Política de Gestão de Acessos Lógicos

1.      OBJETIVO

Este documento tem como objetivo principal embasar a política a ser seguida pela WISEPAY, enquanto entidade legal, bem como por seus colaboradores e prestadores de serviços, relativa aos processos de controle de acessos lógicos aos sistemas, aplicativos e similares, observando as regulamentações aplicáveis e as melhores práticas de mercado. 

Também são objetivos deste:

● Formalizar os conceitos e as diretrizes relacionadas às boas práticas de gestão dos controles de acessos lógicos que, em conformidade com as boas práticas de Segurança da Informação e CyberSecurity e a normas de LGPD vigentes, visam a proteção dos acessos lógicos aos ambientes virtuais que armazenam e tratam informações utilizadas pela WisePay para o andamento de suas atividades, garantindo assim a eficiência dos processos correlatos, de forma segura e transparente, garantindo a confidencialidade, integridade e disponibilidade das informações;

● Manter altos padrões de integridade e controles, relacionados à Gestão de Controles de Acessos Lógicos.

2.    ABRANGÊNCIA

A Política de Gestão de Acessos tem abrangência corporativa na WisePay, ou seja, afeta todas as suas áreas de negócio e demais operações no que se refere a gestão dos acessos.

A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira de âmbito federal que regula as atividades de tratamento de dados pessoais, estabelecendo a aplicação de penas para pessoas físicas e jurídicas. Lei relativamente nova, entrou em fase operacional e punitiva em 2023, sendo a Norma ISO 27001 o padrão e a referência Internacional para a Gestão da Segurança da informação, tendo como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente os riscos da organização associados à gestão da informação.

3.    INTRODUÇÃO

Proporcionar as condições para garantir a segurança do seu patrimônio produtivo é um dos pontos cruciais para dar perenidade aos negócios de uma empresa, pois é pelo uso deste patrimônio, principalmente o associado diretamente às atividades fins, que se gera os bens e serviços que são ofertados e convertidos em resultados.

Estas condições de segurança se traduzem em diversos aspectos, tais como ambientes com condições adequadas de armazenagem e trabalho, materiais apropriados de proteção contra acidentes e manuseio destes patrimônios apenas por pessoas habilitadas e/ou autorizadas para tal.

Tradicionalmente, tratamos como patrimônio produtivo apenas os elementos físicos que são utilizados para a geração dos produtos e serviços. Isto é um fato, mas dentro do contexto acima, a ideia de patrimônio se dá de forma mais ampla, abrangendo também toda e qualquer informação/dado que a empresa cria, trata, usa, armazena e descarta, relacionada ao seu processo produtivo. Nesse universo, estes elementos virtuais são tão importantes quanto os demais elementos reais, sendo a sua proteção tão crucial quanto.

Dado os avanços tecnológicos dos últimos anos e as perspectivas de inovação no tratamento da informação/dado para os próximos que virão, podemos dizer com segurança que nunca foi tão estratégico o bom uso das massas críticas de informação operacional de uma empresa, se tornando um real diferencial competitivo. Sendo assim é crucial criar normas e procedimentos que garantam a boa gestão de controle de acesso deste patrimônio virtual. Este é o racional que embasa a chamada “Política de Controles de Acessos Lógicos”.  

4.       PROCESSOS OPERACIONAIS QUE IMPACTAM A GESTÃO DOS CONTROLES DE ACESSOS

São três os processos operacionais existentes na empresa que impactam diretamente a gestão dos controles de acessos: 

●    Processo de Admissão, 

●    Movimentação Interna (horizontal ou vertical) e 

●    Demissão.

Dentre todas as ferramentas de trabalho que um colaborador precisa para exercer as suas funções, o acesso aos sistemas, aplicativos e similares relacionados às suas atividades é uma das principais ferramentas. Devem a Área de RH, a área responsável pelo colaborador e a Área de TI e demais envolvidos, seguir os procedimentos definidos no sentido de garantir a plena execução deste processo.  

5.       A SEGREGAÇÃO DE FUNÇÕES E A CENTRALIZAÇÃO DA GESTÃO DOS CONTROLES DE  

           ACESSOS LÓGICOS

Implementar controles que monitorem a execução das atividades é essencial para garantir a segurança das informações e impedir a ocorrência de fraudes e erros. 

Diversas são as possibilidades de geração de relatórios relacionados à Gestão de Controles dos Acessos Lógicos, podendo ser estes relatórios regulatórios ou gerenciais. Deve a área de TI manter atualizado documento listando todos os controles criados, suas qualificações e periodicidades.   

Além disso, a WisePay pode definir que uma função, que considerar relevante, seja exercida por pelo menos 2 (dois) colaboradores, sendo cada um deles responsável, separadamente, pela execução e aprovação/autorização do procedimento. 

Esse procedimento minimiza o risco operacional a que a WisePay está exposta, uma vez que não permite que ocorram relações baseadas meramente em confiança ou amparadas em interesses próprios, bem como inibe que procedimentos sejam realizados sem a devida revisão. 

Cabe destacar que, para isso, todos os colaboradores têm seus acessos físicos e lógicos restritos às funções e às atividades exercidas.

6.    RESPONSABILIDADES 

Todos os colaboradores da WisePay devem:

●    Atuar em conformidade com as regras estipuladas por esta política;

●  Comunicar à Área de TI toda e qualquer informação em relação a falhas e necessidade de melhorias pertinentes à esta política; e

●Participar de testes, sempre que necessário, bem como planos de melhorias que possam ser eventualmente necessários para o cumprimento desta política.

7.     VIGÊNCIA

Esta política entra em vigor na data de sua publicação, sendo objeto de revisão anual. Se, no decorrer do período, houver mudança no ambiente regulatório ou na estrutura relacionada à gestão de controle de acessos lógicos, o documento deverá contemplar a alteração.

Esta política deverá ser amplamente divulgada dentro da WisePay e disponibilizada a todos os integrantes e stakeholders do processo. 

Histórico de Revisões: