os profissionais devem ser conscientizados dos perigos dos códigos maliciosos, tais como: vírus, worms, cavalos de Tróia, ransomware e entre outros. Além disso, os gestores de tecnologia devem implementar controles, quando apropriado, nos Recursos de TI para prevenir, detectar, remover e gerenciar os riscos associados a este tipo de ameaça.
Para um maior controle dos códigos maliciosos, devem ser monitorados todos os tipos de entradas utilizadas por estes, tais como rede, e-mail, web, CDs, DVDs, dispositivos USB, etc.
A CashU deve dispor de software para detecção de códigos maliciosos, com o intuito de mitigar a entrada destes. Além disso, é necessária a utilização de configuração e atualização apropriada dos recursos disponíveis neste software, que deverão ser atualizadas em período definido pela equipe de Tecnologia/Segurança da Informação.
Adicionalmente, quando possível, é recomendada a utilização, no ambiente de processamento de informação, de dois ou mais tipos de software de controle contra códigos maliciosos, de diferentes fornecedores, a fim de garantir maior eficácia e eficiência na proteção contra a ação de códigos maliciosos.
7.6.3. Cópias de Segurança
Deve haver recursos e processos de backup adequados que garantam que todos os dados e Recursos de TI estejam protegidos e possam ser corretamente restaurados em tempo hábil, assegurando a disponibilidade e a integridade das informações.
Os testes de restore devem ser realizados periodicamente a cada 3 meses para avaliar a eficiência do mesmo. Um relatório deve ser gerado com os resultados e escopo definido e em caso de falhas deve ser gerado planos de ações.
Os processos de back-up e restore (geração, manuseio, transporte, armazenamento, teste, restauração, substituição e descarte) executados e/ou gerenciados devem garantir a disponibilidade, a integridade e a confidencialidade das informações da CashU.
7.6.4. Registros e Monitoramento
Os Recursos de TI devem estar configurados para registrarem as informações necessárias ao monitoramento do ambiente, planejamento de capacidade, tratamento de incidentes e demandas e, posterior, respostas às auditorias.
O monitoramento dos registros de auditoria deve ser realizado com o intuito de assegurar que as falhas nos Recursos de TI sejam identificadas com maior eficiência e eficácia, bem como utilizado para verificar a qualidade e a efetividade dos controles adotados.
Todos os eventos, tais como: todos os sucessos de autenticação, ocorrências ou falhas detectadas nos Recursos de TI devem ser registrados, a fim de garantir a confidencialidade, integridade e disponibilidade da informação.
Os relógios de todos os Recursos de TI críticos dentro da organização ou do domínio de segurança devem ser sincronizados de acordo com horário oficial.
7.6.5. Controle de Software Operacional
Controles e procedimentos devem ser estabelecidos para um correto gerenciamento das instalações de software em sistemas operacionais. As atualizações do sistema operacional, bibliotecas, programas e aplicativos devem ser executados por administradores treinados com gerenciamento apropriados.
Todos os direitos autorais e outros direitos de propriedade intelectual que subsistam, usem, incorporem ou estejam em conexão com o software e a documentação relacionada pertencem aos seus respectivos proprietários, de quem obtivemos licenças apropriadas.
Qualquer uso não autorizado, cópia, modificação, adaptação, tradução, distribuição, leasing, acesso ou adulteração de qualquer software constitui violação de direitos autorais e é estritamente proibido.
Além disso, sob nenhuma circunstância, qualquer usuário poderá instalar distribuir ou utilizar qualquer material de software não fornecido pela CashU em computadores corporativos, caso aplicável, exceto com o consentimento prévio e por escrito do coordenador da equipe de Tecnologia. Caso comprovada a necessidade de instalação do software para uso profissional, a instalação deverá ser autorizada pela equipe de Tecnologia.
É necessário que o software em questão tenha tido a homologação aprovada (verificação de compatibilidade com os sistemas da CashU), evitando assim que interfira no funcionamento dos demais softwares ou sistemas. Caso a homologação não seja positiva, então o software não poderá ser instalado.
A CashU cobrará quem não cumprir com esta Política de Segurança da Informação em uma base de indenização por quaisquer reclamações, responsabilidades, custos e/ou danos sofridos por esta empresa por qualquer, real ou suposta, violação de direitos autorais.
7.7. MESA LIMPA E TELA PROTEGIDA
7.7.1. Mesa Limpa
As diretrizes de “mesa limpa” devem ser aplicadas em todas as áreas e serem seguidas por todos os profissionais da CashU, de modo que papéis/documentos não fiquem expostos à divulgação ou acessos não autorizados, e para isso, as seguintes ações devem ser adotadas:
● Papéis e mídias de computador devem ser guardados, quando não estiverem sendo utilizados, em lugares adequados, com fechaduras ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho;
● Informações confidenciais, quando impressas, devem ser imediatamente retiradas das impressoras; e
● Os documentos impressos relacionados com os negócios da CashU devem ser descartados de forma e em local apropriados.
Esses controles aplicam-se a todos os profissionais que trabalham dentro e fora das dependências da CashU.
São autorizadas somente impressões de documentos relacionados à atividade profissional exercida pelos respectivos profissionais. Todas as impressões realizadas e seu conteúdo deverão ser controlados por usuário, horário e local da impressão, através do sistema de impressão segura.
7.7.2. Tela Protegida
As diretrizes de “tela protegida” devem ser consideradas se os usuários não estiverem utilizando as informações. As telas não devem ficar expostas, reduzindo o risco de acesso não autorizado, perda e danos à informação, e para isso, os seguintes procedimentos devem ser adotados:
● Equipamentos devem ser protegidos por mecanismo de travamento de tela por senhas, chaves ou outros mecanismos de autenticação quando não estiverem em uso;
● Se uma sessão estiver ociosa por mais de 20 minutos, exigir que o usuário redigite a senha para reativar o terminal; e
● Sempre que desnecessária a utilização de um software em uso, este deve ser encerrado no botão logoff ou logout (sair).
7.8. ACESSO A ÁREAS DE SEGURANÇA E ACESSO NÃO AUTORIZADO A DADOS
7.8.1. Acesso a áreas de segurança
São consideradas “áreas de segurança”: centros de processamento de dados (“CPDs”), ambientes em Cloud, e qualquer área em que ocorra a necessidade segurança temporária ou permanente devido a operações de Segurança da Informação.
Qualquer indivíduo que venha a necessitar de acesso as áreas de segurança deve solicitar, com antecedência, ao coordenador da equipe de Tecnologia, por e-mail.
7.8.2. Acesso não autorizado a dados
A CashU armazena uma variedade de dados em suas estações de trabalho, servidores físicos e em cloud e dispositivos conectados à rede. Grande parte dos dados armazenados pela CashU contém conteúdo confidencial, proprietário ou não privado, protegido por uma série de controles de acesso. Serão concedidos direitos ao usuário com base na função e grupo(s) a serem atribuídos ao login do usuário.
Sob nenhuma circunstância um usuário poderá acessar dados ou outros recursos de computação que não foi autorizado a usar.
Acesso não autorizado inclui, mas não se limita a buscar, abrir, visualizar, modificar, copiar, imprimir ou distribuir qualquer arquivo, documento, e-mail, comunicação, ou qualquer outro tipo de dados protegidos pelas políticas da CashU ou por lei, bem como o uso não autorizado de sistemas de login, perfil do sistema, modelo de documento, código de acesso, token, chave ou cartão de acesso restritos.
PARA GARANTIR UMA PROTEÇÃO ADEQUADA DOS DADOS PRIVILEGIADOS, A CASHU RESERVA-SE O DIREITO DE MONITORAR ATIVAMENTE E PASSIVAMENTE TODAS AS ATIVIDADES DE ACESSO A DADOS.
ASSSIM, OS PROFISSIONAIS DA CASHU NÃO DEVEM TER EXPECTATIVA DE PRIVACIDADE EM SEUS ACESSOS E NA UTILIZAÇÃO DE SISTEMAS E EQUIPAMENTOS DE PROPRIEDADE DA CASHU.
A equipe de Tecnologia/Segurança da Informação irá avaliar todas as ocorrências de acesso a dados não autorizados, incluindo tentativas de acesso sem sucesso, podendo investigá-las a fundo e recomendar providências aos gestores, diretores e sócios, conforme o caso.
7.9. INTERNET
A internet pode ser uma ferramenta de valor para os negócios. As capacidades de pesquisa são intermináveis. Todavia, a internet é um campo de caça para hackers e outros usuários mal-intencionados. Isto faz com que seja imperativo que todos os usuários exerçam extrema cautela enquanto navegam na Internet nos sistemas da CashU.
A equipe de Tecnologia/Segurança da Informação poderá restringir o acesso a certos sites na internet. Solicitações podem ser feitas para o acesso, porém, o acesso somente será liberado mediante a justificativa indicando que a utilização será exclusiva para fins de trabalho.
As solicitações são aprovadas ou negadas pelo coordenador da equipe de Tecnologia/Segurança da Informação . Todos os sites e downloads serão monitorados e podem ser bloqueados pela equipe de Tecnologia/Segurança da Informação em caso de indícios de ameaças ou que não se mostrem produtivos aos negócios da CashU.
A utilização da internet no ambiente de trabalho deve ser prioritariamente para os negócios da CashU. A utilização para uso pessoal é aceita dentro dos limites razoáveis. Esta utilização deve se manter em um mínimo que não interfira nas atribuições do profissional. Você deve lembrar que a equipe de Tecnologia/Segurança da Informação pode manter um registro central das atividades de todos os usuários na web. Assim, você pode esperar por questionamentos caso gaste uma quantidade excessiva de tempo na internet ou se não estiver em conformidade com as orientações acima.
A equipe de Tecnologia/Segurança da Informação se reserva ao direito de monitorar a utilização da internet de qualquer profissional a qualquer momento.
7.10. ACESSO REMOTO À CASHU
A CashU possui ferramentas de acesso remoto aos recursos e sistemas de TI da CashU para seus colaboradores.
Os colaboradores devem cumprir os requisitos necessários para a utilização do acesso remoto.
A equipe de Tecnologia/Segurança da Informação da CashU irá definir as políticas de backup das informações e atualização de Recursos de TI, de modo a garantir o armazenamento adequado das informações pertencentes à CashU.
O profissional elegível deverá possuir todas as condições necessárias para a execução do acesso remoto, inclusive (mas não se limitando a esta), acesso à internet pela conexão via banda larga com o mínimo 10Mb de velocidade.
O profissional elegível deverá utilizar computador ou notebook disponibilizado pela CashU, devendo a conexão ser feita pela ferramenta VPN.
A CashU poderá utilizar ferramentas para monitorar as atividades realizadas a partir de acessos remotos.
Assim, os profissionais não devem ter qualquer expectativa de privacidade na utilização dos recursos de TI e informações da CashU.
7.11. BYOD – DISPOSITIVOS MÓVEIS DE NÃO PROPRIEDADE DA CASHU
BYOD, sigla para o termo Bring Your Own Device (traga seu próprio dispositivo), se refere ao uso de serviços, políticas e tecnologias que viabilizam aos profissionais desempenhar atividades profissionais utilizando seus próprios equipamentos, como smartphones e tablets. Trata-se de um conceito mundial que vem ganhando força entre as organizações, em função do potencial de ganho de produtividade.
O uso de dispositivos pessoais está vinculado à disponibilidade e compatibilidade de recursos dos aparelhos (smartphones, tablets e etc.) e sistemas (Android, IOS e Windows Mobile) em compatibilidade com o sistema da CashU. A equipe de Tecnologia/Segurança da Informação deve ser consultada sobre quais serviços estão disponíveis para o dispositivo em questão. Caso existam, os serviços devem ser solicitados respeitando o prazo de 24h para ativação.
As seguintes normas se aplicam ao uso de dispositivos de não propriedade da CashU:
● O dispositivo é de completa responsabilidade do proprietário;
● O conteúdo armazenado no dispositivo é de responsabilidade do proprietário;
● O proprietário declara que o sistema operacional e todos os softwares instalados, como editor de texto e planilha, Outlook e outros, possuem licença regular, sob pena de responder sobre qualquer incidente de pirataria;
● O proprietário deverá fazer uso de requisitos mínimos de segurança da informação, como utilização de senha segura, instalar e manter o antivírus atualizado e manter o dispositivo em local seguro;
● Por motivos de segurança, não é permitido escrever e colar as senhas em nenhuma parte do equipamento;
● O proprietário tem o dever de salvar na rede corporativa todas as informações pertinentes à empresa, como arquivos de dados. Vale lembrar que não será feito backup das informações salvas no equipamento do profissional, por não serem de propriedade da CashU;
● O dispositivo não deve ser utilizado por nenhuma outra pessoa além daquela a quem o equipamento foi designado;
● O equipamento está sujeito a monitoramento e inspeção física pela equipe de TI da CashU;
● O equipamento será colocado à disposição da CashU como beneficiário de uso temporário e parcial, em caráter não oneroso, sem qualquer responsabilidade por parte da CashU;
● A CashU não se responsabiliza pela perda, deterioração, furto, extravio, quebra do dispositivo e, se isso vier a ocorrer, o proprietário deverá avisar a equipe de Tecnologia/Segurança da Informação imediatamente;
● O proprietário compromete-se a portar o dispositivo de forma discreta e com o máximo de zelo possível, evitando assim incidentes e/ou vazamentos de informações sigilosas;
● O mero acesso ou uso do equipamento ou Recursos de TI pelo proprietário, por si só, não configura sobreaviso ou sobrejornada, sendo um ato de liberalidade, proatividade e iniciativa do profissional em questão; e
● Em caso de desligamento, o profissional se compromete a solicitar a retirada das informações, do seu laptop e/ou notebook, pertinentes à empresa, a equipe de Tecnologia/Segurança da Informação. Caso não seja entregue, a memória será apagada e todas as informações, inclusive pessoais, serão excluídas.
Qualquer dispositivo móvel de propriedade pessoal que venha a ser sincronizado com o ambiente da CashU deve aderir a todas as políticas de segurança descritas acima, incluindo o uso de senha, bloqueio automático, notificação imediata em caso de perda ou roubo. Qualquer dispositivo ou programa/aplicativo identificado, como um risco de segurança para a CashU, pela equipe de Tecnologia/Segurança da Informação, pode ser desativado ou apagado sem aviso prévio.
7.12. USO DE TELEFONE
Os profissionais devem tomar todos os cuidados necessários ao utilizar o telefone para evitar a divulgação não intencional de informações. Os profissionais devem confirmar a identidade dos participantes de telefonemas e/ou conferências telefônicas antes de compartilhar quaisquer informações de caráter confidencial e/ou sigiloso.
