POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
1. RESUMO
A Política de Segurança da Informação e Cibernética é o documento que expressa o posicionamento do Z.ro Bank em relação à proteção das suas informações e dos seus dados. É dever de todos seguir as orientações contidas neste documento, bem como em todo o conjunto de normas e procedimentos que formam a matéria, para mantermos a elevada confiabilidade e credibilidade de nosso ecossistema e honrarmos nosso compromisso para garantia da confidencialidade, integridade e disponibilidade da informação.
2. OBJETIVO
Estabelecer as diretrizes para compor um programa de Segurança da informação e Cibernética no Z.ro Bank.
3. ABRANGÊNCIA / ESCOPO
A Política de Segurança da Informação e Cibernética é aplicável a todos os funcionários, fornecedores, consultores, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações do Zro Bank. É de propriedade do Z.ro Bank toda a informação gerada ou tramitada por meio dos seus recursos.
Toda informação de propriedade ou custodiada pelo Z.ro Bank:
● Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal do Z.ro Bank, emanada por instância competente para fazê-lo;
● Deve ser classificada segundo critérios definidos;
● Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas ou que não tenham direito ao seu conhecimento;
● Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária.
4. TERMOS E DEFINIÇÕES
Ameaça: Fonte potencial de dano; elemento ou atividade que possui potencial de causar uma consequência.
Colaborador: corresponde a qualquer colaborador(a) em regime de trabalho CLT, pró-labore, estágio ou outro regime juridicamente aceito, vinculado ao Z.ro Bank ou a sociedade afiliada, controladora ou controlada do Z.ro Bank, que venha a ter acesso no exercício de suas funções a informações detidas e/ou sob o controle do Z.ro Bank.
Informação: É um ativo que tem valor para a organização e necessita ser adequadamente protegido. Ela pode estar impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
Evidência: Dados que apoiam a existência ou a veracidade de alguma coisa.
Incidente (de segurança): evento adverso, confirmado ou sob suspeita, motivado por violação ou falha de um controle ou procedimento de segurança, seja de forma intencional ou não, com probabilidade de colocar em risco a segurança da informação.
Diretoria: órgão da administração, formado pelos diretores estatutários do Z.ro Bank.
Terceiros: entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para o Z.ro Bank, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como prestador terceirizado.
Vulnerabilidade: Brecha sistêmica que permite ataque de exploração ou violação à segurança da informação de uma aplicação ou infraestrutura de rede.
Confidencialidade (da informação): garantia de que a informação é acessível somente a pessoas com acesso autorizado quando necessário para o desempenho de suas funções.
Integridade (da informação): salvaguarda da exatidão e completude da informação, independentemente dos métodos de processamento, transmissão e armazenamento, de forma a preservar sua originalidade e confiabilidade.
Disponibilidade (da informação): prevenção contra interrupções na operação de sistemas e no acesso à informação quando houver necessidade, de forma contínua, segura e eficiente.
5. ESTRUTURA DA GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO
POLÍTICAS – São documentos de caráter estratégico que correspondem às determinações e orientações estratégicas, no que se refere à Segurança da Informação e sua relação com o negócio.
Estes documentos são denominados políticas e dão direcionamento para a criação de normas e procedimentos de trabalho, em conformidade com os principais requisitos de segurança da empresa e com melhores práticas do mercado.
O presente documento de Política de Segurança da informação e Cibernética enquadra-se neste item da estrutura.
NORMAS – São documentos de caráter tático e orientadas pelas diretrizes de segurança da informação, visando regulamentar o uso dos recursos tecnológicos, esclarecer responsabilidades, bem como fornecer orientações específicas de uso seguro de determinados recursos
PROCEDIMENTOS – São documentos de caráter operacional, com instruções de segurança da informação sobre processos e recursos específicos, orientando a execução de tarefas.
6. DIRETRIZES
Os procedimentos, controles, mecanismos e ações adotadas pelo Z.ro Bank para alcançar os objetivos de Segurança da informação e Cibernética contemplam:
6.1. Plano de Segurança Cibernética
● Proteger as informações contra acesso, modificações, destruição ou divulgação não autorizada.
● Prover a adequada classificação da informação, sob os critérios de confidencialidade, disponibilidade e integridade.
● Assegurar que os recursos utilizados para o desempenho de sua função sejam utilizados apenas para as finalidades aprovadas pelo Z.ro Bank.
● Garantir que os sistemas e as informações sob responsabilidade do Z.ro Bank estejam adequadamente protegidos.
● Garantir a continuidade do processamento das informações críticas de negócios.
