POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

O QUE É A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

A Política de Segurança da Informação e Cibernética estabelece diretrizes e normas que permitam aos colaboradores do Banco INDUSCRED, a seguirem padrões de comportamento adequados às necessidades do negócio, da proteção legal e do indivíduo no tocante à segurança da informação e segurança cibernética, além de nortear a definição de procedimentos específicos e a implementação de controles e processos para o seu atendimento.

A Segurança Cibernética norteia a ações para que as partes interessadas estabeleçam e mantenham a segurança no Espaço Cibernético. Esta se baseia na segurança da informação, segurança de aplicativos, segurança de rede e segurança na Internet, como blocos de construção fundamentais. A Segurança Cibernética é uma das atividades necessárias para Proteção de Infraestrutura Crítica de Informação – Critical Information Infrastructure Protection – CIIP e, ao mesmo tempo, estabelece a proteção adequada dos serviços de infraestrutura, contribuindo para as necessidades básicas de segurança, ou seja, segurança, confiabilidade e disponibilidade de infraestrutura crítica, para atingir as metas da Segurança Cibernética.

Refere-se a resiliência cibernética a capacidade da organização em gerenciar e implementar os controles necessários para prevenir, detectar e gerenciar ataques cibernéticos, tais como os mecanismos de identificação, proteção e detecção dos mesmos e, também, a capacidade de resposta e recuperação de suas atividades quando ele ocorre.

Também salientamos o monitoramento do Espaço Cibernético, descrito como um ambiente virtual, o qual não existe em qualquer forma física, mas sim, um ambiente ou espaço complexo resultante do surgimento da Internet, somado às pessoas, organizações e atividades em todo o tipo de dispositivos de tecnologia e redes as quais estão conectados. A segurança do Espaço Cibernético, ou Segurança Cibernética, é a segurança deste mundo virtual.

Estas diretrizes visam prover suporte para a segurança da informação e cibernética, relacionadas ao manuseio, controle, proteção (contra indisponibilidade, divulgação imprópria, acesso indevido e modificação não autorizada de informações e de dados) e descarte.

Este documento deverá estar disponível no site do Banco INDUSCRED.

Objetivos

Esta Política de Segurança da Informação e Cibernética (PSI) tem por objetivo propor diretrizes e normas que permitam aos colaboradores do Banco INDUSCRED seguir padrões de comportamento, no tocante a Segurança da Informação e cibernética, adequados às necessidades de negócio e a proteção legal da empresa e do indivíduo, nortear a definição de procedimentos específicos desta política, bem como, a implementação de controles e processos par seu atendimento.

A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz de decidir o sucesso de qualquer empresa, mas, esse poder, somado à crescente facilidade de acesso, faz desse “ativo” um alvo de constantes ameaças internas e externas.

Quando não gerenciados adequadamente, esses riscos e ameaças podem causar consideráveis danos ao Banco e prejudicar o crescimento e as vantagens competitivas. Atentos a isso, a Política de Segurança da Informação e Cibernética é o alicerce dos esforços de proteção às informações do Banco INDUSCRED.

A Segurança da Informação atua continuamente para a proteção dos ativos de informações, auxiliando os administradores no cumprimento de sua missão de preservar as informações do Banco INDUSCRED quanto a:

Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;

Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;

Disponibilidade: garantir que as informações estejam disponíveis à todas as pessoas autorizadas a tratá-las.

Disposições Gerais

  • CONCEITOS E DEFINIÇÕES

Adware: aplicativo que força publicidade para os usuários e/ou reúne informações sobre o comportamento (online) do usuário – O aplicativo pode ou não ser instalado com o conhecimento ou consentimento do usuário, ou ser forçado para o usuário por meio de termos de licenciamento para outro software.

Aplicativo: solução de TI, incluindo software de aplicativo, dados de aplicativos e procedimentos, projetada para ajudar os usuários da organização a executar determinadas tarefas ou lidar com determinados tipos de problemas de TI, por meio da automatização de um processo ou função de negócio.

Ativo: bens da empresa que tem valor econômico, incluída a informação e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.

Ataque: tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso ou fazer uso não autorizado de um ativo.

Ataque misto: ataque que procura maximizar a gravidade do dano e a velocidade de contágio por meio da combinação de vários métodos de ataque.

Avatar: representação da pessoa participante no Espaço Cibernético – NOTA 1: Um avatar pode ser referido como um álter ego de uma pessoa, e NOTA 2: Um avatar pode ser visto como um “objeto” que representa a personificação de um usuário.

