Acessar Conta
Abrir Conta
Acessar Conta
Abrir Conta

Política LGPD

Política LGPD

 

  1. DISPOSIÇÕES PRELIMINARES

A utilização do aplicativo, plataforma e/ou serviços da TRESORY BANK exigirá conhecimento de sua Política de Segurança da Informação.

A Política de Segurança da Informação é o documento que expressa o posicionamento da TRESORY BANK em relação à proteção das suas informações e dos seus dados. E constitui como dever de todos seguir as orientações contidas neste documento, bem como em todo o conjunto de normas e procedimentos, a fim de manter elevada confiabilidade e credibilidade.

A Política de Segurança da Informação divide-se por assuntos. É necessário que todo seu conteúdo seja estudado e o mesmo também será disponibilizado através de nosso portal.

  1. OBJETIVO

A presente Política de Segurança da Informação foi elaborada para que os Colaboradores e Terceiros do TRESORY BANK que atuam, direta ou indiretamente, em nome ou benefício do TRESORY BANK, que tenham acesso ou façam uso de informações do TRESORY BANK.

A Política de Segurança tem como objetivo estabelecer as diretrizes, atribuições e responsabilidades desses colaboradores, com o intuito de assegurar os mais elevados padrões de segurança, controle, gestão de riscos e de governança no tratamento de informações armazenadas, processadas e transmitidas nos ambientes físico e virtual da TRESORY BANK, provendo orientação e apoio de acordo com os requisitos do negócio e com as leis e regulamentações relevantes, de modo a:

  • Preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das suas informações;
  • Orientar quanto ao uso adequado de seus ativos e proteger as atividades finalísticas e a gestão da TRESORY BANK;
  • Estabelecer medidas técnicas e administrativas capazes de proteger as informações, inclusive dados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento de informação;
  • Nortear a definição de procedimentos específicos de controles e processos para a gestão dos riscos de segurança da informação.

Esta política aplica-se a todas as informações coletadas, criadas, recebidas, armazenadas, processadas, transmitidas ou impressas, com o auxílio de qualquer sistema, meio de transmissão ou de armazenamento, por Colaboradores e Terceiros, devendo estar disponível a todo tempo aos Colaboradores e Terceiros, que deverão atentamente aceitar todo o seu conteúdo antes de obter acesso a qualquer Ativo ou informação da TRESORY BANK.

  1. ESCOPO

A Política de Segurança da Informação é aplicável a todos os funcionários, fornecedores, consultores, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acessam os sistemas e tecnologias de informação e comunicações do TRESORY BANK.

É indispensável assegurar que todos que atuam juntamente com o TRESORY BANK tenham conhecimento desta política, e acesso adequado à informação necessária para o desempenho das suas funções, sendo exigido destes o respeito pelos controles de segurança implementados e o cumprimento dos aspectos de integridade, confidencialidade e disponibilidade da informação.

É de propriedade da TRESORY BANK toda a informação gerada ou tramitada por meio dos seus recursos e:

  • Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal do TRESORY BANK, emanada por instância competente para fazê-lo;
  • Deve ser classificada segundo critérios definidos.
  • Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas;
  • Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária.
  1. DEFINIÇÕES

4.1.      ATIVOS

São todos os elementos que detém algum tipo de valor para o TRESORY BANK, e podem ser informações, hardwares (equipamentos), softwares (sistemas) e colaboradores.

4.2.      ATIVOS DE INFORMAÇÃO

São elementos que têm capacidade de coletar, desenvolver, receber, transmitir, manusear, armazenar, trafegar ou descartar informações.

4.3.      ATIVOS DE SOFTWARE

São os aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

4.4.      ATIVOS FÍSICOS

São equipamentos computacionais (computadores, processadores, monitores, notebooks, etc.), equipamentos de comunicação (roteadores, PABX, smartphones, tablets, etc.), mobília, acomodações..

4.5.      AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”)

É o órgão da administração pública responsável, dentre outras competências, por cuidar, implementar e fiscalizar o cumprimento da LGPD.

4.6.      COLABORADOR

Corresponde a qualquer colaborador(a) em regime de trabalho CLT, pró-labore, estágio ou outro regime juridicamente aceito, vinculado ao TRESORY BANK ou a sociedade afiliada, controladora ou controlada do TRESORY BANK, que venha a ter acesso no exercício de suas funções a informações detidas e/ou sob o controle do TRESORY BANK.

