Fênix DTVM

(65) 99930-7580

Política e Privacidade

POLÍTICA DE SEGURANÇA CIBERNÉTICA

INTRODUÇÃO E OBJETIVO

A Política de Segurança Cibernética estabelece princípios e práticas para garantir a confidencialidade, integridade e disponibilidade das informações do Grupo FNX, visando prevenir e reduzir vulnerabilidades cibernéticas. Seu objetivo é implementar diretrizes e controles para proteger os dados e sistemas de informação do Grupo, além de orientar os procedimentos de Segurança Cibernética.

PRINCIPAIS REFERÊNCIAS REGULATÓRIAS E INTERNAS

Abaixo estão relacionados os principais referenciais regulatórios que, à época de elaboração deste documento, regulam o tema e norteiam a presente política:

  1. Lei de Software (Lei nº 9.609/98): Estabelece diretrizes para a proteção da propriedade intelectual de programas de computador, abordando aspectos pertinentes ao uso e comercialização de software no território nacional.
  2. Lei Complementar n° 105/01: Trata especificamente do sigilo das operações de instituições financeiras e regulamenta o compartilhamento de informações entre essas instituições e a Receita Federal do Brasil.
  • Lei Geral de Proteção de Dados – LGPD (Lei n° 13.709/18): Disciplina o tratamento de dados pessoais por empresas e organizações, impondo diretrizes para a utilização, armazenamento e compartilhamento desses dados.
  1. Resolução CMN n° 4.893/21: Norma emitida pelo Conselho Monetário Nacional (CMN) que estabelece políticas referentes à segurança cibernética. Tais diretrizes devem ser seguidas pelas instituições financeiras e demais entidades autorizadas a operar pelo Banco Central do Brasil.
  2. Demais normas reguladoras externas e internas: Garantindo a conformidade com os requisitos legais e regulamentares em vigor, assegurando a adequada segurança cibernética.
CLASSIFICAÇÃO

PÚBLICA – A presente norma pode ser levada ao  conhecimento público.

ABRANGÊNCIA

Esta Política é aplicável a todas as empresas que integram o Grupo FNX, seus colaboradores (acionistas, diretores, empregados, estagiários), partes relacionadas e quaisquer terceiros que possuam alguma relação laboral conosco. 

FUNÇÕES E RESPONSABILIDADES

DIRETORIA EXECUTIVA 

  • Fornecer recursos e apoio para a implementação eficaz da política de segurança cibernética;
  • Demonstrar comprometimento com a proteção dos ativos de informação da organização.

TECNOLOGIA DA INFORMAÇÃO

  • Implementação e monitoramento de controles de segurança cibernética;
  • Manutenção de sistemas e redes seguras;
  • Resposta a incidentes de segurança e recuperação de desastres;
  • Atuar em parceria com a pessoa do Data Protection Officer.

JURÍDICO

  • Orientação sobre litígios e conformidade regulatória;
  • Revisão de contratos e acordos relacionados à segurança da cibernética;
  • Atuar em parceria com a pessoa o Encarregado pelo Tratamento de Dados Pessoais.

SUPERINTENDÊNCIA DE GOVERNANÇA, RISCOS E COMPLIANCE

  • Garantia de conformidade com as leis de proteção de dados e normas internas;
  • Monitoramento de conformidade com regulamentos de segurança cibernética;
  • Coleta de evidências para auditorias e inspeções regulatórias.

RECURSOS HUMANOS E DEPARTAMENTO PESSOAL

  • Condução de treinamentos de conscientização sobre segurança cibernética;
  • Implementação de procedimentos de segurança para a contratação e demissão de

funcionários.

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DATA PROTECTION OFFICER – DPO)

  • Monitoramento da conformidade com as leis de proteção de dados;
  • Aconselhamento sobre questões de privacidade e segurança;
  • Atuar em conjunto com o departamento de Tecnologia da Informação e Jurídico;
  • Condução de treinamentos e conscientização sobre temas relacionados à proteção de dados em parceira com o setor de Recursos Humanos e Departamento Pessoal.

COLABORADORES E PARTES INTERESSADAS EM GERAL

  • Cumprir as diretrizes e procedimentos estabelecidos nesta Política;
  • Participar de programas de treinamento e capacitação em segurança cibernética;
  • Reportar quaisquer incidentes de segurança cibernética ou violações de dados imediatamente; Garantir a proteção adequada das informações confidenciais da instituição e de seus clientes;
  • Adotar práticas de segurança cibernética em suas atividades diárias e no uso de sistemas de informação da organização.
1.    PRINCÍPIOS DE SEGURANÇA CIBERNÉTICA
  • Confidencialidade: Garantir que apenas pessoas autorizadas tenham acesso a informações sensíveis.
  • Integridade: Manter a integridade dos dados, prevenindo alterações não autorizadas.
  • Disponibilidade: Garantir que os sistemas e dados estejam disponíveis quando necessário.
  • Autenticidade: Verificar a autenticidade de usuários e sistemas para evitar fraudes.
  • Não repúdio: Garantir que as ações realizadas possam ser atribuídas a seus autores.
2.    DIRETRIZES DE SEGURANÇA CIBERNÉTICA