7.13. COMPUTADORES DE TERCEIROS
Estações de trabalho mantidas por terceiros, que precisem se conectar à rede interna da CashU a fim de completar tarefas relacionadas ao negócio, são um ponto crítico de ameaça para a segurança e estabilidade da rede da CashU, computadores, servidores e informações. Esta ameaça exige que a equipe de Tecnologia/Segurança da Informação gerencie de forma agressiva os riscos causados por este tipo de sistemas por meio desta e de outras políticas relacionadas.
7.13.1. Definição de dispositivos de terceiros
Um dispositivo de terceiros é definido como qualquer dispositivo conectado à rede que não seja de propriedade ou administrado pela equipe de Tecnologia/Segurança da Informação da CashU, incluindo, mas não limitados a computadores e servidores pertencentes a consultores, fornecedores ou clientes e sistemas independentes de propriedade dos profissionais da CashU.
7.13.2. Acesso a rede para dispositivos de terceiros
Sempre que possível, dispositivos de terceiros devem ser conectados à rede pública da CashU (ex. Internet WiFi, modem 3G e circuitos externos) para o acesso à internet. Sendo necessário conectar um dispositivo de terceiros na rede interna da CashU, uma pessoa que trabalhe na equipe de Tecnologia/Segurança da Informação deve ser responsável por este dispositivo. O responsável deve se certificar que o dispositivo não representa riscos para a segurança da rede antes que o mesmo venha a ser conectado.
A aprovação para que um dispositivo de terceiros seja conectado na rede interna da CashU, somente será concedida quando se prove necessária a conexão para que os softwares envolvidos no cumprimento de determinada tarefa não possam ser executados sem que o dispositivo seja conectado à rede interna.
Quando a utilização de dispositivos de terceiros seja comprovadamente necessária para o desenvolvimento de tarefas necessárias para a continuidade dos negócios da CashU, o sistema deve ser aprovado antes de poder utilizar a rede interna. Antes da primeira conexão do sistema com a rede interna é imperativo que o contato responsável da CashU registre o dispositivo com a equipe de Tecnologia/Segurança da Informação.
7.13.3. Auditoria
Dispositivos não autorizados não devem ser conectados à rede interna da CashU em hipótese nenhuma. Devido ao grande risco, a equipe de Tecnologia/Segurança da Informação se reserva o direito de remover sem aviso prévio qualquer dispositivo da rede que represente um risco ativo ou passivo para a segurança dos sistemas ou informações da CashU.
Dispositivos de terceiros registrados com a equipe de Tecnologia/Segurança da Informação estão sujeitos a auditorias periódicas e monitoramento constante para verificar: que as atualizações estejam sendo feitas, antivírus, configurações de segurança e metodologias de trabalho estejam de acordo com os termos tratados nesta política e de acordo com as informações fornecidas a equipe de Tecnologia/Segurança da Informação.
Os usuários não serão notificados previamente das auditorias periódicas ou extraordinárias em nossos sistemas.
7.14. CRIPTOGRAFIA
7.14.1. Uso de Controles Criptográficos
Todas as informações sensíveis ou críticas – relacionadas a processos internos, informações privadas (dados de funcionários, clientes, terceiros ou fornecedores) ou confidenciais – armazenadas ou circuladas através de dispositivos móveis, ou dos meios de comunicação da CashU devem ser cifradas e/ou pseudonimizadas através de métodos criptográficos utilizados pela organização.
Deve haver procedimentos de criptografia e/ou pseudonimização que descrevam claramente o que deve ser protegido – como conteúdo, arquivo, meio de transmissão e outros – para cada situação.
7.15. GESTÃO DE ATIVOS
7.15.1. Inventário de Ativos
Todo e qualquer ativo deve ser mapeado, inventariado e formalizado de acordo com sua importância para os negócios da CashU.
O Inventário de Ativos deve conter informações necessárias que permitam controlar, localizar e/ ou recuperar estes de um incidente ou problema. Basicamente, as seguintes informações, quando aplicável, sobre cada ativo devem ser inventariadas:
● Nome do Ativo/Descrição;
● Local onde se encontra o Ativo;
● Proprietário do Ativo;
● Modelo;
● Versão do Software;
● Sistema Operacional; e
● Informações de Rede.
7.15.2. Propriedade do Ativo
A indicação ou escolha de um proprietário para o ativo inventariado deve ser acordada e formalizada, assim como o proprietário nomeado deve ser comunicado sobre suas responsabilidades quanto ao ativo em questão, tais como definir e manter os controles de proteção dos ativos.
Adicionalmente, o proprietário deve analisar a importância do ativo para os negócios, o valor do ativo e a classificação da informação para definir os níveis de proteção proporcionais para cada um dos ativos de sua responsabilidade.
O proprietário do ativo, conforme definido no inventário, terá as seguintes responsabilidades:
● Assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificadas; e
● Definir e analisar criticamente as classificações, restrições de acesso e regras para o uso aceitável dos ativos de informação.