4.7.      CONFIDENCIALIDADE

É a garantia de que a informação é acessível somente a pessoas com acesso autorizado quando necessário para o desempenho de suas funções.

4.8.      CUSTODIANTE

É pessoa, setor ou área do TRESORY BANK que mantém informação sob sua guarda.

4.9.      DADOS PESSOAIS

Constituem todas as informações relacionadas diretamente a uma pessoa física identificada (ex.: número de telefone, e-mail, CPF, data de nascimento, identificadores eletrônicos), ou que podem levar à identificação de uma pessoa (ex.: GPS, redes WiFi, IDs de utilização de aplicações).

4.10.    DIRETORIA

É o órgão da administração, formado pelos diretores estatutários do TRESORY BANK.

4.11.    DISPONIBILIDADE DA INFORMAÇÃO

É a prevenção contra interrupções na operação de sistemas e no acesso à informação quando houver necessidade, de forma contínua.

4.12.    INCIDENTE DE SEGURANÇA

É considerado o evento adverso, confirmado ou sob suspeita, motivado por violação ou falha de um controle ou procedimento de segurança, seja de forma intencional ou não, com probabilidade de colocar em risco a segurança da informação.

4.13.    INFORMAÇÃO

É um ativo que tem valor para a organização e necessita ser adequadamente protegido. Ela pode estar impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

4.14.    INTEGRIDADE DA INFORMAÇÃO

É a garantia quanto à exatidão e completude da informação, independentemente dos métodos de processamento, transmissão e armazenamento, de forma a preservar sua originalidade e confiabilidade.

4.15.    LGPD

É a sigla dada para a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados, que regula o tratamento de Dados Pessoais no Brasil, em meios físicos ou digitais.

4.16.    GERENCIAMENTO DE RISCO

É o processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

4.17.    SEGURANÇA DA INFORMAÇÃO

É a preservação da confidencialidade, integridade e disponibilidade da informação, protegendo-a de diversos tipos de ameaças, para garantir a continuidade de negócios, minimizar perdas e danos e maximizar o retorno dos investimentos e as oportunidades de negócio.

4.18.    TERCEIROS

São todos aqueles que prestam serviços para o TRESORY BANK, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como prestador terceirizado.

4.19.    CERTIFICADOS DIGITAIS

Também são conhecidos como certificados de chave pública ou de identidade, e constituem documentos eletrônicos que usam uma assinatura digital para vincular uma chave pública a uma identidade, informações como o nome de uma pessoa ou organização, seu endereço etc. podem ser usados para verificar se uma chave pública pertence a um indivíduo.

4.20.    CÓDIGO MALICIOSO

É o termo genérico que se refere a todos os tipos de programa especificamente desenvolvidos para executar ações danosas em recursos de Tecnologia da Informação, tais como Vírus, Cavalo de Tróia, Spyware, Worms, entre outros.

4.21.    ENCARREGADO

É a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

4.22.    TRILHA DE AUDITORIA

Pode ser chamada também de log de Auditoria, e constitui um registro de todas as ações, eventos ou atividades que um usuário ou sistema realizou com seus dados. É usada para assegurar o fluxo preciso das transações desse sistema, funcionando como complexo e detalhado rastreamento. Dessa maneira podem estar relacionados à criação, modificação, exclusão de registros ou mesmo sequência de ações automatizadas do sistema.

  1. DIRETRIZES

Os princípios da confidencialidade, integridade, disponibilidade, autenticidade e não repúdio, são os pilares para as ações ou condutas de Segurança da Informação que atuam como um guia para a sua implementação e gestão de medidas técnicas e administrativas, conforme descritas nesta Política, sendo essenciais para garantir a proteção das informações da TRESORY BANK.