Esta política estabelece as seguintes diretrizes gerais:

  • Cumprir as leis e regulamentos que regem as atividades do Grupo;
  • Garantir a salvaguarda das informações contra acessos, alterações, destruições ou divulgações não autorizadas;
  • Garantir que as informações sejam acessadas e usadas apenas para os propósitos para os quais foram coletadas;
  • Garantir a classificação apropriada dos dados e das informações pertinentes para o funcionamento do Grupo;
  • Implementar procedimentos e controles de segurança da cibernética para prevenir, detectar e reduzir riscos cibernéticos;
  • Promover a cultura de segurança cibernética através do treinamento e avaliação dos colaboradores e parceiros da empresa;
  • Assegurar que terceiros relacionados aos negócios da empresa cumpram esta política e a legislação e regulamentos aplicáveis.
3.    PROCEDIMENTOS DE SEGURANÇA CIBERNÉTICA

O Grupo FNX busca assegurar o cumprimento de todas as diretrizes adotando regras e procedimentos de acordo com os seguintes processos definidos: 

3.1.     AUTENTICAÇÃO

É feita a adoção de mecanismos para garantir que o acesso aos ambientes computacionais seja permitido apenas aos indivíduos autorizados, levando em consideração o princípio do menor privilégio, a segregação de funções e a classificação da informação. 

3.2.     CRIPTOGRAFIA

Os ativos de informação do Grupo FNX possuirão criptografia adequada, a fim de se garantir proteção em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores. 

3.3.     RASTREABILIDADE

O Grupo FNX adota controles específicos para promover a rastreabilidade da informação, a fim de garantir a segurança das informações sensíveis.

3.4.     SEGMENTAÇÃO DE REDE

O Grupo FNX adota mecanismos internos para a segmentação de rede para proteger seus dados de ataques cibernéticos e determinar que todos os computadores conectados à rede corporativa não estejam acessíveis diretamente pela Internet.

3.5.     BACKUP DE DADOS

O Grupo FNX zela pelo processo de salvaguarda dos dados necessários para completa recuperação dos seus sistemas relevantes, a fim de atender aos requisitos operacionais e legais, assegurar a continuidade do negócio em caso de falhas ou incidentes, além de auxiliar em sua ágil recuperação.

3.6.     GRAVAÇÃO DE LOG

É realizada a gravação de logs de dados que permitam a rastreabilidade do acesso e a identificação do criador, data, meios de acesos e informações acessadas. As informações dos logs são protegidas contra alterações e acessos não autorizados.

3.7.     PROTEÇÃO CONTRA VÍRUS, ARQUIVOS E SOFTWARES MALICIOSOS

O Grupo FNX adota mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham o grupo a vulnerabilidades. Para tanto, os softwares de segurança, como o antivírus, estarão sempre instalados e atualizados em toda a rede interna das empresas do Grupo FNX.

3.8.     TESTES DE VARREDURA PARA DETECÇÃO DE VULNERABILIDADE

O Grupo FNX criará regularmente rotinas para identificar e eliminar as vulnerabilidades de seus sistemas e servidores com o intuito de assegurar a integridade do ambiente dos processos de negócio. Para tanto, promove o monitoramento constante e condução de testes e varredura para detecção de vulnerabilidades, avaliação de riscos e determinação de medidas de correção adequadas. 

3.9.     CONTROLE DOS DISPOSITIVOS DE TECNOLOGIA

Os recursos de tecnologia são disponibilizados pelo Grupo FNX para uso profissional dos colaboradores e parceiros, sendo protegidos por controles contra-ataques cibernéticos e prevenção ao vazamento de dados. 

3.10.  DESENVOLVIMENTO DE SISTEMAS E GARANTIA DE QUALIDADE

A avaliação dos aspectos de segurança é parte integrante no desenvolvimento de sistemas ou aquisição dos mesmos. Controles de segurança serão continuamente estabelecidos ao longo de toda a vida útil desses sistemas para assegurar que as informações processadas estejam protegidas, de acordo com sua classificação e exposição a risco. 

3.11.  SEGURANÇA E MONITORAMENTO DA INFRAESTRUTURA, REDES E SISTEMAS

As redes e sistemas corporativos são administrados, monitorados e protegidos em consonância com as exigências e requisitos padrões de Segurança Cibernética. São também protegidos contra acessos não autorizados por meio de tecnologias de rede devidamente atualizadas, revisadas e testadas periodicamente de forma independente.

3.12.  AVALIAÇÃO DE RISCOS CIBERNÉTICOS DE PRODUTOS E SERVIÇOS

Os riscos de segurança cibernética são avaliados e administrados de acordo com os requisitos a serem definidos em norma específica e nos controles de proteção. Após o registro e análise, são executadas as respostas proporcionais aos riscos identificados.

O Grupo FNX adotará procedimentos para mitigar os efeitos dos incidentes relevantes e a interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados.

4.    INCIDENTES DE SEGURANÇA
4.1.     CLASSIFICAÇÃO DE RELEVÂNCIA DOS INCIDENTES

O Grupo FNX classificará os incidentes de segurança segundo sua relevância e conforme a classificação das informações envolvidas e o impacto na continuidade dos negócios deste. 

4.2.     GESTÃO DE INCIDENTES

Todos os incidentes ou suspeita de incidentes identificados por um colaborador, cliente, prestador de serviços, fornecedor, ou parceiro devem ser imediatamente comunicados à área responsável. A comunicação deverá ser feita ao CSIRT – Computer Security Incident Response Team através do email: csirt@fenixpar.com.br.

Os incidentes reportados serão classificados segundo o risco que representam e o impacto na continuidade dos negócios do Grupo FNX. Além disso, serão devidamente registrados, tratados e comunicados. 

 

O Grupo FNX adota procedimentos para mitigar os efeitos dos incidentes relevantes e a interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados. 

4.3.     PLANO DE COMPARTILHAMENTO DE INCIDENTES

Sem prejuízo do dever de sigilo e da livre concorrência, o Grupo FNX adota iniciativas para o compartilhamento de informações sobre incidentes relevantes com outras Instituições e órgãos reguladores competentes por meio dos canais adotados pelo mercado, com o objetivo de impedir que o ato malicioso se espalhe.

O prazo mínimo para armazenamento das ocorrências, soluções e compartilhamento deverá ser de 5 (cinco) anos.

4.4.     PLANO DE AÇÃO E RESPOSTA A INCIDENTES

O Grupo FNX estabelecerá plano de ação e de resposta a incidentes visando à implementação desta Política, que abrange, minimamente:

  • As ações a serem desenvolvidas para adequar as estruturas organizacional e operacional às diretrizes desta Política;
  • As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes.
4.5.     RELATÓRIO ANUAL DE INCIDENTES 

O Grupo FNX deverá elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. O relatório abordará:

  • A efetividade da implementação das ações de adequação suas estruturas organizacional e operacional, com o objetivo de adequar suas estruturas organizacional e operacional aos princípios e às diretrizes desta Política;
  • O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes desta

Política;

  • Os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período;
  • Os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.
5.    CONTINUIDADE DE NEGÓCIOS

Os controles adotados no desenvolvimento de infraestrutura de segurança cibernética possuem como objetivo primário garantir que se mantenha operacional frente a ameaças cibernéticas, de modo a assegurar a confidencialidade, a integridade e a disponibilidade da informação, de modo a garantir a continuidade dos negócios por meio de análise de cenários, monitoração e testes para a melhoria contínua.

6.    PROGRAMA DE CAPACITAÇÃO E DE AVALIAÇÃO PERIÓDICA

O Setor de Tecnologia da Informação, com auxílio do setor de Recursos Humanos e Departamento Pessoal, manterá um plano anual de conscientização direcionado ao desenvolvimento e manutenção das habilidades dos colaboradores e demais partes interessadas em relação à segurança cibernética. 

Promovendo a ampla divulgação desta Política a todos os seus parceiros (colaboradores, clientes, fornecedores e prestadores de serviço), mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, incluindo a prestação de informações aos usuários finais sobre medidas de precaução para a utilização dos produtos e serviços oferecidos. 

E este setor, em conjunto com a pessoa do Data Protection Officer (DPO), difundirão continuamente a cultura da Segurança Cibernética e da Informação, bem como a da Proteção de Dados, visando assim, promover melhorias contínuas em seus processos internos, buscando evitar quaisquer incidentes.

PROTEÇÃO DE DADOS PESSOAIS  

Todo procedimento elaborado com base na presente política que implique no tratamento de dados pessoais deverá levar em conta os fundamentos, princípios e regras referentes aos direitos dos titulares de dados pessoais previstos na legislação nacional, bem como as boas práticas referentes ao assunto, atentando-se, em especial, mas não apenas, aos princípios da finalidade, adequação, necessidade, qualidade, segurança e não discriminação.

CONSIDERAÇÕES GERAIS

Todos devem atestar a leitura e perfeita compreensão deste documento e suas posteriores alterações. O presente documento será revisado quando demandado ou, no mínimo, a cada 2 (dois) anos. A revisão não necessariamente resultará em uma nova versão do documento. A adesão às normas contidas neste documento exige sua aplicação, de forma obrigatória, a ser praticada por todos os colaboradores do setor, sem qualquer distinção.

             

CONTROLES DE VERSÕES

VERSÃO ATUAL_______________________________________________________________________________________

Versão Atual:                                       3

Elaborado por:                                   Tecnologia da Informação

Revisado por:                                       Comitê de Segurança da Informação e Privacidade dos Dados

Aprovado por:                                     Superintendência de Governança, Riscos e Compliance

Data de Aprovação (dd/mm/aaaa): 31/10/23

Início de Vigência (dd/mm/aaaa):      31/10/23

Páginas:                                               13

pt_BRPortuguese
en_USEnglish pt_BRPortuguese