7.15.3. Devolução de Ativos
O ativo de informação é fornecido sob custódia aos profissionais em forma de comodato, desta forma ao término de seu contrato e/ou mudança de área deve-se devolver a sua gestão. Adicionalmente fica a responsabilidade de a área de recursos humanos conferir a entrega no momento da transferência/desligamento do mesmo.
7.15.4. Análise do Inventário
O inventário de ativos de informação deve ser analisado para garantir sua constante adequação à realidade do ambiente. Esta análise deve ser realizada pela auditoria interna de Segurança da Informação e registrada em relatório de auditoria.
7.16. CLASSIFICAÇÃO DA INFORMAÇÃO
As informações da CashU devem ser utilizadas em função dos propósitos de negócios e o acesso às mesmas, dependerá da real necessidade da função exercida e da autorização prévia concedida pelo responsável da informação.
Para adequada proteção das informações é necessário considerar a sensibilidade da informação; ou seja, na necessidade de proteção da informação contra exposição não autorizada, fraude, roubo ou abuso, etc.
7.16.1. Responsabilidades sobre a informação
Todos os profissionais possuem responsabilidades sobre as informações envolvidas no seu escopo de trabalho, conforme descrito a seguir:
● Gestores: São responsáveis pela definição da classificação adequada para cada informação de sua responsabilidade (gerada ou administrada pela sua área de responsabilidade). Os gestores têm a responsabilidade de revisar as informações periodicamente a fim de identificar se elas permaneceram classificadas. Adicionalmente são responsáveis pela definição de quais profissionais ou grupos que podem ter acesso às informações; e
● Profissionais: São responsáveis pela correta utilização das informações, seguindo os critérios da nossa Política de Segurança da Informação.
7.16.2. Quando classificar a informação
As informações da CashU devem ser classificadas de acordo com sua importância para o negócio. Esta importância é definida:
a) Quando da criação ou inserção da informação; e
b) Quando da identificação de informações não classificadas.
7.16.3. Quem deve classificar a informação
O responsável pela definição do nível de importância de determinada informação é o responsável pela área à qual a informação é relacionada e pessoas autorizadas por este responsável. Quando a informação for relacionada a mais de uma área, a responsabilidade pela definição do nível de importância é do coordenador da equipe de Tecnologia.
7.16.4. Informação Confidencial
São consideradas informações confidenciais aquelas que quando a sua divulgação indiscriminada pode ocasionar sérios prejuízos ou consequências no âmbito financeiro, legal e estratégico, entre outros, para a CashU, nossos clientes e profissionais. Este tipo de informação é extremamente sensível por natureza e necessita de tratamento e controles conforme diretrizes mencionadas nessa política.
Informações Confidenciais podem incluir, mas não se limitam a:
● Informações Internas: dados e informações relativos tão somente a CashU e que, devido a isso, devem ser mantidos de modo restrito e interno na CashU. Esses dados e informações não devem ser divulgados a terceiros, mas podem ser acessados pelos profissionais da CashU;
● Informações de Uso ou Acesso Restrito: dados e informações de acesso reservado, somente permitido a determinados profissionais da CashU. Esses dados e informações não podem ser divulgados ou acessados senão pelas pessoas com atribuição de acesso à tais dados ou informações; e
● Informações Sensíveis: dados e informações sensíveis, cuja divulgação ou acesso pode impactar negativa, direta e materialmente no plano ou estratégia de negócio da CashU. Esses dados e informações devem ser protegidos por senhas restritas a um grupo específico e restrito de pessoas, as quais não podem divulgá-los senão entre si.
7.16.5. Informação Pública
A CashU considera como informação pública quando for expressamente autorizada a sua divulgação ou informações que estão publicadas em outros meios. Este tipo de informações não necessita de tratamentos de proteções.
7.16.6. Tratamento da Informação
Para a correta execução das suas responsabilidades de segurança da informação, os profissionais devem utilizar estas tabelas como orientação para as situações em que utilizam informações, sejam elas confidenciais e públicas. As ações adequadas devem respeitar os seguintes critérios:
7.17. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
7.17.1. Incidentes de Segurança Lógica e Física
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação levando a perda de um ou mais princípios básicos de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. O incidente de segurança poderá envolver dados pessoais ou não envolver nenhum dado pessoal.
Para mais informações sobre o tema, vide Plano de Resposta a Incidentes de Segurança da CashU.
São exemplos de incidentes de segurança da informação:
● Atividades Ilegais: Uso irregular de função na CashU para obter vantagem, financeira ou não, de forma, direta ou indireta para si ou para outrem. Também inclui engenharia social e falsificação de identidade e documentação;
● Conteúdo Abusivo: Envio de spam, conteúdo pornográfico, pedofilia e o uso de meios computacionais para assédio ou perturbação;
● Negação de Serviço: Ação ou tentativa intencional, não autorizada, de impedir ou interromper o funcionamento do sistema de informação (redes, sistemas, aplicativos, etc.);
● Acesso não autorizado: Acesso ou tentativa de acesso intencional, não autorizado, à totalidade ou parte da rede, sistema, aplicativo, dado e/ou outros Recursos de TI sem expressa autorização para tal;
● Comprometimento da Informação: Modificação, compartilhamento, não autorizado de uma informação existente na CashU.
