O QUE É A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)
A Política de Segurança da Informação e Cibernética estabelece diretrizes e normas que permitam aos colaboradores do Banco INDUSCRED, a seguirem padrões de comportamento adequados às necessidades do negócio, da proteção legal e do indivíduo no tocante à segurança da informação e segurança cibernética, além de nortear a definição de procedimentos específicos e a implementação de controles e processos para o seu atendimento.
A Segurança Cibernética norteia a ações para que as partes interessadas estabeleçam e mantenham a segurança no Espaço Cibernético. Esta se baseia na segurança da informação, segurança de aplicativos, segurança de rede e segurança na Internet, como blocos de construção fundamentais. A Segurança Cibernética é uma das atividades necessárias para Proteção de Infraestrutura Crítica de Informação – Critical Information Infrastructure Protection – CIIP e, ao mesmo tempo, estabelece a proteção adequada dos serviços de infraestrutura, contribuindo para as necessidades básicas de segurança, ou seja, segurança, confiabilidade e disponibilidade de infraestrutura crítica, para atingir as metas da Segurança Cibernética.
Refere-se a resiliência cibernética a capacidade da organização em gerenciar e implementar os controles necessários para prevenir, detectar e gerenciar ataques cibernéticos, tais como os mecanismos de identificação, proteção e detecção dos mesmos e, também, a capacidade de resposta e recuperação de suas atividades quando ele ocorre.
Também salientamos o monitoramento do Espaço Cibernético, descrito como um ambiente virtual, o qual não existe em qualquer forma física, mas sim, um ambiente ou espaço complexo resultante do surgimento da Internet, somado às pessoas, organizações e atividades em todo o tipo de dispositivos de tecnologia e redes as quais estão conectados. A segurança do Espaço Cibernético, ou Segurança Cibernética, é a segurança deste mundo virtual.
Estas diretrizes visam prover suporte para a segurança da informação e cibernética, relacionadas ao manuseio, controle, proteção (contra indisponibilidade, divulgação imprópria, acesso indevido e modificação não autorizada de informações e de dados) e descarte.
Este documento deverá estar disponível no site do Banco INDUSCRED.
Objetivos
Esta Política de Segurança da Informação e Cibernética (PSI) tem por objetivo propor diretrizes e normas que permitam aos colaboradores do Banco INDUSCRED seguir padrões de comportamento, no tocante a Segurança da Informação e cibernética, adequados às necessidades de negócio e a proteção legal da empresa e do indivíduo, nortear a definição de procedimentos específicos desta política, bem como, a implementação de controles e processos par seu atendimento.
A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz de decidir o sucesso de qualquer empresa, mas, esse poder, somado à crescente facilidade de acesso, faz desse “ativo” um alvo de constantes ameaças internas e externas.
Quando não gerenciados adequadamente, esses riscos e ameaças podem causar consideráveis danos ao Banco e prejudicar o crescimento e as vantagens competitivas. Atentos a isso, a Política de Segurança da Informação e Cibernética é o alicerce dos esforços de proteção às informações do Banco INDUSCRED.
A Segurança da Informação atua continuamente para a proteção dos ativos de informações, auxiliando os administradores no cumprimento de sua missão de preservar as informações do Banco INDUSCRED quanto a:
Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;
Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
Disponibilidade: garantir que as informações estejam disponíveis à todas as pessoas autorizadas a tratá-las.
Disposições Gerais
Adware: aplicativo que força publicidade para os usuários e/ou reúne informações sobre o comportamento (online) do usuário – O aplicativo pode ou não ser instalado com o conhecimento ou consentimento do usuário, ou ser forçado para o usuário por meio de termos de licenciamento para outro software.
Aplicativo: solução de TI, incluindo software de aplicativo, dados de aplicativos e procedimentos, projetada para ajudar os usuários da organização a executar determinadas tarefas ou lidar com determinados tipos de problemas de TI, por meio da automatização de um processo ou função de negócio.
Ativo: bens da empresa que tem valor econômico, incluída a informação e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.
Ataque: tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso ou fazer uso não autorizado de um ativo.
Ataque misto: ataque que procura maximizar a gravidade do dano e a velocidade de contágio por meio da combinação de vários métodos de ataque.
Avatar: representação da pessoa participante no Espaço Cibernético – NOTA 1: Um avatar pode ser referido como um álter ego de uma pessoa, e NOTA 2: Um avatar pode ser visto como um “objeto” que representa a personificação de um usuário.
Bot: robô – programa de software automatizado usado para realizar tarefas específicas. NOTA 1: A palavra é usada frequentemente para descrever programas, geralmente executados em um servidor, que automatizam tarefas como encaminhar ou ordenar e-mail, e NOTA 2: Um bot também é descrito como um programa que funciona como um agente para um usuário ou outro programa ou simula uma atividade humana. Na Internet, os bots mais onipresentes são os programas, também chamados de spiders ou crawlers, que acessam sites e coletam seu conteúdo para índices de mecanismos de buscas.
Botnet: software de controle remoto, especificamente uma coleção de bots mal-intencionados, que funcionam de forma autônoma ou automática em computadores comprometidos.
Colaborador interno: qualquer pessoa que execute alguma atividade com fins profissionais e que possua algum tipo de contrato com a empresa (funcionário e estagiários, por exemplo).
Colaborador Externo: qualquer pessoa contratada por empresa terceirizada e que execute alguma atividade com fins profissionais nas dependências do Banco INDUSCRED, sem vínculo empregatício (por exemplo, consultores e prestadores de serviços).
Computação em nuvem: é o fornecimento de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet (“a nuvem”) para oferecer inovações mais rápidas, recursos flexíveis e economias de escala. São classificadas em três modelos:
Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Controle: contramedida para o gerenciamento de riscos, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal.
Conteúdo malicioso: aplicativos, documentos, arquivos, dados ou outros recursos que têm características e recursos maliciosos incorporados, disfarçados ou escondidos neles.
Cookie: <controle de acesso> capacidade ou identificador em um sistema de controle de acesso.
Cookie: <IPSec> dados trocados pelo ISAKMP para evitar certos ataques de negação de serviço durante o estabelecimento de uma relação de segurança.
Cookie: <HTTP> dados trocados entre um servidor HTTP e um navegador para armazenar informações de estado sobre o lado do cliente e recuperá-las posteriormente para uso do servidor. NOTA: Um navegador da web pode ser um cliente ou um servidor.
Crime Cibernético: atividade criminal em que serviços ou aplicativos no Espaço Cibernético são usados para, ou são alvo de, um crime, ou em que o Espaço Cibernético é a fonte, ferramenta, alvo ou local de um crime.
Crime na Internet: atividade criminal em que serviços ou aplicativos na Internet são utilizados ou são alvo de um crime, ou onde a Internet é a fonte, ferramenta, alvo ou local de um crime.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Espaço Cibernético: ambiente complexo resultante da interação de pessoas, software e serviços na Internet por dispositivos de tecnologia e redes conectadas a ele, ao qual não existe em qualquer forma física.
Hackear: acessar um sistema de computador sem a autorização do usuário ou do proprietário
Hactivismo: hackear para um propósito político ou socialmente motivado.
Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Integridade: capacidade de garantir que a informação está mantida em seu estado original, conforme foi concebida, visando protegê-la contra alterações indevidas, intencionais ou acidentais na guarda ou transmissão.
Invasor cibernético: indivíduos ou organizações que registram e mantêm os URL que se assemelham a referências ou nomes de outras organizações no mundo real ou no Espaço Cibernético.
Malware: software malicioso, criado com más intenções contendo características ou capacidades que podem potencialmente causar danos diretos ou indiretos para o usuário e/ou para o sistema de computador do usuário – EXEMPLO: Vírus, worms e trojans.
