Política de Segurança Cibernética e da Informação

DATA DE ÚLTIMA ATUALIZAÇÃO: 03/05/2022.

1. OBJETIVO

Estabelecer e descrever as diretrizes de Segurança Cibernética e da Informação, preservando e mantendo a privacidade, integridade, disponibilidade e confidencialidade das informações armazenadas, processadas e transmitidas nos ambientes físico e virtual do BEES Bank, seguindo as melhores práticas de segurança de mercado. Além disso, informar aos clientes, parceiros, fornecedores e dar a ciência ao público em geral dos termos da Política do BEES Bank, sempre em conformidade com a legislação, normativos e os documentos internos aplicáveis.

2. ABRANGÊNCIA / ESCOPO

Aplicável a todos os funcionários, fornecedores, consultores, incluindo os colaboradores de entidades externas ou outras entidades ou pessoas que acessem os sistemas e tecnologias de informação e comunicações do BEES Bank.

3. DIRETRIZES

As diretrizes de Segurança da Informação do BEES Bank, aplicáveis aos ambientes de computação em nuvem e local, são:

I. Garantir a privacidade, integridade, disponibilidade e confidencialidade das informações dos nossos clientes, funcionários e terceiros, assim como do próprio BEES Bank, protegendo os dados e os sistemas de informação contra acessos indevidos e modificações não autorizadas;

II. Assegurar que somente pessoas autorizadas tenham acesso às instalações do BEES Bank, às informações e aos sistemas de informação;

III. Garantir a continuidade dos negócios e proteger os processos críticos contra falhas ou desastres significativos;

IV. Atender aos requisitos regulamentares, legais e contratuais pertinentes à sua atividade;

V. Assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de Segurança da Informação, enfatizando as obrigações de todos em zelar pela segurança das informações do BEES Bank;

VI. Criptografar todas as informações confidenciais, dados pessoais e sensíveis que trafeguem em redes públicas e abertas;

VII. Adotar e manter atualizados mecanismos de proteção contra malwares e outros tipos de ataque ao ambiente organizacional;

VIII. Desenvolver sistemas e aplicativos de forma segura em acordo com as diretrizes estabelecidas na Norma de Desenvolvimento Seguro;

IX. Restringir o acesso às informações confidenciais, dados pessoais e sensíveis de acordo com a necessidade de conhecimento para o negócio e através do uso de controles de acesso lógico, garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente;

X. Identificar regularmente os riscos de Segurança da Informação aos quais o BEES Bank ou empresas coligadas estejam expostas;

XI. Regulamentar o uso de recursos computacionais disponibilizados pelo BEES Bank aos colaboradores;

XII. Criar, manter e aprovar procedimentos para gerenciar os acessos de terceiros e pessoas externas às informações confidenciais, dados pessoais e sensíveis;

XIII. Classificar as informações custodiadas ou de propriedade do BEES Bank, conforme o procedimento de classificação da informação, de acordo com o seu grau de sensibilidade para o negócio e não sendo permitido ao colaborador, fornecedor e prestador de serviço compartilhar informações internas, restritas e confidenciais, exceto quando expressamente autorizado;

XIV. Garantir que todos os colaboradores, parceiros, fornecedores, prestadores de serviço e terceiros conheçam a Política de Segurança Cibernética e da Informação, garantindo assim que as informações serão acessadas e não serão divulgadas;

XV. Assegurar que as Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

XVI. Prevenir, monitorar e tratar os incidentes de segurança da informação do BEES Bank, garantindo a disponibilidade, integridade, confidencialidade ou autenticação de acesso à informação.

4. SEGURANÇA CIBERNÉTICA

São adotados mecanismos de proteção contra os ataques cibernéticos, uso indevido, fraudes, danos, perdas, erros, sabotagens, roubo de informações e outros, em todo o ciclo de vida das informações, para cumprimento do objetivo de Segurança da Informação: prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

As áreas do BEES Bank envolvidas atuam sempre de forma colaborativa com o propósito de avaliar e deliberar as opções de tratamento para os riscos identificados, inclusive os cibernéticos. A Diretoria, dentre outras funções, atua constantemente para que haja sempre o comprometimento na melhoria contínua dos procedimentos relacionados com a Segurança da Informação.

O BEES Bank poderá tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou por determinação do Comitê de Segurança da Informação.