Visando a garantia da Segurança da Informação, todos os Colaboradores da TRESORY BANK, deverão pautar-se nos seguintes princípios:

  • Alinhamento estratégico entre políticas, normas e diretrizes de Segurança da Informação e os objetivos de negócio e o planejamento estratégico da TRESORY BANK.
  • Promover um ambiente positivo de segurança a fim de garantir um o engajamento das equipes em desempenhar suas atividades de acordo com os parâmetros de segurança estipulados nesta Política, por meio de medidas educativas e de conscientização.
  • Propriedade da informação, onde toda informação produzida ou armazenada no TRESORY BANK é de sua propriedade e não dos colaboradores que nela trabalham, exceto nos casos em que a TRESORY BANK atuar como Custodiante da informação de outra organização, quando a informação poderá pertencer a um terceiro.
  1. GESTÃO DE VULNERABILIDADES E PREVENÇÃO A INCIDENTES

Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da TRESORY BANK, onde é realizada análise Manual e Automatizada de vulnerabilidades de Segurança.

As verificações de vulnerabilidades devem ser realizadas ao menos semestralmente ou após qualquer alteração significativa no ambiente, aplicando-se a todos os ambientes que mantêm dados de produção.

Deverá ser realizada a avaliação dos ativos pertencentes à infraestrutura e aplicação, considerando a identificação dos componentes que podem expor a segurança.

Deverá ser apresentado um plano de trabalho para avaliar e reportar a situação atual da segurança do ambiente (Procedimento Operacional Padrão – POP).

Além disso, são adotados controles para rastreamento e prevenção de vazamentos de informações baseadas no nível de classificação. Os controles adotados permitem a identificação de informações armazenadas em ativos, evidenciando informações sensíveis, para que diferentes ações sejam tomadas de acordo com o nível de sensibilidade e autorização que cada colaborador possui em relação a manipulação de informações, registrando eventos indevidos e incidentes que violem a segurança das informações manipuladas.

  1. GESTÃO DE PATCHES

O processo de gestão de patches é uma prática proativa destinada a prevenir, dentro da infraestrutura de tecnologia da informação, a exploração de vulnerabilidades que poderiam comprometer a confidencialidade, integridade ou disponibilidade das informações manipuladas por componentes dessa infraestrutura. Todos os Ativos de informação de propriedade ou mantidos pelo TRESORY BANK devem ter instalados os últimos patches estáveis, disponibilizados pelos respectivos fornecedores.

  1. SENHAS DE USUÁRIOS

A política de senhas estabelece que elas sejam de uso confidencial, pessoal e intransferível, além de conter requisitos mínimos de segurança de acordo com o seu grau de criticidade.

Os sistemas, redes e aplicativos de informação devem ser protegidos pelo uso de senhas para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis incorretamente.

Os critérios para elaboração, manutenção e gerenciamento dos acessos devem levar em consideração a criticidade das informações e as necessidades dos processos de negócio envolvidos.

 

  1. GESTÃO DE ACESSOS

Todas as informações, sistemas, redes e aplicativos devem ser protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.

Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da TRESORY BANK devem estar relacionados com os seus negócios, exclusivamente.

A informação deverá ser acessada de acordo com os controles de acesso existentes e deverá ser tratada com observância às finalidades para as quais foram criadas ou coletadas, respeitando-se, naquilo que for cabível, os princípios da necessidade e finalidade, sempre e exclusivamente para os fins corporativos.

A identificação de cada Colaborador para fins de acesso (usuário e senha), deverão ser de uso único, pessoal e intransferível, qualificando o respectivo Colaborador como o responsável pelas ações realizadas com a sua identificação, exceto quando comprovada fraude ou subtração.

As regras de controle de acesso e de direitos de uso para os proprietários de informação devem contemplar cada usuário individual ou grupos de usuários.

Os sistemas de informação utilizados na TRESORY BANK deverão ser acessados apenas por colaboradores identificados.

  1. PROTEÇÃO CONTRA CÓDIGO MALICIOSO

Devem ser implementados controles para prevenção e detecção de softwares maliciosos em todos os Ativos de tecnologia da Informação. Os arquivos anexados às mensagens de Correio Eletrônico, logo após seu recebimento, devem ser verificados, quanto à contaminação por código malicioso, através do software antivírus homologado e instalado nas estações de trabalho dos colaboradores;

  1. SEGURANÇA DE REDES

Toda a comunicação entre as redes do TRESORY BANK e a Internet ou qualquer outra rede pública deve necessariamente passar por um sistema de controle de acesso de conexões (Firewall), configurado com política restritiva, com monitoramento bidirecional dos fluxos de comunicação e com proteção contra ataques, tais como negação de serviço, entre outros.