Parceiros: qualquer colaborador contratado por terceiros que tenha ligação com o serviço prestado pelo Banco INDUSCRED e suas informações e que não tenha nenhum vínculo empregatício ou mesmo contrato de prestação de serviços direto (Ex. gerenciadoras, funcionário de consórcio).
Phishing: processo fraudulento de tentativa de adquirir informações particulares ou confidenciais disfarçando-se de entidade confiável em uma comunicação eletrônica. NOTA: O phishing pode ser realizado por meio de engenharia social ou fraude técnica.
Potencial de ataque: potencial percebido para o sucesso de um ataque, possibilidade de um ataque ser executado, expressado em termos de experiência, recursos e motivação do atacante
Proteção Cibernética (Cybersafety): condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, emocionais, profissionais, psicológicos, educacionais ou outros tipos ou consequências de falhas, danos, erros, acidentes, prejuízos ou qualquer outro evento no Espaço Cibernético que poderiam ser considerados como indesejáveis. NOTA 1: Esta pode assumir a forma de ser protegida contra evento ou exposição a algo que cause perdas econômicas ou de saúde. Ela pode incluir a proteção de pessoas ou de bens, e NOTA 2: Proteção, em geral, também é definida como o estado de estar certo de que os determinados efeitos adversos não serão causados por algum agente sob condições definidas.
Proteção na Internet: condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, emocionais, profissionais, psicológicos, educacionais de tipos ou consequências de falha, danos, erros, acidentes, prejuízos ou qualquer outro evento na Internet que podem ser considerados indesejáveis.
Provedor de serviços de aplicativo: provedor que fornece uma solução hospedada de software, contendo serviços de aplicativo que incluem modelos de distribuição cliente-servidor ou baseados na web. EXEMPLO: Provedores de jogos online, fornecedores de aplicativos de escritório e provedores de armazenamento online.
Provedor de serviços da Internet: organização que fornece serviços de Internet para um usuário e habilita o acesso de seus clientes à Internet. NOTA: Também por vezes referido como um provedor de acesso à Internet (ISP).
Segurança Cibernética (Cybersecurity): segurança no Espaço Cibernético é a preservação da confidencialidade, integridade e disponibilidade das informações no Espaço Cibernético. NOTA 1: Além disso, outras propriedades como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas e NOTA 2: Adaptada da definição de segurança da informação na ISO/IEC 2700 0:2009.
Segurança da Informação: preservação da confidencialidade, integridade e disponibilidade da informação.
Segurança na Internet: preservação da confidencialidade, integridade e disponibilidade da informação na Internet
Serviços da Internet: serviços prestados a um usuário para permitir o acesso à Internet por meio de um endereço IP atribuído que, tipicamente, inclui serviços de autenticação, autorização e nome de domínio.
Serviços de aplicativos: software com funcionalidades sob demanda para os assinantes por meio de um modelo online que inclui aplicativos baseados na web ou cliente-servidor.
Software enganoso: software que executa atividades no computador de um usuário sem notificá-lo do que exatamente o software fará no computador ou pedir ao usuário o consentimento para essas ações.
Software de aplicativo: software projetado para ajudar os usuários a realizar tarefas específicas ou lidar com determinados tipos de problemas, como distinto do software que controla o próprio computador.
SCAM: fraude ou abuso de confiança.
SPAM: e-mails não solicitados, normalmente enviados para muitas pessoas, abuso de sistemas eletrônicos de mensagens para enviar indiscriminadamente mensagens não solicitadas em massa. NOTA: Embora a forma mais reconhecida de spam seja o spam de e-mail, o termo é aplicado a abusos similares em outros meios de comunicação: spam de mensagens instantâneas, spam de grupos de notícias, spam de busca na web, spam em blogs, spam em wiki, spam de mensagem de celular e spam em fórum de Internet.