Bot: robô – programa de software automatizado usado para realizar tarefas específicas. NOTA 1: A palavra é usada frequentemente para descrever programas, geralmente executados em um servidor, que automatizam tarefas como encaminhar ou ordenar e-mail, e NOTA 2: Um bot também é descrito como um programa que funciona como um agente para um usuário ou outro programa ou simula uma atividade humana. Na Internet, os bots mais onipresentes são os programas, também chamados de spiders ou crawlers, que acessam sites e coletam seu conteúdo para índices de mecanismos de buscas.

Botnet: software de controle remoto, especificamente uma coleção de bots mal-intencionados, que funcionam de forma autônoma ou automática em computadores comprometidos.

Colaborador interno: qualquer pessoa que execute alguma atividade com fins profissionais e que possua algum tipo de contrato com a empresa (funcionário e estagiários, por exemplo).

Colaborador Externo: qualquer pessoa contratada por empresa terceirizada e que execute alguma atividade com fins profissionais nas dependências do Banco INDUSCRED, sem vínculo empregatício (por exemplo, consultores e prestadores de serviços).

Computação em nuvem: é o fornecimento de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet (“a nuvem”) para oferecer inovações mais rápidas, recursos flexíveis e economias de escala. São classificadas em três modelos:

  • Nuvens públicas: pertencem a um provedor de serviço de nuvem terceirizado e por ele administrado, que fornece recursos de computação, tais como servidores e armazenamento, pela Internet. Com uma nuvem pública, todo o hardware, software e outras infraestruturas de suporte são de propriedade e gerenciadas pelo provedor de nuvem. Você acessa esses serviços e pode gerenciar sua conta usando um navegador da Web.
  • Nuvens privadas: se referem aos recursos de computação em nuvem usados exclusivamente por uma única empresa ou organização. Uma nuvem privada pode estar localizada fisicamente no datacenter local da empresa. Algumas empresas também pagam provedores de serviços terceirizados para hospedar sua nuvem privada. Uma nuvem privada é aquela em que os serviços e a infraestrutura são mantidos em uma rede privada.
  • Nuvens híbridas: combinam nuvens públicas e privadas ligadas por uma tecnologia que permite que dados e aplicativos sejam compartilhados entre elas. Permitindo que os dados e os aplicativos se movam entre nuvens privadas e públicas, uma nuvem híbrida oferece à sua empresa maior flexibilidade, mais opções de implantação e ajuda para otimizar sua infraestrutura, segurança e conformidade existentes.

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Controle: contramedida para o gerenciamento de riscos, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal.

Conteúdo malicioso: aplicativos, documentos, arquivos, dados ou outros recursos que têm características e recursos maliciosos incorporados, disfarçados ou escondidos neles.

Cookie: <controle de acesso> capacidade ou identificador em um sistema de controle de acesso.

Cookie: <IPSec> dados trocados pelo ISAKMP para evitar certos ataques de negação de serviço durante o estabelecimento de uma relação de segurança.

Cookie: <HTTP> dados trocados entre um servidor HTTP e um navegador para armazenar informações de estado sobre o lado do cliente e recuperá-las posteriormente para uso do servidor. NOTA: Um navegador da web pode ser um cliente ou um servidor.

Crime Cibernético: atividade criminal em que serviços ou aplicativos no Espaço Cibernético são usados para, ou são alvo de, um crime, ou em que o Espaço Cibernético é a fonte, ferramenta, alvo ou local de um crime.

Crime na Internet: atividade criminal em que serviços ou aplicativos na Internet são utilizados ou são alvo de um crime, ou onde a Internet é a fonte, ferramenta, alvo ou local de um crime.

Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Espaço Cibernético: ambiente complexo resultante da interação de pessoas, software e serviços na Internet por dispositivos de tecnologia e redes conectadas a ele, ao qual não existe em qualquer forma física.

Hackear: acessar um sistema de computador sem a autorização do usuário ou do proprietário

Hactivismo: hackear para um propósito político ou socialmente motivado.

Informação: todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Integridade: capacidade de garantir que a informação está mantida em seu estado original, conforme foi concebida, visando protegê-la contra alterações indevidas, intencionais ou acidentais na guarda ou transmissão.

Invasor cibernético: indivíduos ou organizações que registram e mantêm os URL que se assemelham a referências ou nomes de outras organizações no mundo real ou no Espaço Cibernético.

Malware: software malicioso, criado com más intenções contendo características ou capacidades que podem potencialmente causar danos diretos ou indiretos para o usuário e/ou para o sistema de computador do usuário – EXEMPLO: Vírus, worms e trojans.

Parceiros: qualquer colaborador contratado por terceiros que tenha ligação com o serviço prestado pelo Banco INDUSCRED e suas informações e que não tenha nenhum vínculo empregatício ou mesmo contrato de prestação de serviços direto (Ex. gerenciadoras, funcionário de consórcio).