● Código Malicioso: Termo genérico muito utilizado que se refere a todos os tipos de programa que executam ações maliciosas tais como, vírus, worm, trojan, etc.;
● Atividade Suspeita: Suspeita de atividade relacionada à má utilização uso de equipamento (varredura de rede, sniffing, bots, etc.);
● Violação de Política: Não cumprimento das diretrizes inseridas nas políticas da CashU;
● Erros ou omissões: Um incidente causado por pessoas de forma involuntária, falta de conhecimento dos procedimentos internos e políticas da CashU.
7.17.2. Gestão de Incidentes de Segurança
A equipe de Tecnologia/Segurança da Informação é responsável por coordenar as ações na CashU para reagir a incidentes de segurança e deve assegurar respostas rápidas, efetivas.
A CashU deve implementar um processo para tratar os incidentes de segurança da informação, que tem por objetivo:
● Garantir que os incidentes de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil;
● Definir responsabilidades e procedimentos para o manuseio efetivo de incidentes de segurança da informação, uma vez que estes tenham sido notificados; e
● Aplicar um processo de melhoria contínua às respostas, monitoramento, avaliação e gestão total de incidentes de segurança da informação. Onde evidências sejam exigidas, estas devem ser coletadas para assegurar a conformidade com as exigências legais.
Todos os empregados da CashU serão treinados e devem estar conscientes sobre os procedimentos para notificação dos incidentes de segurança que possam ter impactos na segurança da informação e dos ativos da CashU. Os prestadores de serviço devem ser informados sobre conteúdo desta Política.
Os procedimentos necessários para atender as necessidades desta Política de Segurança da Informação estão descritos no procedimento de gestão de incidentes de segurança.
7.17.3. Notificação de Incidente de Segurança da Informação
As notificações de incidentes de segurança devem ser registradas formalmente pela equipe de Tecnologia/Segurança da Informação e comunicadas às autoridades competentes quando exigido por lei, nos termos da legislação aplicável, em prazo razoável.
Os profissionais da CashU devem notificar os incidentes de segurança e possíveis deficiências, eventos, vulnerabilidades ou problemas que identificarem nos Recursos de TI.
O processo de notificação deve conter no mínimo as seguintes informações:
● Descrição da natureza dos dados pessoais afetados;
● Informações sobre os titulares envolvidos;
● Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
● Riscos relacionados ao incidente;
● Motivos da demora, no caso de a comunicação não ter sido imediata; e
● Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
7.17.4. Avaliação e decisão sobre o Incidente de Segurança da Informação
Após o recebimento de uma notificação de um incidente, o Encarregado comunicará a equipe de Tecnologia/Segurança da Informação, que será a responsável pela realização, avaliação e classificação dos registros de incidentes de segurança.
A priorização e classificação de cada incidente tem por objetivo, identificar o impacto e abrangência de um incidente.
O resultado da avaliação, priorização e classificação deve ser registrado no formulário de registro de Incidentes de Segurança da Informação.
7.17.5. Resposta aos Incidentes de Segurança
A equipe de Tecnologia/Segurança da Informação deve acionar o time responsável pela resolução do incidente para minimizar o impacto.
7.17.6. Aprendendo com os Incidentes de Segurança da Informação
Todos os incidentes de segurança registrados devem fornecer subsídios para a geração de métricas que devem indicar quais melhorias e/ou controles podem ser implementados, visando aumentar a eficácia e eficiência do processo de gestão e resposta de incidentes.
7.17.7. Coleta de Evidências
Durante o processo de gestão de incidentes de Segurança da Informação, as evidências devem ser coletadas e anexadas no formulário afim de garantir a integridade e a veracidade de toda ocorrência.
8. GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Para manter um nível satisfatório de segurança das informações, a CashU constituiu a equipe de Tecnologia/Segurança da Informação e adota as seguintes diretrizes referenciadas nesta Política de Segurança da Informação:
● O controle de acesso dos profissionais internos ou prestadores de serviço aos ativos de informação deve ser devidamente aprovado pela equipe de Tecnologia/Segurança da Informação. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o profissional, para que seja responsabilizado por suas ações;
● Cópias de segurança (backups), devem ser testadas e consideradas vitais para o sistema e para a retomada das atividades da área em caso de contingência;
● O uso do e-mail sob o domínio @cashu.com.br, será permitido para profissionais, e para terceiros somente quando for necessário, e por tempo determinado pela coordenação da área solicitante. Este tempo poderá ser prorrogado mediante nova solicitação da coordenação da área. Quanto à transmissão de dados, este recurso deve ser utilizado através de pendrives criptografados, para garantir a privacidade na comunicação dos dados;
● A utilização da internet nos computadores da CashU deve ser prioritariamente para os negócios. A utilização para uso pessoal é aceita dentro dos limites razoáveis.
● Regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro da CashU;
● As redes devem ser identificadas, segregadas e monitoradas;
● Dispositivo móvel entende-se qualquer equipamento eletrônico com atribuições de mobilidade no manuseio da informação e destina-se ao uso em serviço para realização de suas atividades de trabalho e para comunicação com a CashU, prestadores de serviços ou clientes, devendo ser utilizado somente para esta finalidade;
● As informações devem ser classificadas e manuseadas de acordo com a confidencialidade e as proteções necessárias;
● Os ativos devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos;
● Um conjunto de regras para garantir a padronização das técnicas criptográficas e pseudonimização das informações, a aplicação adequada das mesmas e responsabilidades para manter a segurança no transporte ou armazenamento das informações independente do meio utilizado;
● Um processo de gestão de mudanças deve estar em vigor para garantir que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da CashU, conforme política de gerenciamento de mudanças;
● A concessão de acesso remoto para os profissionais ou prestadores de serviço deve ser autorizada formalmente e solicitada à equipe de Tecnologia/Segurança da Informação;
● Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (Confidencialidade, Integridade e Disponibilidade);
● Todos os incidentes que afetem a segurança da informação devem ser reportados a equipe de Tecnologia/Segurança da Informação através do canal [email protected], que analisará o incidente;
● Todos os profissionais da CashU devem passar por treinamento e conscientização sobre os procedimentos de segurança e uso correto dos ativos disponibilizados pela CashU, de forma a minimizar possíveis riscos de segurança, explicitar suas responsabilidades e comunicar os procedimentos para as notificações de incidentes;
● Um conjunto de medidas devem ser adotado para garantir a segurança das operações; e
● Periodicamente a equipe de Tecnologia/Segurança da Informação deve realizar uma
auditoria para garantir a conformidade dessas diretrizes e controles.
Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta política o responsável e/ou solicitante deverá documentá-las imediatamente à equipe de Tecnologia/Segurança da Informação, para que possibilite a adoção de medidas alternativas que minimizem os riscos, bem como um plano de ação para corrigi-los, monitorá-los ou eliminá-los.
9. AUDITORIA E MONITORAMENTO
Sujeito às leis aplicáveis, todas as informações, e-mails, documentos e quaisquer outras informações e/ou dados enviados, recebidos ou mantidos pelos Recursos de TI da CashU poderão ser monitorados e acessados pela CashU a qualquer momento, sem qualquer necessidade de aviso.
ASSIM, OS PROFISSIONAIS NÃO DEVEM TER QUALQUER EXPECTATIVA DE PRIVACIDADE NA UTILIZAÇÃO DOS RECURSOS DE TI E INFORMAÇÕES DA CASHU, SEJA TAL USO PARA FINS PROFISSIONAIS OU PESSOAIS.
O material obtido por meio deste monitoramento poderá ser divulgado ao pessoal interno da CashU, prestadores de serviço da CashU e/ou entidades governamentais, para fins de prova em processos judiciais e/ou administrativos ou na forma exigida pela legislação vigente.
A CashU deve monitorar e registrar todo o uso de informações geradas e armazenada em seu ambiente, mantendo controles apropriados e trilhas de auditorias em pontos que a CashU julgar como necessário para reduzir riscos e reservando-se no direito de:
● Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônicos, navegação de Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados;
● Instalar sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso; e
● Instalar câmeras nas instalações físicas.
10. DAS RESPONSABILIDADES ESPECÍFICAS
10.1. Dos Profissionais em Geral
Os Profissionais da CashU, estagiários e aprendizes, em qualquer nível hierárquico, serão responsáveis em cumprir e zelar pela realização eficaz das políticas e princípios da segurança da informação, no compromisso com os critérios legais e éticos que envolvem a CashU.
É de total responsabilidade de cada profissional qualquer prejuízo ou dano que vierem a sofrer ou causarem à CashU e/ou a terceiros, em decorrência do não atendimento às diretrizes dessa Política e das demais políticas da CashU aqui referidas.
Cabe a todos profissionais da CashU:
● Cumprir fielmente as diretrizes estabelecidas neste documento;
● Buscar orientação do superior hierárquico, em caso de dúvidas relacionadas à segurança da informação;
● Assinar o Termo de Responsabilidade e aceite da Política de Segurança da Informação, formalizando a ciência das políticas, bem como assumindo a responsabilidade pelo seu cumprimento;
● Preservar as informações contra o acesso, modificação, divulgação ou destruição não autorizada pela CashU;
● Utilizar senha segura, devendo alterar a mesma, conforme periodicidade determinada pela CashU;
● Garantir que os recursos tecnológicos sejam utilizados somente para fins profissionais e de interesse da CashU; e
● Comunicar imediatamente a equipe de Tecnologia/Segurança da Informação, qualquer descumprimento ou violação desta política.
10.2. Dos Gestores
É responsabilidade de cada gestor registrar, atribuir valor, analisar quanto aos riscos e classificar, as informações da sua área, além de ser responsável pela manutenção, revisão e cancelamento de autorização à determinada informação ou conjunto de informações sob sua guarda. Além de garantir a implementação de mecanismos necessários para descarte seguro das informações.
Cabe a todo gestor de área:
● Assegurar que suas equipes possuam acesso e conhecimento desta política, bem como as instruções aqui estabelecidas;
● Ser referência da área em relação à Segurança da Informação, servindo como modelo de conduta para os profissionais sob a sua gestão;
● Cumprir e fazer cumprir esta política e demais itens aqui referenciados;
● Determinar quais áreas e cargos devem ter acesso à informação sob sua responsabilidade;
● Manter devidamente atualizados os registros e controles de todas as autorizações de acesso concedidas, determinando sempre que necessário a pronta suspensão do acesso ou alteração da autorização concedida;
● Revisar as autorizações de acesso sempre que necessário ou solicitado, cancelando aquelas que não se fizerem mais necessárias;
● Durante a contratação de um parceiro e o mesmo tiver contato com informações confidenciais da CashU, será necessário a inclusão de um acordo de confidencialidade (NDA) e ciência da PSI, exigindo o repasse das obrigações a seus empregados responsáveis pela prestação de serviços dentro da CashU;
● Assegurar que os acessos dos parceiros de negócio da CashU estejam em conformidade com as diretrizes dessa política e demais itens referenciados; e
● Apoiar a equipe de Tecnologia/Segurança da Informação através do canal [email protected], em eventuais violações da Segurança da Informação.
10.3. Da equipe de Tecnologia/Segurança da Informação
A equipe de Tecnologia/Segurança da Informação será responsável por:
● Gerir o uso de tecnologias necessárias ao bom andamento dos negócios, incluindo ações preventivas e tratamento de incidentes com o propósito de promover maior nível de Segurança da Informação;
● Submeter as versões da Política de Segurança da Informação, e após a aprovação, publicar e promover a divulgação da mesma na CashU;
● Propor as metodologias e processos específicos para a Segurança da Informação;
● Propor e apoiar iniciativas que visem à segurança dos ativos de informação;
● Promover, junto ao RH, conscientizações dos profissionais e parceiros em relação à importância da Segurança da Informação, por meio de campanhas, palestras, treinamentos e outros meios;
● Apoiar a avaliação e a adequação de controles específicos de Segurança da Informação para novos sistemas ou serviços; e
● Analisar criticamente incidentes.
10.4. Dos Recursos Humanos
Cabe ao departamento de Recursos Humanos:
● Atribuir no momento de contratação dos profissionais, a formalização e o aceite da política, bem como colher as assinaturas e realizar o arquivamento;
● Apresentar a política e colher a assinatura do Termo de Responsabilidade e Ciência da Política de Segurança da Informação dos profissionais já contratados, bem como efetuar o arquivamento da mesma;
● Comunicar à equipe de Tecnologia/Segurança da Informação formalmente e prontamente toda e qualquer alteração no quadro funcional, contratações, demissões, alterações de cargos, funções, entre outros necessários, em prazo mínimo, a fim de evitar acessos não autorizados e/ou desnecessários; e
● Aplicar sanções cabíveis mediante a um incidente de Segurança da Informação (Penalidades).
11. DESCUMPRIMENTO
Os atuais profissionais são obrigados a seguir os procedimentos descritos nesta política.
Os indivíduos que forem encontrados em descumprimento desta política estão sujeitos a ações disciplinares cabíveis, incluindo advertência, suspensão ou demissão por justa causa ou rescisão de contrato, sem prejuízo da comunicação às autoridades policiais competentes, conforme o processo de resposta a incidentes de Segurança da Informação.
Além de cumprir todas as disposições previstas nesta política, os profissionais devem reportar imediatamente à CashU caso tomem conhecimento (ou suspeitem de boa-fé) de qualquer violação desta política por meio de quaisquer dos canais de comunicação da CashU descritos abaixo:
Telefone: +55(11)5043-3830
Internet: cashu.com.br/contato
E-mail: [email protected]
Estes canais de comunicação também poderão servir para esclarecer quaisquer dúvidas sobre esta política e são confidenciais. Se o profissional desejar, poderá realizar denúncias de forma anônima.
12. PERIODICIDADE
A equipe de Tecnologia/Segurança da Informação é responsável pela revisão e atualização dessa política. A revisão ou atualização da Política de Segurança da Informação será realizada periodicamente, no mínimo a cada 01 (um) ano, ou quando a equipe de Tecnologia/Segurança da Informação julgar necessário, conforme análise e decisão do comitê responsável.
Última atualização: dezembro de 2022
Copyright © 2024 CashU | Powered by CashU
Sidia Amazon Innovation – Av. Torquato Tapajós, 6770, Manaus AM