Toda comunicação entre computadores remotos e as redes do TRESORY BANK, através da Internet ou outra rede pública, deve ser autenticada e criptografada, usando soluções tecnológicas autorizadas pela área de Tecnologia da Informação.

 

  1. CÓPIAS DE SEGURANÇA (BACKUP)

A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.

  1. CRIPTOGRAFIA DE DADOS

O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis.

Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia.

  1. UTILIZAÇÃO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO

Os Ativos de tecnologia da informação são recursos corporativos, de propriedade da TRESORY BANK, disponibilizados apenas para a execução das atividades funcionais dos colaboradores.

 

  1. GESTÃO DE MUDANÇAS

O processo de gestão da mudança tem como objetivo assegurar que as mudanças nos sistemas de Tecnologia da Informação sejam controladas e gerenciadas consistentemente a fim de manter a disponibilidade dos sistemas de produção, minimizar o risco de falhas do sistema, garantir aprovações apropriadas e apoiar a auditoria nas mudanças em produção, de acordo com os padrões estabelecidos nesta Política.

  1. GESTÃO DE CONTINUIDADE DO NEGÓCIO

O TRESORY BANK deve implementar planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.

Estruturar o entendimento integral de todos os aspectos e fenômenos relacionados à continuidade do negócio, incluindo, identificação das ameaças potenciais e os respectivos impactos nas operações do negócio, definição da estratégia de recuperação a ser utilizada caso ocorra um incidente, gerenciamento de crise para incidentes adversos que interrompam um processo crítico, planejamento da continuidade e da recuperação das operações e sistemas após uma interrupção, estabelecimento de procedimentos de retorno à normalidade, quando aplicável, incorporar a gestão da continuidade de negócio ao desenvolvimento de novos produto e serviços críticos e ao processo de gerência de mudanças para produtos e serviços existentes, prover a continuidade das operações do negócio em um nível aceitável pré-definido, orientar ações de prevenção e mitigação dos riscos operacionais e gerenciar o programa de continuidade de negócios por meio de treinamentos, testes e análises que garantam o bom funcionamento dos planos de continuidade.

  1. CLASSIFICAÇÃO DA INFORMAÇÃO

Todas as informações custodiadas ou de propriedade do TRESORY BANK devem ser classificadas em uma das seguintes categorias:

  • Pública: informações de caráter informativo, profissional ou que, em função da legislação vigente, são divulgadas a todo o público interno e externo, mediante a avaliação da Assessoria de Comunicação ou Unidade equivalente.
  • Interna: informações pertencentes ou custodiadas pela TRESORY BANK, que podem ser acessadas por todos os colaboradores, mediante autorização.
  • Confidencial: informações pertencentes ou custodiadas pela TRESORY BANK e que, se reveladas, podem trazer impactos negativos aos negócios ou repercussões para a imagem da mesma, embaraços administrativos com colaboradores, vantagens a terceiros e outras informações protegidas por legislação específica.

A classificação das informações deve ser realizada com base nas exigências de negócio da TRESORY BANK, considerando as implicações que seu nível de criticidade trará para o negócio.

A classificação das informações deve ser feita para determinar as medidas de proteção necessárias, visando agilizar o processo de tratamento das informações e otimizar os custos com a sua proteção.

A informação deve receber tratamento adequado à sua classificação durante todo o seu ciclo de vida.

É expressamente proibida aos colaboradores a utilização, repasse e/ou divulgação indevida de toda e qualquer informação de propriedade da TRESORY BANK.

Toda divulgação de informação deve ser autorizada. As informações a serem divulgadas interna ou externamente, devem ser cuidadosamente avaliadas quanto à importância e aos possíveis impactos negativos nos negócios da TRESORY BANK, especialmente as que tenham como destinatário o público externo.

Antes que as informações custodiadas ou de propriedade da TRESORY BANK sejam disponibilizadas a terceiros, para qualquer finalidade, deverá ser assegurado que esses terceiros tenham condições de manter sua integridade e confidencialidade.

Terceiros devem ser orientados e supervisionados quanto aos aspectos da segurança da informação. O contratante deve garantir que o compromisso de sigilo seja parte integrante do contrato.

Informações internas ou confidenciais não devem ser descartadas como lixo comum. Documentos impressos ou em mídia eletrônica, que contenham informação com esses níveis de classificação, devem ser destruídos antes de serem descartados, de forma que torne impossível a sua recuperação.

  1. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Todos os Colaboradores devem reportar imediatamente quaisquer incidentes de segurança que tomarem conhecimento à liderança da área de Segurança da Informação, para que estes possam ser classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade.

Na ocorrência de incidente envolvendo dados pessoais, a área de Segurança da Informação deverá acionar, por sua vez, o Encarregado, para que este tome todas as providências.

Os procedimentos envolvidos devem descrever o processo de identificação, comunicação do incidente e o processo de investigação do incidente, devem também realizar o recolhimento de evidências e registros para cadeia de custódia.

Toda vez que um incidente mal-intencionado for identificado e/ou resolvido, deverá ser feita uma investigação para identificar a origem do ataque e possibilitar a adoção dos procedimentos administrativos e/ou judiciais apropriados.

  1. TREINAMENTO E DIVULGAÇÃO

Um programa de conscientização, avaliação, educação e treinamento em Segurança da Informação, com o objetivo de disseminar a cultura de segurança da informação na TRESORY BANK avaliando o nível de maturidade e conhecimento dos colaboradores em relação aos temas ministrados, é essencial para garantir os objetivos desta Política.

Todos os colaboradores e terceiros contratados da TRESORY BANK devem concluir o treinamento em Segurança da Informação e participar do programa de educação continuada. Treinamentos adicionais, incluindo treinamentos especializados em segurança, devem ser fornecidos conforme necessário a função e atribuições específicas de cada Colaborador.

Esta Política, juntamente com outras normas e padrões internos de segurança devem ser amplamente divulgadas no processo de admissão e integração de novos Colaboradores, conjuntamente pelas áreas de Recursos Humanos e Segurança da Informação.

  1. DESENVOLVIMENTO SEGURO E SEGURANÇA NAS APLICAÇÕES

Todo o ciclo de vida do desenvolvimento dos softwares do TRESORY BANK deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança.

Todo desenvolvimento ou manutenção de software devem ser formalmente autorizados e deve ser realizada uma análise de impacto.

Alterações de escopo de desenvolvimento ou manutenção de software devem ser documentadas e formalmente autorizadas.

Uma metodologia padronizada de desenvolvimento seguro de aplicações deve ser aplicada no desenvolvimento de novos sistemas ou na manutenção evolutiva de sistemas já existentes.

Controles adequados, trilhas de auditoria ou de registro de atividade devem ser projetados para cada aplicação. Estes controles incluem, mas não estão limitados a validação das entradas, processamento, preparação das saídas e, onde aplicável, à transmissão de dados.

Todas as ferramentas de desenvolvimento devem ser homologadas e licenciadas. O projeto de software deve conter um documento de especificação de segurança que descreva seus objetivos de segurança.

  1. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

Todo sistema de propriedade do TRESORY BANK, seja ele adquirido ou desenvolvido internamente, deve ser submetido a um processo de avaliação de riscos antes de sua implantação, de forma a garantir seu alinhamento com as práticas de Segurança da Informação estabelecidas nesta Política.

Antes da implantação do aplicativo, todos os dados de teste e quaisquer contas especiais configuradas para fins de teste devem ser removidos. Além disso, todas as contas, nomes de usuário e senhas de aplicativos personalizados devem ser removidos antes que os aplicativos se tornem ativos ou disponíveis para os clientes.

Os desenvolvedores devem estar familiarizados e seguir diretrizes de codificação seguras. É necessário que os desenvolvedores sejam treinados e participem de formações de codificação segura fornecidas pela TRESORY BANK uma ou mais vezes por ano. Todas as vulnerabilidades comuns de codificação nos processos de desenvolvimento de software devem ser evitadas.

Os controles de acesso devem estar em vigor para fornecer uma separação distinta. Os ambientes de teste e desenvolvimento devem ser separados do ambiente de produção.

  1. CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS

A TRESORY BANK deve assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados.

Previamente à contratação de serviços relevantes de processamento e armazenamento de dados devem adotar procedimentos que contemplem:

  • Adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;
  • Verificação da capacidade do potencial do prestador de serviço de assegurar:

○          O cumprimento da legislação e da regulamentação em vigor;

○          O acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

○          A confidencialidade, integridade, disponibilidade e recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

○          O acesso da unidade de negócio contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

○          O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

○          A identificação e a segregação dos dados dos clientes da unidade de negócio por meio de controles físicos ou lógicos;

○          A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

Na avaliação da relevância do serviço a ser contratado, a unidade de negócio contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação de risco realizada e respectiva gestão dos serviços a serem contratados.

No caso da execução de aplicativos por meio da internet, a unidade de negócio deve assegurar que o potencial prestador dos serviços adote controles que mitigam os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

A unidade de negócio é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados devem prever:

  • Indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
  • Adoção de medidas de segurança para a transmissão e armazenamento dos dados;
  • Manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;

Obrigatoriedade, em caso de extinção do contrato, de:

  • Transferência dos dados citados ao novo prestador de serviços ou à instituição contratante;
  • Exclusão dos dados citados pela empresa contratada substituída, após a transferência dos dados prevista a confirmação da integridade e da disponibilidade dos dados recebidos;
  • Acesso pela unidade de negócio contratante às informações fornecidas pela empresa contratada, certificações e aos relatórios de auditoria especializada, informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados.
  1. REGISTRO E MONITORAMENTO

O TRESORY BANK deve criar, proteger, monitorar e manter registros (logs) de eventos, a fim de acompanhar e analisar possíveis violações da segurança.

Todas as transações relacionadas aos clientes devem gerar trilhas de auditoria (logs), que deverão ser mantidas, protegido contra acessos não autorizados.

Não deve haver nenhuma modificação na integridade das trilhas de auditoria (logs), ou seja, não pode haver usuários com permissão de alteração.

Todo acesso de consulta, cópia ou tentativa de modificação e exclusão das trilhas de auditoria (logs) deve ser registrado.

As falhas nos registros das trilhas de auditoria (logs) devem ser registradas, analisadas e devem ser tomadas providências para corrigir o erro de forma imediata.

  1. AVALIAÇÃO PERIÓDICA

O TRESORY BANK deve avaliar periodicamente as práticas de Segurança da Informação de forma a aferir a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

 

  1. MONITORAMENTO

O TRESORY BANK deve avaliar periodicamente as práticas de Segurança da Informação de forma a aferir a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

 

  1. REVISÃO E ANÁLISE CRÍTICA

O conjunto de documentos que compõem a Política de Segurança da Informação do TRESORY BANK deve passar por revisões e análises críticas periódicas, legais, estatutários, regulamentares e contratuais que possam influenciar ou afetar o processo de gestão de Segurança da Informação do TRESORY BANK.

 

  1. CONFLITOS

Na existência de conflito entre os controles de Segurança da Informação e uma necessidade de negócio específica, controles mitigatórios devem ser analisados e implementados a fim de viabilizar os objetivos do TRESORY BANK, havendo ainda a necessidade de registro da aceitação dos riscos remanescentes por parte da Diretoria.

  1. ATRIBUIÇÕES E RESPONSABILIDADES

Além das responsabilidades expressamente previstas nesta Política, caberá a cada um dos seguintes grupos de Colaboradores do TRESORY BANK:

28.1.    SÓCIOS-ADMINISTRADORES

  • Aprovar esta Política de Segurança Cibernética e da Informação
  • Prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação do TRESORY BANK e acompanhar periodicamente a evolução dos indicadores e resultados das medidas de segurança implementadas;
  • Assegurar que esta Política e as diretrizes de Segurança da Informação estão estabelecidas e são compatíveis com a direção estratégica do TRESORY BANK, assim como zelar pelo seu estrito cumprimento;Prover comprometimento e apoio à aderência a esta Política de acordo com os objetivos e estratégias de negócio estabelecidas para o TRESORY BANK;
  • Prover comprometimento e apoio à aderência a esta Política de acordo com os objetivos e estratégias de negócio estabelecidas para o TRESORY BANK;
  • Fornecer as áreas de Tecnologia da Informação e Segurança da Informação amplo apoio e recomendação sempre que necessário, permitindo a melhoria contínua da estratégia de Segurança da Informação do TRESORY BANK.