Spyware: software fraudulento que coleta informações particulares ou confidenciais de um usuário de computador. NOTA: Informações podem incluir assuntos como websites mais visitados ou informações mais sensíveis como senhas.
Trojan: cavalo de troia, malware que parece desempenhar uma função desejável.
Usuário: todo colaborador interno ou externo, que contribui para a execução de atividades dentro da companhia, seja ele, funcionário, estagiário, aprendiz, consultor, ou prestador de serviços (terceirizado) e que tenha acesso aos recursos tecnológicos disponibilizados pelo Banco INDUSCRED.
Vetor de ataque: maneira ou meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede com um objetivo mal-intencionado.
Vírus: programa malicioso que se propaga infectando a máquina.
Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.
Zumbi: computador zumbi – drone, computador com software oculto que possibilita que o equipamento seja controlado remotamente, normalmente para realizar um ataque a outro computador. NOTA: Geralmente, a máquina comprometida é somente uma de muitas em um botnet e é usada para desempenhar atividades maliciosas sob direção remota.
As diretrizes estabelecidas nesta PSI deverão ser aplicadas em toda empresa, considerando o Escritório Central, bem como clientes e qualquer local onde se encontre ativos de informação do Banco INDUSCRED e devem ser seguidas por todos os colaboradores internos, externos e parceiros, devendo ser aplicada à informação em qualquer meio ou suporte.
Toda informação produzida ou recebida pelos colaboradores, sejam internos ou externos, como resultado da atividade profissional contratada pelo Banco INDUSCRED, pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
A informação do Banco INDUSCRED, produzida ou recebida deverá ser utilizada com senso de responsabilidade e de modo ético e seguro, em benefício exclusivo dos negócios corporativos.
Todos os equipamentos de informática e comunicação, sistemas e informações deverão ser utilizados pelos colaboradores internos e externos para a realização das atividades exclusivamente profissionais.
O Banco INDUSCRED reserva-se o direito de monitorar e registrar todo o uso das informações, sistemas e serviços.
Para tanto serão criados e implantados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos, como, por exemplo, nos computadores de mesa, notebooks, tablets, smartphones, nos acessos a Internet, no correio eletrônico e nos sistemas comerciais e financeiros, utilizados pelo Banco INDUSCRED ou por terceiros.
A PSI deverá ser comunicada a todos os colaboradores internos e externos do Banco INDUSCRED, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem na empresa.
No caso de parceiros, deverá ser comunicada sempre que a parceria envolver acesso aos recursos tecnológicos do Banco INDUSCRED.
O uso dos sistemas do Banco INDUSCRED só é permitido para as pessoas que formalizarem a ciência sobre a Política de Segurança da Informação do banco.
O uso do recurso de correio eletrônico só é permitido para colaboradores internos, sendo proibida a criação de contas para terceiros que tenham ou não serviços vinculados ao Banco INDUSCRED.
A PSI será revisada e atualizada periodicamente, no mínimo a cada ano, ou sempre que algum fato relevante ou evento ocorrer que motive sua revisão antecipada.
Deverá constar em todos os contratos do Banco INDUSCRED, o anexo de Acordo de Confidencialidade, ou cláusula de confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pelo Banco.
Deverá ser assinado previamente Acordo de Confidencialidade pelos prestadores de serviços e parceiros que recebem informações de projetos para fins de elaboração de orçamento, negociação, propostas, entre outros, que sejam consideradas como relevantes para o negócio do Banco INDUSCRED.
A responsabilidade em relação à Segurança da Informação deve ser atribuída na fase de recrutamento e/ou contratação dos colaboradores sejam internos ou externos ou parceiros do Banco INDUSCRED, incluída nos contratos e monitorada durante a vigência deles.
Para os profissionais já contratados, deverá ser assinado Termo específico assumindo a responsabilidade sobre suas ações e recursos a ele disponibilizados, como por exemplo, a não divulgação de senha.
Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, de forma a minimizar possíveis riscos.
Todos os incidentes que afetam a Segurança da Informação, devem ser reportados ao responsável pela gestão de tecnologia, que tomará as devidas providências para isolar o local afetado, identificar os sistemas, bancos de dados e informações afetadas, identificar as causas do incidente e aplicar as correções necessárias para prevenção contra novos incidentes.
Um plano de contingência e continuidade do negócio deverá ser implementado e testado, no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação, por meio da combinação de ações de prevenção e recuperação.
O desenvolvimento de projetos ou sistemas deverão obrigatoriamente seguir os requisitos de Segurança da Informação, incluindo a necessidade de planos de contingência e devem ser identificados na fase de levantamento de escopo de um projeto ou sistema. Estes requisitos devem ser justificados, acordados, documentados, implementados e testados durante a fase de execução.
Os ambientes de produção devem ser segregados e rigidamente controlados garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo, através da aplicação de controles adequados à sua classificação.
Cada ativo de informação do Banco INDUSCRED deve ter um executivo da empresa designado como gestor responsável.
Devem ser estabelecidas e comunicadas normas e responsabilidades específicas pela gestão e custódia dos ativos de informação.
Todas as mudanças em processos, procedimentos e tecnologias devem ser formalmente avaliadas considerando o atendimento aos requisitos desta PSI.
Devem ser estabelecidos procedimentos e responsabilidades específicas para o uso e gerenciamento dos ativos de informação disponibilizados pelo Banco INDUSCRED quando estiverem fora das instalações da empresa.
Uma única área deve ser designada como responsável por emitir todos os documentos de identidade, físicos ou lógicos, utilizados no Banco INDUSCRED. Esta área deve buscar a convergência destes documentos para uma identidade única criando uma base de dados sob sua responsabilidade para consulta e identificação por todos os sistemas de controle de acesso físico e lógico do Banco.
Todas as pessoas devem ser distintamente identificadas sempre que possível, sejam elas visitantes, parceiros, funcionários regulares, prestadores de serviços pessoa-física e prestadores de serviços pessoa-jurídica.
Quando razões tecnológicas ou determinações exteriores tornarem impossível a aplicação dos requisitos previstos nesta norma o responsável e/ou solicitante deverá documentá-las imediatamente à gestão de tecnologia, para que possibilite a adoção de medidas alternativas que minimizem os riscos, bem como um plano de ação para corrigi-los, monitorá-los ou eliminá-los.
O Banco INDUSCRED exime-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, adotar as medidas legais cabíveis e punir os infratores.
Esta PSI será implementada no Banco INDUSCRED através de procedimentos específicos a serem desenvolvidos pela gestão de TI e obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como independente de vínculo empregatício ou prestação de serviço e o não cumprimento da mesma acarretará violação às regras internas do banco e sujeitará o usuário às medidas administrativas e legais cabíveis.
A PSI será revisada e atualizada periodicamente, no mínimo a cada ano, ou sempre que algum fato relevante ou evento ocorrer que motive sua revisão antecipada.
A Segurança Cibernética não é, contudo, sinônimo de segurança de Internet, segurança de rede, segurança de aplicativos, segurança da informação ou Critical Information Infrastructure Protection (CIIP) – Proteção de Infraestrutura Crítica de Informação.
Com base nos conceitos de nuvem, podemos definir:
Conforme disposição das regulamentações vigentes da contratação de serviços de processamento e armazenamento em nuvem, o Banco INDUSCRED, deverá gerir os riscos de segurança da informação nos negócios – Sistema de Gestão de Segurança da Informação, em nível empresarial. Convém que os clientes que se conectam ao Espaço Cibernético implementem um sistema de gestão de segurança da informação (SGSI) para identificar e gerenciar riscos de segurança da informação relacionados com o negócio.
Uma consideração-chave na implementação de um SGSI é garantir que o Banco INDUSCRED tenha um sistema para identificar, avaliar, tratar e gerir continuamente os riscos de segurança da informação relativos ao seu negócio, incluindo a prestação de serviços na Internet, diretamente para os usuários finais, caso seja um provedor de serviço.
Para soluções terceiras (externas não seria melhor?) que venham a agregar serviços prestados, são exigidos em contrato, redundância para todos os itens de tecnologia envolvidos, além de que, os terceiros envolvidos devem estar em compliance com normas e resoluções vigentes no país e órgãos reguladores para instituições financeiras.
Quando são utilizados vários provedores, convém que a interação entre eles seja analisada e que os respectivos contratos de serviço tratem qualquer interação crítica. Por exemplo, é recomendado que atualizações ou downloads para os sistemas de um provedor sejam coordenados com outros provedores, caso a atualização resulte em interação negativa. Convém que os termos dos acordos cubram pelo menos o seguinte:
Políticas e Normas específicas
Procedimentos
Colaboradores em Geral
É de inteira responsabilidade de cada colaborador interno, externo ou parceiro, qualquer prejuízo ou dano que vier a sofrer ou causar ao Banco INDUSCRED e/ou a terceiros, em decorrência de não obediência às diretrizes e normas aqui referidas.
Cabe a todos os colaboradores do Banco INDUSCRED:
Recursos Humanos
Cabe aos Recursos Humanos:
Diretorias, Gerências e Coordenações
Cabe as Diretorias, Gerências e Coordenações:
Proprietário da Informação
O Proprietário da informação pode ser um diretor, gerente ou coordenador de uma determinada área ou projeto, deve ser formalmente indicado pelo CSI ou pela Diretoria Executiva. Será o responsável pela manutenção, revisão e cancelamento de autorização a determinada informação ou conjunto de informações pertencentes o Banco INDUSCRED ou sob sua guarda.
Da gestão de Tecnologia da Informação
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores em geral com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI.
Deverá ser criada uma Norma e Procedimentos específicos para Backup que garantam a Segurança das Informações, devendo esta contemplar, no mínimo o backup semanal, frequência da geração de cópias, recuperação de informações e registros.
O não cumprimento desta Política e Norma a ela atreladas caberá:
Nos casos em que a infração corresponder a atividades ilegais, ou ainda incorrer em dano ao Banco ou a terceiros, serão encaminhados para o CSI que poderá deliberar pela demissão por justa causa, dispensando as advertências, não eximindo o infrator das medidas previstas pela legislação vigente, sendo que o Banco INDUSCRED cooperará ativamente com as autoridades nesses casos.
No caso de prestadores de serviços a ocorrência deverá ser levada até o CSI que deliberará sobre a rescisão de contrato ou não do prestador.
Os Funcionários, Estagiários ou Colaboradores que infringirem as presentes condições de uso serão responsabilizados pelos danos e prejuízos de qualquer natureza que o Banco INDUSCRED venha a sofrer ou aqueles causados a terceiros.
BASE NORMATIVA / MELHORES PRÁTICAS
Data de aprovação desta Política: 08/08/2019
Data de revisão desta Política: 30/07/2020
Data de revisão desta Política: 30/04/2021
➢ ISO 27001 – é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27001- Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação – requisitos, mais conhecido como ISO 27001.
➢ ISO 27032 – é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System) publicado em outubro de 2015 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27032 – Tecnologia da Informação — Técnicas de segurança — Diretrizes para segurança cibernética Information technology — Security techniques — Guidelines for cybersecurity.
➢ Resolução CMN nº 4.658 de 26 de abril de 2018 – Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil
➢ Resolução CMN nº 4.752 de 26 de setembro de 2019 – Altera a Resolução nº 4.658, de 26 de abril de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
➢ Circular Bacen nº 3.909 de 16 de agosto de 2018 e 3969 de 13 de novembro de 2019 – Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.