5. ESTRATÉGIAS ADOTADAS

Para garantir a Segurança da Informação, o BEES Bank segue as seguintes estratégias não exaustivas, expostas de forma resumida:

Gestão de incidentes: Todos os incidentes passam por um processo de análise, tratamento e comunicação, onde são registradas todas as informações pertinentes aos incidentes; ademais, são feitas notificações a clientes quando pertinente. O processo de gestão de incidentes de segurança é composto pelas etapas de triagem, análise do Incidente, notificação, contenção, erradicação e aprendendo com os incidentes.

Gestão de vulnerabilidades: O BEES Bank se preocupa com o ambiente tecnológico e os riscos que podem surgir caso uma vulnerabilidade seja explorada, então são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas do BEES Bank. A equipe de Segurança da Informação acompanha todo o processo, a fim de obter informações necessárias para realização de uma gestão sobre as aplicações de correções de vulnerabilidade. Essas informações alimentará o controle de Segurança da Informação para as vulnerabilidades do ambiente do BEES Bank.

Gestão e controle de acessos: O acesso às Informações e aos ambientes tecnológicos do BEES Bank é permitido apenas às pessoas autorizadas pelo proprietário da informação, de acordo com o princípio do menor privilégio (apenas o necessário para o desempenho de seu trabalho) e a identificação de qualquer colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas. Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções. Os acessos aos ativos de informação e aos recursos computacionais e de comunicação do BEES Bank devem estar relacionados com os seus negócios, exclusivamente. Procedimentos de controle de acesso físico devem ser implementados de forma a restringir o acesso às áreas protegidas e seguras.

Segurança no desenvolvimento de sistemas de aplicação: O processo de desenvolvimento de sistemas de aplicação do BEES Bank deve garantir a aderência às políticas e às boas práticas de segurança. Todo desenvolvimento ou manutenção de software devem ser formalmente autorizados e deve ser realizado uma análise de impacto. Alterações de escopo de desenvolvimento ou manutenção de software deve ser documentada e formalmente autorizada.

Relacionamento e gerenciamento de fornecedores e prestadores de serviço: O BEES Bank se preocupa com o relacionamento com seus fornecedores e prestadores de serviço, por isso assegura que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

Disponibilidade, autenticidade e confidencialidade: Em comprometimento com um dos princípios de segurança da informação, o BEES Bank mantém cópias de segurança (Backups) e testes de recuperação (Restore) de informações sempre que necessário. As informações devem ser classificadas conforme definido em política interna, orientando proprietários e consumidores das informações quanto aos controles aplicáveis, a julgar por sua sensibilidade e confidencialidade.

Treinamento e Divulgação

Faz parte da estratégia de Segurança da Informação fomentar a cultura, conscientização, capacitação e educação contínua dos colaboradores, terceiros, prestadores de serviço e demais envolvidos sobre a disciplina de Segurança da Informação. Um programa de conscientização, avaliação, educação e treinamento em Segurança da Informação, com o propósito de disseminar a cultura de segurança da informação no BEES Bank e elevar o nível de maturidade e conhecimento dos Colaboradores e Prestadores de serviço, sobre o seu papel fundamental na proteção aos colaboradores, terceiros e clientes.

Supervisão e Penalidades

Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os Colaboradores e Terceiros do BEES Bank. O descumprimento da Política é considerado uma falta grave que será analisada pelas áreas de Segurança da Informação, Recursos Humanos e de Compliance do BEES Bank, e as penalidades serão decididas em conjunto com a Diretoria.

6. DISPOSIÇÕES GERAIS

Esta Política de Segurança Cibernética e da Informação foi aprovada em Reunião Extraordinária pela Diretoria, e consiste na versão atual, válida e eficaz das diretrizes internas sobre gestão e enfrentamento de incidentes de segurança da informação do BEES Bank.

O BEES Bank realiza o monitoramento contínuo da conformidade de suas diretrizes e políticas internas e reserva-se o direito de atualizar e modificar periodicamente esta Política, assim como suas práticas de segurança da informação, sempre que entender necessário.

Os casos omissos nesta Política serão resolvidos pela área de Segurança da Informação que, em conjunto com a Diretoria, deverão analisar as questões envolvidas e emitir uma decisão a posteriori, em conformidade com a legislação aplicável.