Pesquisas recentes

Nenhuma pesquisa recente

    Artigos populares

      Artigos
      Exibir todos
        Tópicos
        Exibir todos
          Tickets
          Exibir todos
            nenhum resultado

            Desculpe! Nada encontrado para

            Política de Gestão de Vulnerabilidades de Segurança da Informação

            Modificado em Seg, 20 Abr na (o) 3:29 PM

             

            1.    OBJETIVO

             

            A Política de Gestão de Vulnerabilidades de Segurança da Informação visa orientar o funcionamento do processo de gestão de vulnerabilidades de segurança cibernética e da informação, de forma que estes sejam tratados adequadamente reduzindo ao máximo os impactos para o negócio, além disso tem como objetivo formalizar os conceitos e as diretrizes da Segurança da Informação e Cyber Security da WisePay que visam à proteção dos ativos de informação com eficiência e eficácia, de modo seguro e transparente, garantindo a confidencialidade, integridade e disponibilidade das informações.
             

             

            2.    ABRANGÊNCIA

             

            A Política de Gestão de Vulnerabilidades de Segurança da Informação tem abrangência corporativa na WisePay, ou seja, a todas as áreas da WisePay, seus administradores e colaboradores, clientes e parceiros, prestadores ou fornecedores de serviços e usuários externos das informações pertencentes/custodiadas à/pela Empresa.


             

            3.    DIRETRIZES

             

            Esta Política não será extinta ou cancelada. Será revisada em períodos não superior a um ano, quando será publicada uma nova versão, caso haja necessidade de ajustes. Será, portanto, substituída por outra com mesmo objetivo e valor que a administração entender cabível ou necessário.

             

            Esta política e suas normas complementares devem ser interpretadas de forma restritiva, dentro do princípio de aplicação do menor privilégio possível, no qual os usuários têm acesso somente aos ativos de informação imprescindíveis para o pleno desempenho de suas atividades. Ou seja, tudo que não estiver expressamente permitido só poderá ser realizado após prévia autorização de acordo com a área, administrador do acesso e o escopo, devendo ser levado em consideração a análise de risco e a necessidade do negócio à época de sua solicitação. 

             

            A informação deve ser utilizada de forma transparente e apenas para execução de sua atividade profissional. A gestão da informação e dos ativos deve ser assegurada por meio de medidas efetivas que proporcionem acesso e divulgação devidamente autorizados e de acordo com a legislação vigente e com o seu nível de classificação de acordo com o item “Classificação da Informação”. 

             

            Sempre que considere necessário, a Área de Segurança da Informação ou Compliance podem inspecionar quaisquer equipamentos que porventura interajam com seus ambientes, lógicos ou físicos e/ou suas informações, incluindo aqueles de propriedade de terceiros, serviços de computação e nuvem quando autorizada a sua vinculação com a WisePay, independentemente da interação com seus ambientes e informações.
             

            A área de Segurança da Informação deve manter a segurança dos ativos de informação provendo ferramentas que permitam aplicar as melhores práticas de segurança no ambiente físico ou lógico, para garantir o sigilo e a integridade no ciclo de vida da informação, desde a sua recepção, produção, registro, classificação, controle, acesso, manuseio, reprodução, transmissão, guarda e descarte com vistas a prevenir, detectar e reduzir a vulnerabilidade a ataques cibernéticos. As ocorrências que podem ser consideradas violações desta política devem ser avaliadas e classificadas pelas linhas de defesa da organização, dependendo de sua gravidade, deverá ser encaminhada para os Comitês e Comissões internas para deliberação quanto ao curso de ação a ser tomada.

             

            4.    CONCEITOS E REGRAS BÁSICAS

             

            4.1    Informação

            Informação é o conhecimento produzido como resultado do processamento de um conjunto   

            de dados (representações de fatos, medidas, valores, ideias ou conceitos), por exemplo, mas 

            não se limitando: 

             

            1. Informações pertencentes ou relacionadas aos clientes; 
            2. Informações relacionadas à WisePay, inclusive contábeis; 
            3. Estratégias e decisões da alta administração; 
            4. Processos e metodologias internas;
            5. Informações disponibilizadas na Intranet da WisePay, entre outras.

               

            4.2.    Tecnologia da Informação

            É definida como o conjunto de todas as atividades e soluções providas por recursos de computação que visam permitir a produção, armazenamento, transmissão, acesso e o uso das informações.

             

            4.3.    Segurança da Informação

            É a proteção para um conjunto informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. A Segurança da informação não está restrita somente a sistemas de armazenamento, sistemas computacionais e informações eletrônicas, mas em todos os aspectos da proteção de informações e dados. 

             

            4.4.    Criptografia

            Ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas. É usada, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar transações; proteger a integridade de transferências eletrônicas, e proteger o sigilo de comunicações pessoais e comerciais.

             

            4.5.    Colaboradores

            São todos que têm ou tiveram algum vínculo com a WisePay, assim compreendidos: terceiros, empregados, ex-empregados, aprendizes, ex-aprendizes, estagiários, ex-estagiários, prestadores de serviços, ex-prestadores de serviços, diretores, sócios, contratados, ex-contratados, parceiros ou ex-parceiros, que têm, terão ou tiveram acesso às informações da WisePay e/ou utilizam, utilizarão ou utilizaram sua infraestrutura tecnológica, mesmo após o término do regime jurídico a que estavam submetidos. 

             

            4.6.    Fornecedor ou Parceiro

            Toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, que desenvolvem atividades de produção montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços. 

             

            4.7.    Papeis da Segurança da Informação

            Para efeitos desta Política, é algo ou alguém que faz parte dos processos de Segurança da Informação ou pode afetá-los. São classificados em:
             

            ∙ Proprietário da Informação: administrador ou gestor da área de negócio que possui a responsabilidade de classificar a informação quanto à sua necessidade de sigilo e definir os perfis de acesso. 

            ∙ Custodiante da Informação: indicado pelo Proprietário da Informação, é o colaborador, a unidade organizacional ou o fornecedor contratado responsável pela guarda, proteção e defesa das informações produzidas, adquiridas ou custodiadas pela WisePay e deve observar os critérios e controles definidos no tratamento e classificação da informação.

            ∙ Usuário da Informação: é a pessoa, a unidade organizacional, a entidade ou o recurso computacional (por exemplo, programas computacionais ou dispositivos) que está autorizado(a) a acessar e fazer uso da informação.

             

            4.8    Classificação da Informação

            É o processo de atribuição de níveis de sensibilidade e criticidade à informação, com o objetivo de determinar o grau de proteção adequado. Para efeitos desta Política, as informações são categorizadas de acordo com o impacto que sua divulgação indevida, perda ou alteração pode causar à WisePay, sendo classificadas como:

            1. Pública: Informações que podem ser acessadas por qualquer pessoa, interna ou externa, sem prejuízos à organização.
            2. Interna: Informações cujo acesso é restrito aos colaboradores e parceiros, mas que não causam danos graves se divulgadas.
            3. Confidencial: Dados sensíveis que exigem proteção rigorosa, cujo acesso é restrito a grupos específicos e cuja exposição pode gerar danos financeiros, operacionais ou de imagem.
            4. Restrita: Informações estratégicas ou protegidas por lei (como dados pessoais sensíveis), cujo acesso é exclusivo a indivíduos específicos e altamente controlado.

             

            4.9.    Incidentes de Segurança da Informação

            Para efeito desta Política, um incidente de segurança é definido como qualquer evento adverso, decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, relacionado à segurança de um ativo que pode prejudicar quaisquer princípios da Segurança da Informação.

             

            4.10.    Ciclo de Vida da Informação

            Para efeito desta Política, será considerado o seguinte ciclo de vida da informação:
             

            ∙ Manuseio: é a etapa onde a informação é criada e manipulada. 

            ∙ Armazenamento: consiste na guarda da informação, seja em banco de dados, em papel, em mídia eletrônica externa, entre outros. 

            ∙ Transporte: ocorre quando a informação é transportada para algum local, não importando o meio no qual ela está armazenada. 

            ∙ Descarte: essa fase refere-se à eliminação de documento impresso (depositado na lixeira e/ou enviado para descarte em empresa especializada), eliminação de arquivo eletrônico ou destruição de mídias de armazenamento (por exemplo, CDs, DVDs, disquetes, pen drives). 


                  

            5.    CONTROLE DE SEGURANÇA DA INFORMAÇÃO

             

            5.1    Identificação/Avaliação de Ameaças e Vulnerabilidade

            Caberá à área de Segurança da Informação a identificação e avaliação dos riscos residuais a que os processos e ativos relevantes estejam sujeitos em virtude das vulnerabilidades e possíveis cenários de ameaça atribuídos a cada processo ou ativo. 

             

            5.2.    Ações de Prevenção e Proteção

            Sem prejuízo de ações específicas para proteção e prevenção de riscos identificados e avaliados pela área responsável, serão adotadas, por meio da área de Segurança da informação, rotinas padronizadas de prevenção e proteção dos processos e ativos relevantes, realizando análises de vulnerabilidade, testes de intrusão e outras avaliações específicas que certifiquem o cumprimento dos requisitos de segurança e as responsabilidades previamente estabelecidas. 

             

            5.3.    Tratamento de exceções

            Exceções devem ser documentadas de acordo com seu mapeamento, sempre que a tecnologia ou processo em questão não puderem seguir ou implementar os controles descritos nas normas ou na política de segurança vigente por uma necessidade de negócio ou limitação tecnológica, visando gerar visibilidade e rastreabilidade para tratativa.

             

            5.4.    Monitoramento e Testes

            Devem ser implementados controles internos efetivos para proteção da WisePay, garantindo a sua confidencialidade, integridade, disponibilidade e norteado por esta política, com as melhores práticas de mercado e regulamentações vigentes. 

             

            5.5.    Plano de Ação e de Resposta a Incidentes

            Os incidentes de Segurança da Informação devem ser identificados e registrados para acompanhamento dos planos de ação e análise das vulnerabilidades da instituição.
             

            1. Comunicação de incidentes: Os identificadores de possíveis incidentes devem comunicar imediatamente os casos ao Gestor do Sistema de Segurança da Informação. Os incidentes deverão ser avaliados e investigados de forma a construir uma análise consistente de causas-consequências, riscos envolvidos, partes envolvidas e planos de respostas. A avaliação deverá ser direcionada à Diretoria de Tecnologia para decisão das ações a serem tomadas. Classificada a relevância do incidente, a WisePay deverá emitir com adequada tempestividade um comunicado às partes envolvidas, informando a situação ocorrida e ações definidas, ao menos, de forma preliminar, informando/notificando as atividades posteriores pertinentes.

               
            2. Tratamento de vulnerabilidade identificadas: O tratamento e correções proativas das principais fragilidades ou fraquezas dos ativos de informação a serem utilizados devem estar registrados, sendo necessário avaliar o risco residual e ser sustentado pelos intervenientes indicados no plano.

               
            3. Elaboração de plano de ação: O Plano de Ação deverá ser elaborado pela área de Segurança da Informação, podendo ser envolvidas outras gerências. Tal plano deve contar com definição expressa dos papéis e responsabilidades na solução do impasse, prevendo acionamento dos colaboradores chaves e contatos externos relevantes, caso aplicáveis. Deverão ser levados em consideração os cenários de ameaças (severidade dos incidentes). A documentação relacionada ao gerenciamento dos incidentes deverá ser arquivada para fins de auditoria.


             

            6.    PAPÉIS E RESPONSABILIDADES

             

            6.1    Colaboradores

            Estar ciente desta política organizacional, bem como das instruções normativas e procedimentos operacionais que a complementam. Utilizar somente equipamentos e serviços disponibilizados pela empresa, para os quais possua permissão. Solicitar acesso somente aos recursos computacionais e sistemas imprescindíveis para o pleno desempenho de suas atividades. Devem informar imediatamente à área de Gestão de TI e ao DPO todas as violações às políticas de segurança da informação, incidentes, violações de acessos ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento.