28.2.    ÁREA DE SEGURANÇA DA INFORMAÇÃO

  • Assegurar a divulgação desta Política a todos os Colaboradores, Terceiros e demais partes interessadas do TRESORY BANK, inclusive suas atualizações, realizar treinamentos periódicos de conscientização sobre os procedimentos e controles de segurança aqui previstos;
  • Gerir a segurança da informação criando e acompanhando os indicadores de performance e eficiência;
  • Gerir os projetos de segurança da informação;
  • Avaliar os controles de segurança dentro do seu escopo de ação;
  • Desenvolver programas de conscientização e educação em segurança da informação;
  • Garantir a realização de testes de invasão e investigações no ambiente periodicamente.
  • Avaliar e responder aos incidentes relacionados a processos e pessoas;

28.3.    ÁREA DE TECNOLOGIA DA INFORMAÇÃO

  • Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software; ● Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia;
  • Conduzir a gestão dos acessos a sistemas e informações do TRESORY BANK;
  • Implantar e manter funcionais os controles e padrões de segurança definidos para os ativos de tecnologia da informação;
  • Informar imediatamente a área de Segurança da Informação, sobre violações, falhas, anomalias e outras condições que possam colocar em risco as informações e ativos do TRESORY BANK;
  • Controlar alterações em ativos de TI e garantir que estas sejam analisadas criticamente e testadas para que não ocorram impactos adversos na operação do TRESORY BANK ou em sua segurança;
  • Garantir a continuidade dos serviços tecnológicos de forma a atender aos requisitos essenciais do negócio;
  • Garantir que todos os ativos críticos de tecnologia da informação devem ser instalados em ambientes especializados. Estes devem conter todas as proteções e contingências necessárias para a sua respectiva proteção;
  • Adequar esta Política às novas tecnologias que vierem a ser adotadas pelo TRESORY BANK, de forma a mantê-la sempre abrangente e atualizada.

28.4.    COMITÊ DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE

  • Aprovar a realização de investigações e determinar a adoção de medidas necessárias.
  • Assegurar que as infrações e violações sejam seguidas de ações disciplinares aplicáveis.
  • Tomar ciência de riscos corporativos;
  • Assegurar a conformidade de rotinas, práticas e procedimentos;
  • Apreciar os relatórios emitidos pelos Órgãos Reguladores e Auditorias;
  • Acompanhar a efetividade e eficácia das atividades e ações relacionadas aos temas;
  • Assegurar que Conselho esteja ciente dos assuntos que possam causar impacto significativo à imagem;
  • Deliberar sobre estratégias e contratação de serviços especializados.

28.5.    ÁREA DE RECURSOS HUMANOS

  • Garantir que todos os novos Colaboradores do TRESORY BANK leiam, entendam e declarem estarem cientes acerca da presente Política e de suas diretrizes;
  • Comunicar prontamente as áreas de Tecnologia da Informação e Segurança da Informação toda e qualquer alteração no quadro de pessoal, incluindo demissões, alterações de cargos, funções, entre outros necessários a fim de evitar acessos não autorizados e/ou em níveis não condizentes com a função ou cargo exercido.
  • Garantir que todos os contratos de trabalho de colaboradores contenham as cláusulas pertinentes às responsabilidades dos funcionários pela segurança da informação e confidencialidade.
  • Sempre que terminar a colaboração de um funcionário a área de recursos humanos deverá recolher os recursos disponibilizados e informar a área de infraestrutura para que esse colaborador possa ser, o mais rapidamente possível, desativado e os seus acessos cancelados.

28.6.    ÁREAS JURÍDICA E DE COMPLIANCE

  • Apoiar as áreas de Tecnologia da Informação e Segurança da Informação em investigações envolvendo incidentes de segurança e garantir a aplicação das sanções administrativas e judiciais cabíveis previstas em políticas internas do TRESORY BANK e em lei.

28.7.    COLABORADORES E TERCEIROS CONTRATADOS

  • Ler atentamente esta Política, declarar ciência e aderir às diretrizes que constam neste documento;
  • Utilizar as ferramentas e Ativos que lhe forem colocadas à disposição pela de forma diligente e em estrita conformidade com as políticas e normas internas do TRESORY BANK, incluindo esta Política.
  • Prover segurança às informações utilizadas no relacionamento com terceiros, obedecendo aos requisitos contratuais e/ou legais;
  • Administrar de forma conveniente e adequada, sob a ótica da segurança e proteção, informações, ativos de sistemas de informação e mídias que contenham qualquer informação pertencente ou custodiada;
  • Conhecer o tema de segurança da informação, com o intuito de evitar a ação de quaisquer tipos de fraudadores, ou ser vítima destes;
  • Guardar sigilo sobre qualquer informação que ainda não tenha sido divulgada, obtida em razão do cargo e capaz de influir de modo ponderável no negócio, sendo-lhe vedado valer-se da informação para obter vantagem para si ou para outrem;
  • Zelar para que os aspectos de segurança da informação sejam respeitados, inclusive comunicando à empresa situações suspeitas ou efetivamente irregulares;
  • Participar dos treinamentos e conscientização sobre práticas de Segurança da Informação que venham a ser oferecidos pelo TRESORY BANK;
  • Reportar as áreas de Tecnologia da Informação e Segurança da Informação toda e qualquer suspeita de violação às diretrizes, procedimentos e controles previstos nesta Política;
  • Devolver (ou destruir, caso assim expressamente solicitado pela área de Segurança da Informação) todas as informações que estejam em seu poder ao final do seu vínculo com o TRESORY BANK.
  1. CONSIDERAÇÕES FINAIS

29.1.    SUPERVISÃO E PENALIDADES

Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os Colaboradores e Terceiros do TRESORY BANK. O descumprimento da Política é considerado uma falta grave que será analisada pelas áreas de Segurança da Informação, Recursos Humanos e de Compliance do TRESORY BANK, e as penalidades serão decididas em conjunto com a Diretoria.

O Colaborador que violar esta Política de Segurança da Informação estará́ sujeito às sanções administrativas e disciplinares previstas em políticas internas ou em lei, podendo, inclusive, ter a rescisão do respectivo acordo ou do contrato de trabalho por justa causa, sem prejuízo de eventual responsabilização cível ou criminal, conforme a legislação vigente.

 

  1. DISPOSIÇÕES GERAIS

Esta Política de Segurança da Informação foi aprovada pelo Comitê de Segurança da Informação e Privacidade em 01 de junho de 2021, e consiste na versão atual, válida e eficaz das diretrizes internas sobre gestão e enfrentamento de incidentes de segurança da informação do TRESORY BANK.

O TRESORY BANK realiza o monitoramento contínuo da conformidade de suas diretrizes e políticas internas e reserva-se o direito de atualizar e modificar periodicamente esta Política, assim como suas práticas de segurança da informação, sempre que entender necessário.

Os casos omissos nesta Política serão discutidos e encaminhados no Comitê de Segurança da Informação e Privacidade, em conjunto com a Diretoria, deverão analisar as questões envolvidas e emitir uma decisão a posteriori, em conformidade com a legislação aplicável.

HISTÓRICO DE REVISÃO
REVISÃODATAMOTIVO DA REVISÃOALTERADO POR
0012/09/2023Elaboração do documento Gabriel Pereira
    
    
    
APROVAÇÃO DE DOCUMENTO
Elaborador por: Gabriel PereiraRevisado por: Giuliana StoccoAprovado por:  Galber Rodrigues
Assinatura:Assinatura:Assinatura:
Data:Data:Data:

Tresory Bank

Produtos

Veja Também

Explore

Instagram
Facebook-f
Linkedin-in

Transparência

Ouvidoria

  • Atendimento em dias úteis das 9h às 17h.

Baixe o App

SAC

Fale Conosco

Avenida Doutor Chucri Zaidan, 1550, 22º andar São Paulo, SP, Brasil – Edif. Capital Corporate Office
© 2023 Todos os Direitos Reservados | A TRESORY BANK INSTITUIÇÃO DE PAGAMENTOS S.A está inscrita sob o cnpj 02.125.367/0001-67 denomina-se uma instituição de pagamentos a qual opera com o sistema open banking conforme a circular 4.032/2020 do BACEN. Todos os recursos captados são via CCB (cédula de crédito bancário) pela instituição TRESORY ATIVOS SECURITIZADORA S.A inscrita sob o cnpj 40.899.802/0001-08 o qual é regulado conforme circular BACEN 4036/2020 o TRESORY BANK figura o papel neste ato como correspondente bancário. Os produtos mencionados de caracter de investimento é intermediado pelo TRESORY BANK e administrado pela Gestora de Fundos TRÉSOR INVESTIMENTOS nos termos do Ato Declaratório 14.798 segundo a CVM.