Phishing: processo fraudulento de tentativa de adquirir informações particulares ou confidenciais disfarçando-se de entidade confiável em uma comunicação eletrônica. NOTA: O phishing pode ser realizado por meio de engenharia social ou fraude técnica.

Potencial de ataque: potencial percebido para o sucesso de um ataque, possibilidade de um ataque ser executado, expressado em termos de experiência, recursos e motivação do atacante

Proteção Cibernética (Cybersafety): condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, emocionais, profissionais, psicológicos, educacionais ou outros tipos ou consequências de falhas, danos, erros, acidentes, prejuízos ou qualquer outro evento no Espaço Cibernético que poderiam ser considerados como indesejáveis. NOTA 1: Esta pode assumir a forma de ser protegida contra evento ou exposição a algo que cause perdas econômicas ou de saúde. Ela pode incluir a proteção de pessoas ou de bens, e NOTA 2: Proteção, em geral, também é definida como o estado de estar certo de que os determinados efeitos adversos não serão causados por algum agente sob condições definidas.

Proteção na Internet: condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, emocionais, profissionais, psicológicos, educacionais de tipos ou consequências de falha, danos, erros, acidentes, prejuízos ou qualquer outro evento na Internet que podem ser considerados indesejáveis.

Provedor de serviços de aplicativo: provedor que fornece uma solução hospedada de software, contendo serviços de aplicativo que incluem modelos de distribuição cliente-servidor ou baseados na web. EXEMPLO: Provedores de jogos online, fornecedores de aplicativos de escritório e provedores de armazenamento online.

Provedor de serviços da Internet: organização que fornece serviços de Internet para um usuário e habilita o acesso de seus clientes à Internet. NOTA: Também por vezes referido como um provedor de acesso à Internet (ISP).

Segurança Cibernética (Cybersecurity): segurança no Espaço Cibernético é a preservação da confidencialidade, integridade e disponibilidade das informações no Espaço Cibernético. NOTA 1: Além disso, outras propriedades como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas e NOTA 2: Adaptada da definição de segurança da informação na ISO/IEC 2700 0:2009.

Segurança da Informação: preservação da confidencialidade, integridade e disponibilidade da informação.

Segurança na Internet: preservação da confidencialidade, integridade e disponibilidade da informação na Internet

Serviços da Internet: serviços prestados a um usuário para permitir o acesso à Internet por meio de um endereço IP atribuído que, tipicamente, inclui serviços de autenticação, autorização e nome de domínio.

Serviços de aplicativos: software com funcionalidades sob demanda para os assinantes por meio de um modelo online que inclui aplicativos baseados na web ou cliente-servidor.

Software enganoso: software que executa atividades no computador de um usuário sem notificá-lo do que exatamente o software fará no computador ou pedir ao usuário o consentimento para essas ações.

  • EXEMPLO 1: Um programa que sequestra as configurações do usuário.
  • EXEMPLO 2: Um programa que provoca intermináveis anúncios pop-up que não sejam facilmente interrompidos pelo usuário.
  • EXEMPLO 3: Adware e spyware.

Software de aplicativo: software projetado para ajudar os usuários a realizar tarefas específicas ou lidar com determinados tipos de problemas, como distinto do software que controla o próprio computador.

SCAM: fraude ou abuso de confiança.

SPAM: e-mails não solicitados, normalmente enviados para muitas pessoas, abuso de sistemas eletrônicos de mensagens para enviar indiscriminadamente mensagens não solicitadas em massa. NOTA: Embora a forma mais reconhecida de spam seja o spam de e-mail, o termo é aplicado a abusos similares em outros meios de comunicação: spam de mensagens instantâneas, spam de grupos de notícias, spam de busca na web, spam em blogs, spam em wiki, spam de mensagem de celular e spam em fórum de Internet.

Spyware: software fraudulento que coleta informações particulares ou confidenciais de um usuário de computador. NOTA: Informações podem incluir assuntos como websites mais visitados ou informações mais sensíveis como senhas.

Trojan: cavalo de troia, malware que parece desempenhar uma função desejável.

Usuário: todo colaborador interno ou externo, que contribui para a execução de atividades dentro da companhia, seja ele, funcionário, estagiário, aprendiz, consultor, ou prestador de serviços (terceirizado) e que tenha acesso aos recursos tecnológicos disponibilizados pelo Banco INDUSCRED.

Vetor de ataque: maneira ou meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede com um objetivo mal-intencionado.

Vírus: programa malicioso que se propaga infectando a máquina.

Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

Zumbi: computador zumbi – drone, computador com software oculto que possibilita que o equipamento seja controlado remotamente, normalmente para realizar um ataque a outro computador. NOTA: Geralmente, a máquina comprometida é somente uma de muitas em um botnet e é usada para desempenhar atividades maliciosas sob direção remota.

  • APLICAÇÃO E ABRANGENCIA

As diretrizes estabelecidas nesta PSI deverão ser aplicadas em toda empresa, considerando o Escritório Central, bem como clientes e qualquer local onde se encontre ativos de informação do Banco INDUSCRED e devem ser seguidas por todos os colaboradores internos, externos e parceiros, devendo ser aplicada à informação em qualquer meio ou suporte.

  • PRINCÍPIOS DA PSI

Toda informação produzida ou recebida pelos colaboradores, sejam internos ou externos, como resultado da atividade profissional contratada pelo Banco INDUSCRED, pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.

A informação do Banco INDUSCRED, produzida ou recebida deverá ser utilizada com senso de responsabilidade e de modo ético e seguro, em benefício exclusivo dos negócios corporativos.

Todos os equipamentos de informática e comunicação, sistemas e informações deverão ser utilizados pelos colaboradores internos e externos para a realização das atividades exclusivamente profissionais.

O Banco INDUSCRED reserva-se o direito de monitorar e registrar todo o uso das informações, sistemas e serviços.

Para tanto serão criados e implantados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos, como, por exemplo, nos computadores de mesa, notebooks, tablets, smartphones, nos acessos a Internet, no correio eletrônico e nos sistemas comerciais e financeiros, utilizados pelo Banco INDUSCRED ou por terceiros.

  • REQUISITOS DA PSI

A PSI deverá ser comunicada a todos os colaboradores internos e externos do Banco INDUSCRED, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem na empresa.

No caso de parceiros, deverá ser comunicada sempre que a parceria envolver acesso aos recursos tecnológicos do Banco INDUSCRED.

O uso dos sistemas do Banco INDUSCRED só é permitido para as pessoas que formalizarem a ciência sobre a Política de Segurança da Informação do banco.

O uso do recurso de correio eletrônico só é permitido para colaboradores internos, sendo proibida a criação de contas para terceiros que tenham ou não serviços vinculados ao Banco INDUSCRED.

A PSI será revisada e atualizada periodicamente, no mínimo a cada ano, ou sempre que algum fato relevante ou evento ocorrer que motive sua revisão antecipada.

Deverá constar em todos os contratos do Banco INDUSCRED, o anexo de Acordo de Confidencialidade, ou cláusula de confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pelo Banco.

Deverá ser assinado previamente Acordo de Confidencialidade pelos prestadores de serviços e parceiros que recebem informações de projetos para fins de elaboração de orçamento, negociação, propostas, entre outros, que sejam consideradas como relevantes para o negócio do Banco INDUSCRED.

A responsabilidade em relação à Segurança da Informação deve ser atribuída na fase de recrutamento e/ou contratação dos colaboradores sejam internos ou externos ou parceiros do Banco INDUSCRED, incluída nos contratos e monitorada durante a vigência deles.

Para os profissionais já contratados, deverá ser assinado Termo específico assumindo a responsabilidade sobre suas ações e recursos a ele disponibilizados, como por exemplo, a não divulgação de senha.

Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, de forma a minimizar possíveis riscos.

Todos os incidentes que afetam a Segurança da Informação, devem ser reportados ao responsável pela gestão de tecnologia, que tomará as devidas providências para isolar o local afetado, identificar os sistemas, bancos de dados e informações afetadas, identificar as causas do incidente e aplicar as correções necessárias para prevenção contra novos incidentes.

Um plano de contingência e continuidade do negócio deverá ser implementado e testado, no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação, por meio da combinação de ações de prevenção e recuperação.

O desenvolvimento de projetos ou sistemas deverão obrigatoriamente seguir os requisitos de Segurança da Informação, incluindo a necessidade de planos de contingência e devem ser identificados na fase de levantamento de escopo de um projeto ou sistema.  Estes requisitos devem ser justificados, acordados, documentados, implementados e testados durante a fase de execução.

Os ambientes de produção devem ser segregados e rigidamente controlados garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.

Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo, através da aplicação de controles adequados à sua classificação.

Cada ativo de informação do Banco INDUSCRED deve ter um executivo da empresa designado como gestor responsável.

Devem ser estabelecidas e comunicadas normas e responsabilidades específicas pela gestão e custódia dos ativos de informação.

Todas as mudanças em processos, procedimentos e tecnologias devem ser formalmente avaliadas considerando o atendimento aos requisitos desta PSI.

Devem ser estabelecidos procedimentos e responsabilidades específicas para o uso e gerenciamento dos ativos de informação disponibilizados pelo Banco INDUSCRED quando estiverem fora das instalações da empresa.

Uma única área deve ser designada como responsável por emitir todos os documentos de identidade, físicos ou lógicos, utilizados no Banco INDUSCRED.  Esta área deve buscar a convergência destes documentos para uma identidade única criando uma base de dados sob sua responsabilidade para consulta e identificação por todos os sistemas de controle de acesso físico e lógico do Banco.

Todas as pessoas devem ser distintamente identificadas sempre que possível, sejam elas visitantes, parceiros, funcionários regulares, prestadores de serviços pessoa-física e prestadores de serviços pessoa-jurídica.

Quando razões tecnológicas ou determinações exteriores tornarem impossível a aplicação dos requisitos previstos nesta norma o responsável e/ou solicitante deverá documentá-las imediatamente à gestão de tecnologia, para que possibilite a adoção de medidas alternativas que minimizem os riscos, bem como um plano de ação para corrigi-los, monitorá-los ou eliminá-los.

O Banco INDUSCRED exime-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, adotar as medidas legais cabíveis e punir os infratores.

Esta PSI será implementada no Banco INDUSCRED através de procedimentos específicos a serem desenvolvidos pela gestão de TI e obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como independente de vínculo empregatício ou prestação de serviço e o não cumprimento da mesma acarretará violação às regras internas do banco e sujeitará o usuário às medidas administrativas e legais cabíveis.

A PSI será revisada e atualizada periodicamente, no mínimo a cada ano, ou sempre que algum fato relevante ou evento ocorrer que motive sua revisão antecipada.

  • ARMAZENAMENTO EM NUVEM

A Segurança Cibernética não é, contudo, sinônimo de segurança de Internet, segurança de rede, segurança de aplicativos, segurança da informação ou Critical Information Infrastructure Protection (CIIP) – Proteção de Infraestrutura Crítica de Informação.

Com base nos conceitos de nuvem, podemos definir:

  • Nuvens públicas pertencem a um provedor de serviço de nuvem terceirizado e são administradas por ele, que fornece recursos de computação pela Internet.
  • Nuvens privadas se referem aos recursos de computação em nuvem usados exclusivamente por uma única empresa ou organização.
  • Nuvens híbridas combinam nuvens públicas e privadas ligadas por uma tecnologia que permite que dados e aplicativos sejam compartilhados entre elas
  • Outros combinam serviços de monitoramento de sistemas implementados em clientes e serviços de informações de órgão reguladores para atendimento de nossos clientes.

Conforme disposição das regulamentações vigentes da contratação de serviços de processamento e armazenamento em nuvem, o Banco INDUSCRED, deverá gerir os riscos de segurança da informação nos negócios – Sistema de Gestão de Segurança da Informação, em nível empresarial. Convém que os clientes que se conectam ao Espaço Cibernético implementem um sistema de gestão de segurança da informação (SGSI) para identificar e gerenciar riscos de segurança da informação relacionados com o negócio.

Uma consideração-chave na implementação de um SGSI é garantir que o Banco INDUSCRED tenha um sistema para identificar, avaliar, tratar e gerir continuamente os riscos de segurança da informação relativos ao seu negócio, incluindo a prestação de serviços na Internet, diretamente para os usuários finais, caso seja um provedor de serviço.

Para soluções terceiras (externas não seria melhor?) que venham a agregar serviços prestados, são exigidos em contrato, redundância para todos os itens de tecnologia envolvidos, além de que, os terceiros envolvidos devem estar em compliance com normas e resoluções vigentes no país e órgãos reguladores para instituições financeiras.

Quando são utilizados vários provedores, convém que a interação entre eles seja analisada e que os respectivos contratos de serviço tratem qualquer interação crítica. Por exemplo, é recomendado que atualizações ou downloads para os sistemas de um provedor sejam coordenados com outros provedores, caso a atualização resulte em interação negativa. Convém que os termos dos acordos cubram pelo menos o seguinte:

  • Avisos claros, descrevendo as práticas de privacidade e segurança, as práticas de coleta de dados e o comportamento de qualquer código (por exemplo, o Browser Help Object) que o site ou aplicativo online podem distribuir e executar em ambientes de estações de trabalho ou de navegador na web de usuários finais.
  •  Consentimento do usuário, facilitando o acordo ou desacordo do usuário com os termos dos serviços descritos nos avisos. Isso levaria um usuário a usar de discrição e determinar se poderia aceitar os termos de serviços em conformidade.
  •  Controles de usuário, facilitando os usuários a alterar suas configurações ou de outra maneira terminar a sua aceitação a qualquer momento no futuro, após o acordo inicial. Os termos são importantes para garantir que os usuários finais estejam claros quanto ao comportamento e as práticas do site, ou aplicativo online em relação à privacidade e segurança dos usuários finais.
  • APROVAÇÃO E REVISÃO

Políticas e Normas específicas

  • Nível de Aprovação: Diretoria Executiva
  • Nível de Revisão: Gestão de TI e Operações
  • Periodicidade de Revisão: Anual

Procedimentos

  • Nível de Aprovação: Diretoria Executiva
  • Nível de Revisão: Gestão de TI e Operações
  • Periodicidade de Revisão: Anual
  • DAS RESPONSABILIDADES ESPECÍFICAS

Colaboradores em Geral

É de inteira responsabilidade de cada colaborador interno, externo ou parceiro, qualquer prejuízo ou dano que vier a sofrer ou causar ao Banco INDUSCRED e/ou a terceiros, em decorrência de não obediência às diretrizes e normas aqui referidas.

Cabe a todos os colaboradores do Banco INDUSCRED:

  • Cumprir fielmente políticas, normas e procedimentos de segurança da informação estabelecidos neste documento;
  • No caso de colaborador externo e parceiros, deverá buscar orientação de seu superior sendo da mesma empresa prestadora de serviços, quando houver dúvidas relacionadas à segurança da informação.
  • Assinar o Termo de Responsabilidade, formalizando a ciência da Política e das Normas de Segurança da Informação bem como assumindo a responsabilidade pelo seu cumprimento;
  • Proteger as informações contra o acesso, modificação divulgação ou destruição não autorizada pelo Banco INDUSCRED;
  • Assegurar que os recursos tecnológicos sejam utilizados somente para fins profissionais aprovados e de interesse do Banco INDUSCRED;
  • Comunicar imediatamente a gestão de TI, qualquer descumprimento ou violação desta política e/ou de suas Normas e Procedimentos.

Recursos Humanos

Cabe aos Recursos Humanos:

  • Atribuir, na fase de contratação dos colaboradores internos e formalizar nos contratos individuais de trabalho, a responsabilidade quanto ao cumprimento da PSI no Banco INDUSCRED.
  • Colher a assinatura do Termo de Responsabilidade de todos os colaboradores, internos e efetuar o arquivamento delas;
  • Exigir dos colaboradores internos a assinatura de um Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações do Banco INDUSCRED;
  • Comunicar prontamente toda e qualquer alteração no quadro funcional da empresa, contratações, demissões, alterações de cargos, funções, localizações etc.
  • Atribuir, na fase de contratação dos colaboradores externos e formalizar nos contratos de prestação de serviços ou de parceria, a responsabilidade quanto ao cumprimento da PSI no Banco INDUSCRED, bem como a necessidade de assinatura do termo de responsabilidade e ciência por seus empregados a serem entregues ao banco, pelo seu representante (ou pessoa estabelecida como contato).

Diretorias, Gerências e Coordenações

Cabe as Diretorias, Gerências e Coordenações:

  • Ter postura exemplar em relação à Segurança da Informação, servindo como modelo de conduta para os colaboradores internos sob a sua gestão.
  • Cumprir e fazer cumprir esta política, as normas e procedimentos de Segurança da Informação;
  • Assegurar que suas equipes possuam acesso e conheçam esta política, bem como das normas e procedimentos aqui estabelecidos;
  • Exigir a assinatura do Acordo de Confidencialidade, antes de conceder acesso às informações da empresa, para colaboradores externos que sejam casuais, parceiros e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais;
  • Especificar e solicitar previamente permissão de acesso, elencando os ativos de informação para prestadores de serviços em geral que não sejam contratados via Núcleo de Desenvolvimento Organizacional;
  • Adaptar as normas, processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI;
  • Comunicar imediatamente à gestão de TI, eventuais violações da segurança da informação.
  • Comunicar tempestivamente ao Banco Central todos os incidentes relevantes que causem interrupção nas operações ou serviços.

Proprietário da Informação

O Proprietário da informação pode ser um diretor, gerente ou coordenador de uma determinada área ou projeto, deve ser formalmente indicado pelo CSI ou pela Diretoria Executiva. Será o responsável pela manutenção, revisão e cancelamento de autorização a determinada informação ou conjunto de informações pertencentes o Banco INDUSCRED ou sob sua guarda.

  • Cabe ao proprietário da informação:
  • Elaborar para toda informação sob sua responsabilidade, matriz que relaciona cargos e funções do Banco INDUSCRED às autorizações de acesso concedidas;
  • Manter Registro e controle atualizado de todas as autorizações de acesso concedidas, determinando sempre que necessário a pronta suspensão do acesso ou alteração da autorização concedida;
  • Reavaliar as autorizações de acesso sempre que necessário ou solicitado, cancelando aquelas que não se fizerem mais necessárias;
  • Participar sempre que convocado das reuniões do CSI, prestando os esclarecimentos quando solicitado.

Da gestão de Tecnologia da Informação

Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores em geral com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI.

  • Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
  • Definir o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
  • O acesso à arquivos e dados de outros usuários por administradores e operadores dos sistemas computacionais é permitido somente mediante necessidade, como por exemplo, em casos de backup, manutenção, auditoria, testes no ambiente e grave suspeita de ato ilícito, que por sua vez deve ser justificado e documentado por pessoa autorizada.
  • Segregar as funções administrativas e operacionais de forma a restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos minimizar, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
  • Gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade de forma a torná-las juridicamente válidas como evidências.
  • Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para o Banco INDUSCRED.
  • Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por TI.
  • O gestor da informação deve ser previamente informado sobre a expiração do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.
  • Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
  • Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão, necessárias para garantir a segurança requerida pelas áreas de negócio.
  • Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e a qualquer outro ativo de informação a um responsável identificável como pessoa física.
  • Proteger continuamente todos os ativos de informação da empresa contra código malicioso.
  • Garantir que todos os novos ativos da informação da empresa só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
  • Garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual no caso de uso de terceiros para controle e responsabilização.
  • Definir as regras formais para instalação de Software e Hardware em ambiente de produção corporativo.
  • Realizar auditorias periódicas de configurações técnicas e análise de riscos.
  • É responsável pelo uso, manuseio, guarda de assinatura e certificados digitais.
  • Garantir da forma mais rápida possível o bloqueio de acesso de usuários, a partir de solicitação formal, por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
  • Monitorar o ambiente de TI, gerando indicadores e históricos de:
    • Uso da capacidade instalada da rede e dos equipamentos;
    • Tempo de resposta no acesso à Internet e aos sistemas críticos do Banco INDUSCRED;
    • Períodos de indisponibilidade no acesso à Internet e aos sistemas críticos do Banco INDUSCRED;
    • Incidentes de segurança (vírus, trojans, furtos, acessos indevidos etc.);
    • Atividade de todos os colaboradores internos, externos e parceiros, durante os acessos às redes externas, inclusive Internet (ex.: sites visitados, E-mails recebidos/enviados, upload/download de arquivos etc.);
    • Garantir que todos os servidores, estações e demais dispositivos com acesso a rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.
  • Propor as metodologias e processos específicos para a Segurança da Informação, tais como avaliação de risco e sistema de classificação da informação.
  • Propor e apoiar iniciativas que visem à segurança dos ativos de informação do Banco INDUSCRED.
  • Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pela Diretoria Executiva.
  • Promover conscientização dos colaboradores internos, externos e parceiros em relação à relevância da Segurança da Informação para o negócio do banco, através de campanhas, palestras, treinamentos e outros meios.
  • Apoiar a avaliação e a adequação de controles específicos de Segurança da Informação para novos sistemas ou serviços.
  • Manter comunicação efetiva com a Diretoria Executiva, com o objetivo de mantê-los adequadamente informados sobre assuntos relacionados ao tema, que afetem ou tenham potencial para afetar o Banco INDUSCRED.
  • IDENTIFICAÇÃO E AUTENTICAÇÃO
  • O acesso aos dados e informações da rede, sistemas informatizados e demais recursos tecnológicos disponibilizados pelo Banco INDUSCRED, deve ser registrado, identificado e controlado;
  • Todos os dispositivos utilizados para identificação dos colaboradores do Banco INDUSCRED tais como o número de matrícula, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais, deverão estar associados a uma pessoa física e atrelados de forma inequívoca aos seus documentos RG e/ou CPF.
  • O registro de acesso tanto aos dados e informações da rede como aos sistemas informatizados, deve ser feito através de Logs.
  • A identificação do acesso é feita através da conta do usuário (Login).
  • Todo colaborador interno deve possuir uma Conta de usuário e senha para a rede e demais sistemas, desde que a função exercida na empresa exija atividades executadas com recursos de TI. No caso de colaborador externo, o mesmo deverá ser concedido apenas mediante autorização expressa do diretor ou coordenador responsável.
  • A conta de usuário é única e intransferível.
  • Não é permitido no Banco INDUSCRED a criação de contas genéricas, para um ou mais colaboradores ou área específica.