             

            6.2    Tecnologia e DPO 

            - Condução do processo de Gestão de Incidentes de Segurança da Informação;

            - Investigação de incidentes, levantamento, cadeia de custódia e segurança das evidências;

            - Acompanhamentos dos planos de tratamento junto aos responsáveis pelos incidentes e criação de indicadores e relatórios;

            - Comunicação aos gestores responsáveis;

            - Realização de análises pós-incidentes (post mortem) para identificação e tratamento de causas raiz e aprimoramento de processos da empresa e do próprio processo de gestão de incidentes de segurança da informação.

             

            6.3.    Recursos Humanos

            Atribuir aos colaboradores na fase de formalização do contrato individual de trabalho, estágio, entre outros, a incumbência do cumprimento das responsabilidades para a manutenção da segurança da informação, bem como o comprometimento de manter sigilo e confidencialidade mesmo após o término do vínculo com a Empresa, sobre todos os seus ativos de informação.

             

            6.4.    Jurídico

            Suporte às questões legais relacionados a incidentes de segurança da informação. 


             

            7.    CLASSIFICAÇÃO E CONTROLE DA INFORMAÇÃO

             

            As informações da empresa, inclusive associadas aos processos de negócios, devem ser classificadas considerando-se o valor da informação, os requisitos legais, a sensibilidade, a criticidade, a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio em todo o seu ciclo de vida, que compreende a: Geração, Manuseio, Armazenamento, Transporte e Descarte.

             

            8.    CONTROLE DE ACESSO

             

            O acesso às informações deve ser autorizado de acordo com a necessidade de desempenho das atividades dos colaboradores, sendo necessário o estabelecimento de controles para evitar acessos não autorizados, furtos, alterações indevidas ou seu vazamento. Os acessos devem ser rastreáveis, a fim de garantir que seja possível identificar individualmente o proprietário da credencial.

             

            9.    POLÍTICA DE SENHAS

             

            Deve seguir os requisitos mínimos de segurança. Exceções podem ser aprovadas pela equipe de Segurança da Informação em caso de limitação técnica para sistemas que possuem uma composição diferenciada. Os colaboradores não devem, independentemente da situação e da finalidade, divulgar e/ou compartilhar as suas senhas de acesso às redes, aos sistemas e aos equipamentos da Empresa com outros colaboradores, fornecedores, parceiros ou terceiros de qualquer espécie. 

             

            10.    GESTÃO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO

             

            Os ativos de Tecnologia da Informação devem ser categorizados, inventariados e gerenciados durante todo o seu ciclo de vida, inclusive no descarte, que deve ser realizado de modo a preservar a confidencialidade das informações e minimizar possíveis impactos ambientais.

             

            11.    AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS

             

            Sistemas desenvolvidos internamente ou adquiridos externamente, devem contar com atributos e funcionalidades de segurança, que protejam adequadamente as informações e sejam aderentes às boas práticas de segurança. Os requerimentos de segurança devem ser estabelecidos, identificados e documentados na fase de concepção do sistema, para assegurar que as medidas de proteção sejam implementadas.

             

            12.    CONTROLES CRIPTOGRÁFICOS

             

            Devem ser assegurados pelas equipes de TI o uso efetivo da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade das informações corporativas. 


             

            13.    SEGURANÇA FÍSICA

             

            Devem ser implementados controles físicos para prevenir o acesso não autorizado aos ambientes da empresa, sendo utilizados locais adequados para o armazenamento, processamento e manipulação de suas informações.

             

            14.    SEGURANÇA NAS OPERAÇÕES E COMUNICAÇÕES

             

            Devem ser estabelecidos controles de segurança para proteger e garantir a normalidade das operações relacionadas à manipulação e processamento das informações, medidas para prevenção e tratamento de incidentes operacionais, incluindo procedimentos formais para registro, reporte e escalonamento.

             

            As redes de comunicação devem dispor de uma infraestrutura adequada de proteção, de modo a prevenir o vazamento, modificação e perda de informações, além de impedir a interrupção da comunicação. Os colaboradores não devem divulgar ao público externo, independentemente do meio ou canal utilizado, qualquer informação relacionada à Empresa, seus negócios e/ou suas operações sem a devida autorização pelas diretorias responsáveis e pela área de Comunicação.

             

            15.    GESTÃO DOS RISCOS DE TECNOLOGIA DA INFORMAÇÃO

             

            Os riscos de Tecnologia da Informação devem ser identificados por meio de um processo estabelecido na análise de vulnerabilidades, ameaças e impactos sobre os ativos de informação da empresa, para que sejam avaliadas e recomendadas as proteções adequadas. 


             

            16.    CONFORMIDADE

             

            Os contratos de prestação de serviços devem conter cláusulas específicas relacionadas a confidencialidade das informações, com o intuito de proteger os interesses da empresa.

             

            17.    PARAMETRIZAÇÃO DE SEGURANÇA

             

            As parametrizações de segurança recomendadas pelos baselines de diversas tecnologias nos ambientes devem ser utilizadas como referência, sendo que a política determina as regras gerais mínimas para segurança do ambiente. Os baselines podem ser atualizados e estruturados com a aplicação ou não de determinados controles para que não haja impacto ao negócio. 


             

            18.    TERMO DE CONFIDENCIALIDADE OU NDA – NON DISCLOSURE AGREEMENT

             

            O termo de confidencialidade ou também nomeado como NDA - Non Disclosure Agreement visa proteger e resguardar dados da Empresa como, novos desenvolvimentos, processos, projetos, produtos, informações de custos e preços, negociações, fornecedores e clientes contra divulgação não autorizada. Deverá ser assinado por todo parceiro que venha prover recursos profissionais, consultoria, suporte técnico, ou tenha qualquer acesso a qualquer informação interna independente de sua classificação.

             

            19.    DOS CRITÉRIOS GERAIS SOBRE OS INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

             

            São considerados Incidentes de Segurança da Informação quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de segurança da informação: confidencialidade, integridade, disponibilidade e conformidade, colocando o negócio e seus objetivos em risco. 

             

            Todos os colaboradores devem estar em capacidade de identificar incidentes de segurança da informação quando for testemunhado. Todos os colaboradores devem notificar qualquer evento de segurança ou fragilidade observada que possam causar: prejuízos, interrupções, maus funcionamentos, imprecisão ou vazamento de informação nos sistemas da empresa. 

             

            Vulnerabilidades ou fragilidades suspeitas não deverão ser objeto de teste ou prova pelos colaboradores, sob o risco de violar a política de segurança cibernética e da informação, bem como provocar danos aos serviços ou recursos tecnológicos.

             

            20.    DA REVISÃO E ATUALIZAÇÃO DA POLÍTICA DE GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

             

            A política de gestão de Incidentes de Segurança da Informação deverá ser revista e atualizada, ao menos anualmente, com vistas a se manter em sintonia com as regras de negócios, com as melhores práticas do mercado, leis, regulamentos e demais aspectos. 

             

            21.    DAS PENALIDADES

             

            O Colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de denunciar tal infração. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares.

             

            22.    DAS DÚVIDAS

             

            Em caso de dúvida, solicitar esclarecimento à área de Gestão de TI e DPO.


             

            23.    VIGÊNCIA
             

            Esta política entra em vigor na data de sua publicação, sendo objeto de revisão anual.

            Histórico de Revisão:
             

            Versão:

            Data de elaboração:

            Histórico:

            Responsável

            001

            03/05/2023

            Elaboração do documento

             

            002

            17/01/2025

            Revisão do documento

             

            003

            20/03/2026

            Revisão do documento

            Pedro Pontes – Diretor de T.I.


             

            Anexos (1)

            pdf

            20260320 - WisePay - Política de Gestão de Vulnerabilidades de Segurança da Informação - Vers....pdf
            795 KB

            Este artigo foi útil?

            Que bom!

            Obrigado pelo seu feedback

            Desculpe! Não conseguimos ajudar você

            Obrigado pelo seu feedback

            Deixe-nos saber como podemos melhorar este artigo!

            Selecione pelo menos um dos motivos

            Feedback enviado

            Agradecemos seu esforço e tentaremos corrigir o artigo

            Visualizar
            0 de 0