● Selecionar os mecanismos de segurança da informação, balanceando fatores de riscos, tecnologia e custo.
● Comunicar imediatamente à área de Segurança da Informação, quaisquer descumprimentos da Política de Segurança Cibernética e da Informação.
6.2. Proteção do Ambiente
Devem ser constituídos controles e responsabilidades pela gestão e operação dos recursos de processamento das informações que garantem a segurança na infraestrutura tecnológica de redes locais e internet, através de um gerenciamento efetivo no monitoramento, tratamento e respostas aos incidentes, para minimizar o risco de falhas e a administração segura de redes de comunicações, incluindo a gestão de serviços contratados de processamento e armazenamento de dados e informações em nuvem.
6.3. Utilização dos Ativos de Tecnologia da Informação
Os Ativos de tecnologia da informação são recursos corporativos, de propriedade do Z.ro Bank, disponibilizados apenas para a execução das atividades funcionais dos Colaboradores.
6.4. Notificações dos incidentes de segurança
Todos os Colaboradores devem relatar imediatamente ao time de Segurança da Informação, qualquer suspeita de condição adversas, eventos de violação ou intrusão, que possam colocar em risco a segurança das informações do Z.ro Bank ou de seus clientes e parceiros. Isso inclui, mas não está limitado a:
● Suspeita de violação de qualquer política de Segurança da Informação.
● Perda ou roubo de notebooks ou dispositivos móveis.
● Tentativas de pessoas externas não autorizadas para obter acesso as dependências do escritório e aos sistemas do Z.ro Bank.
● Divulgação de acidentes, modificação ou destruição de informações.
● Qualquer evento que possa comprometer a privacidade das informações.
6.5. Gestão de Acesso
Os acessos às informações devem ser controlados, monitorados, restringidos à menor permissão e privilégios possíveis, revistos periodicamente com a aprovação do gestor do responsável e o da informação, e cancelados tempestivamente ao término do contrato de trabalho do colaborador ou do prestador de serviço.
6.6. Senhas de Usuários
A elaboração de senhas para acesso à rede ou aos sistemas deve ser realizada conforme procedimento estabelecido pela área de tecnologia, o qual deve prever a troca periódica de senhas e bloqueio automático de sessão por inatividade. Todas as contas de usuários devem ter suas senhas alteradas no primeiro logon na rede para assegurar sua confidencialidade.
6.7. Processamento, Armazenamento de Dados e Computação em Nuvem
Conforme a Resolução nº 85 do Banco Central do Brasil, para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, o Z.ro Bank deve possuir procedimentos efetivos para a aderência às regras previstas na regulamentação em vigor.
6.8. Gestão de Continuidade do Negócios
O Z.ro Bank deve implementar planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.
6.9. Treinamento
o Z.ro Bank incentiva e promove uma cultura de segurança dentro da instituição, visando proteger os objetivos citados nesta política, e principalmente proteger a informação.
A cultura de Segurança Cibernética é disseminada internamente através de programas de capacitação ministrados periodicamente para todos os colaboradores, garantindo assim que todos estejam cientes das possíveis ameaças e vulnerabilidades que ocorrerem no âmbito da Segurança Cibernética, bem como quais são os procedimentos que devem ser adotados em casos de incidentes.
7. ATRIBUIÇÕES E RESPONSABILIDADES
7.1. Diretoria Executiva
● Aprovar esta Política de Segurança da Informação e Cibernética;
● Prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação do Zro Bank e acompanhar periodicamente a evolução dos indicadores e resultados das medidas de segurança implementadas;
● Assegurar que esta Política e as diretrizes de Segurança da Informação estão estabelecidas e são compatíveis com a direção estratégica do Zro Bank, assim como zelar pelo seu estrito cumprimento;
● Prover comprometimento e apoio à aderência a esta Política de acordo com os objetivos e estratégias de negócio estabelecidas para o Zro Bank;
● Fornecer à área de Segurança da Informação amplo apoio e recomendação sempre que necessário, permitindo a melhoria contínua da estratégia de Segurança da Informação do Zro Bank.
