Política de Segurança Cibernética e Resposta a Incidentes
Introdução
Em conformidade à legislação e regulamentação vigente, em especial à Resolução 4.658/2018, do Conselho Monetário Nacional (“CMN”), as normas complementares do Banco Central do Brasil e as melhores práticas de mercado, a Wealth Money possui uma Política, cujo resumo segue abaixo, que tem como objetivo consolidar os princípios e diretrizes de segurança cibernética e de contratação de serviços de computação e processamento em nuvem.
Estrutura
A estrutura de segurança cibernética está a cargo do Diretor responsável por Tecnologia e envolve os seguintes temas:
– Autenticação e Autorização.
– Criptografia e Certificados Digitais.
– Prevenção e Detecção de Intrusão.
– Prevenção ao vazamento de informações.
– Gerenciamento de Identidade de Acesso.
Divulgação
A Política de Segurança Cibernética na integra é divulgada a todos os funcionários e prestadores de serviços. Qualquer indício de irregularidade no cumprimento das determinações da mesma é alvo de investigação interna.
Objetivos da Política de Segurança Cibernética e Resposta a Incidentes
A Política de Segurança Cibernética e Resposta a Incidentes visa garantir a confidencialidade, integridade e disponibilidade de dados e informações, tanto da empresa e funcionários, quanto de clientes. Visa também garantir a proteção dos ativos e o modelo de negócio da empresa contra ações de disrupção por meios cibernéticos.
Vigência
A Política de Segurança Cibernética e Resposta a Incidentes tem vigência de um ano, podendo ser renovada caso nenhuma alteração seja necessária.
Classificação dos dados e informações
As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Confidencial, Restrita e Pública.
Controles e Procedimentos
Os controles e procedimentos estabelecem diretrizes técnicas para a garantia do objetivo desta Política.
Os controles e procedimentos descritos nesta Política abordam os seguintes temas:
Autenticação e Autorização.
Criptografia e Certificados Digitais.
Prevenção e Detecção de Intrusão.
Prevenção ao vazamento de informações.
Gerenciamento de Identidade de Acesso.
Cópias de segurança de dados e informações
As Cópias de segurança de dados e informações serão realizadas de forma automatizada, com o intuito de preservá-las de possíveis ataques bem sucedidos ou requisições de auditoria. Os detalhes técnicos estão descritos no documento da Política de Segurança Cibernética.
Controles e registros de acesso
Todo recurso computacional possuirá controles e registros de acessos automatizado, com a finalidade de possibilitar análises forenses e aprimoramentos na estratégia da Política de Segurança Cibernética e Resposta a Incidentes.
Disseminação da cultura de Segurança Cibernética
Todos os funcionários da empresa, clientes e prestadores de serviço serão submetidos a treinamentos e simulações para garantir que as diretrizes desta Política estejam aderentes ao modelo de negócio, além de ajudar na prevenção de ataques bem sucedidos.
Resposta a incidentes
É de responsabilidade de toda a área de Tecnologia aplicar as diretrizes estabelecidas para respostas a incidentes e desastres. As diretrizes pretendem estabelecer procedimentos na mitigação e recuperação das consequências de ataques ou desastres.
Notificações sobre incidentes relevantes
É responsabilidade da equipe de Segurança da Informação criar relatórios de notificação aos clientes e funcionários sobre incidentes. Os relatórios devem informar sobre o nível de impacto, abrangência e classificação dos dados e informações atingidas, bem como as ações de defesa e recuperação.
Parceiros e prestadores de serviços a terceiros
Os parceiros e prestadores de serviços a terceiros estão submetidos a esta Política de Segurança Cibernética tanto quanto qualquer funcionário da empresa. Os prestadores de serviços devem comprometer-se em contrato a frequentar treinamentos e aderir à esta Política de forma integral.