7.2. Grupo de Trabalho de Segurança da Informação
● Assegurar a divulgação desta Política a todos os Colaboradores, Terceiros e demais partes interessadas do Zro Bank, inclusive suas atualizações, realizar treinamentos periódicos de conscientização sobre os procedimentos e controles de segurança aqui previstos;
● Coordenar e supervisionar a implementação dos procedimentos e controles internos de Segurança da Informação;
● Receber relatos de incidentes e denúncias sobre suspeitas de violação aos procedimentos e controles previstos nesta Política, analisá-las criticamente e, conforme a gravidade, reportá-las ao Comitê de Risco, além de tomar as medidas explicitadas nesta Política em relação ao enfrentamento a incidentes;
● Revisar esta Política no mínimo anualmente, ou em período menor na ocorrência de evento ou fato que motive uma nova revisão, garantindo que esteja alinhada à estratégia de Segurança da Informação do Zro Bank e em conformidade com eventuais mudanças de legislação, diretrizes, práticas, estruturas organizacionais, tecnológicas, entre outras;
● Orientar a alta administração do Zro Bank sobre a implementação e cumprimento desta Política e da gestão de riscos de Segurança da Informação.
● Cuidar para que todos os funcionários e estagiários recebam treinamento apropriado sobre segurança da informação, incluindo o conhecimento sobre esta Política, com atualizações regulares sobre esse treinamento.
7.3. Áreas Operacionais
● Caberá aos responsáveis pelas áreas operacionais, a implementação dos controles de segurança em seu âmbito de atuação, da administração de segurança e garantir que os colaboradores e contratados sob sua gestão estejam totalmente aderentes aos instrumentos, diretrizes e regras da segurança da informação estabelecidas pelo Zro Bank, garantindo também o conhecimento desta política de segurança das Cibernética e da Informação.
● As áreas operacionais deverão garantir que, para os contratos com entidades externas em seu âmbito de gestão, deverão constar as Cláusulas de confidencialidade.
7.4. Área de Tecnologia da Informação
● Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software;
● Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia;
● Conduzir a gestão dos acessos a sistemas e informações da companhia;
● Implantar e manter funcionais os controles e padrões de segurança definidos para os ativos de tecnologia da informação;
● Informar imediatamente a área de segurança da informação, sobre violações, falhas, anomalias e outras condições que possam colocar em risco as informações e ativos da companhia;
● Controlar alterações em ativos de TI e garantir que estas sejam analisadas criticamente e testadas para que não ocorram impactos adversos na operação da companhia ou em sua segurança;
● Garantir a continuidade dos serviços tecnológicos de forma a atender aos requisitos essenciais do negócio;
● Garantir que todos os ativos críticos de tecnologia da informação devem ser instalados em ambientes especializados. Estes devem conter todas as proteções e contingências necessárias para a sua respectiva proteção;
● Adequar esta Política às novas tecnologias que vierem a ser adotadas pela companhia, de forma a mantê-la sempre abrangente e atualizada.
7.5. Área de Pessoas e Cultura
● Garantir que todos os novos Colaboradores do Zro Bank leiam, entendam e declaram estarem cientes acerca da presente Política e de suas diretrizes;
● Comunicar prontamente à área de Segurança da Informação toda e qualquer alteração no quadro de pessoal, incluindo demissões, alterações de cargos, funções, entre outros necessários a fim de evitar acessos não autorizados e/ou em níveis não condizentes com a função ou cargo exercido.
● Garantir que todos os contratos de trabalho de colaboradores contenham as cláusulas pertinentes às responsabilidades dos funcionários pela segurança da informação e Confidencialidade.
● Sempre que termine a colaboração de um funcionário a área de recursos humanos deverá recolher os recursos disponibilizados e informar a área de infraestrutura para que esse colaborador possa ser, o mais rapidamente possível, desativado e os seus acessos cancelados.
7.6. Áreas Jurídica e de Compliance
● Apoiar a área de Segurança da Informação em investigações envolvendo incidentes de segurança e garantir a aplicação das sanções administrativas e judiciais cabíveis previstas em políticas internas do Z.ro Bank e em lei.
8. CONSIDERAÇÕES FINAIS
O Z.ro Bank realiza o monitoramento contínuo da conformidade de suas diretrizes e políticas internas e reserva-se o direito de atualizar e modificar periodicamente esta Política, assim como suas práticas de segurança da informação, sempre que entender necessário.
9. REPORTS E CANAIS DE CONTATO
Na hipótese de dúvidas relativas aos temas tratados nesta Política ou a possíveis assuntos não contemplados, por favor, entre em contato com o Z.ro Bank. Quaisquer violações desta Política deverão ser reportadas por meio do “Fale com a gente”, disponível em:
A Companhia garante a confidencialidade e anonimato das informações reportadas, bem como a não retaliação a denunciantes que estiverem agindo de boa-fé.
Transparência
NOSSOS PARCEIROS
Suporte ao cliente: [email protected] | LGPD: [email protected] | CNPJ: 26.264.220/0001-16