  • Todo e qualquer dispositivo de identificação pessoal, não poderá ser compartilhado com outras pessoas em nenhuma hipótese, sendo o colaborador ainda que externo, responsável pelo uso correto de suas informações de identificação, perante o Banco INDUSCRED e perante a legislação (cível e criminal).
  • O RH é responsável pela emissão e controle dos documentos de identidades físicos dos colaboradores em geral, nos termos do procedimento específico e pela solicitação à gestão de TI do acesso aos sistemas, conforme necessidade.
  • Caso o usuário suspeite que terceiros obtiveram acesso indevido ao seu login/senha, deverá entrar em contato imediato com a gestão de TI e solicitar alteração de sua senha.
  • A periodicidade máxima para troca das senhas é de 180 (cento e oitenta) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para o Banco INDUSCRED e os logins com privilégios administrativos devem exigir a troca de senhas a cada 90 dias.
  • Os sistemas devem forçar a troca das senhas dentro dos prazos máximos definidos no item anterior.
  • Todos os acessos devem ser imediatamente bloqueados (inativados) quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o RH deverá imediatamente comunicar a gestão de TI, a fim de que o acesso seja bloqueado imediatamente, e o login do usuário será mantido por no mínimo 6 (seis) meses para fins de prevenção a fraude. Esta conduta também se aplica aos usuários cujo contrato ou prestação de serviços tenham se encerrado, bem como os usuários de testes e outras situações similares.
  • O extravio, roubo ou perda da senha de acesso pelos usuários, deverá ser comunicado imediatamente à gestão de TI do banco, a fim de que possam bloqueá-la e disponibilizar nova senha de acesso.
  • Ficam os Colaboradores internos e externos cientes de que, enquanto o Banco INDUSCRED não for cientificado dessa ocorrência, ficarão responsáveis pelos atos praticados por terceiros, através da utilização da senha, que provoquem danos aos servidores/ terceiros/demais usuários do banco.
  • É de integral responsabilidade dos Colaboradores internos e externos, qualquer prejuízo ou dano que vierem a sofrer ou causarem ao Banco INDUSCRED e ou a terceiros, em decorrência do uso inadequado ou indevido de sua senha, seja por conduta culposa ou dolosa.
  • DOS COMPUTADORES E RECURSOS TECNOLÓGICOS
  • Os equipamentos disponibilizados aos colaboradores internos, externos ou parceiros são de propriedade do Banco INDUSCRED, cabendo a cada um, para as atividades de interesse da empresa, a utilização correta e manuseio deles, bem como o cumprimento das recomendações constantes nos Procedimentos Operacionais de cada setor, que deverá ser previamente acordada com a gestão de TI.
  • Os equipamentos pessoais tais como notebooks, smartphones e tablets somente poderão ser utilizados desde que estejam em conformidade com a política interna do banco e com autorização prévia e expressa da Diretoria, podendo ser vistoriado e avaliado pela gestão de TI do banco, caso haja necessidade por motivos de segurança da informação e manutenção das informações operacionais da empresa.
  • É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, realizados sem o conhecimento prévio e o acompanhamento de um técnico da gestão de TI ou a quem este determinar. As áreas/núcleos que necessitarem realizar testes deverão solicitar previamente à gestão de TI ficando responsável jurídica e tecnicamente pelas ações realizadas.
  • Os sistemas e computadores devem ter versões instaladas, ativadas e atualizadas permanentemente do software antivírus. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o técnico responsável através de registro de chamado.
  • Arquivos pessoais e/ou não pertinentes ao negócio do banco (fotos, músicas, vídeos etc.), não deverão ser copiados/movidos para os drives de rede, pois estes podem sobrecarregar os servidores de rede. Quando identificada a existência de arquivos pessoais, a gestão de TI comunicará o responsável direto, oferecendo prazo para a remoção. Não tomada as devidas providências, a gestão de TI poderá eliminar os arquivos diretamente do local onde se encontram.
  • Documentos imprescindíveis para as atividades dos colaboradores do banco deverão ser salvos em drives de rede. Os arquivos gravados apenas localmente nos computadores (Ex. drive C e D:), não terão garantia de Backup e poderão ser perdidos caso ocorra uma falha no computador, furto ou qualquer sinistro, e assim acontecendo o usuário poderá ser responsável por negligência.
  • A utilização de modems somente será permitida caso haja necessidade específica e ou de acordo com plano de contingência, mediante autorização dos gestores de TI.
  • A alteração de configuração dos equipamentos disponibilizados pelo Banco INDUSCRED, só poderá ocorrer mediante autorização prévia e expressa da gestão de TI.
  • Deverão ser protegidos por senha (bloqueados), todos os terminais de computadores e impressoras quando não estiverem sendo utilizados.
  • Todos os recursos tecnológicos adquiridos pelo Banco INDUSCRED devem ter imediatamente suas senhas padrões (default) alteradas.
  • Acrescentamos que é explicitamente proibido a todos os colaboradores o uso de computadores e recursos tecnológicos do Banco INDUSCRED para as seguintes situações:
    • Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
    • Burlar quaisquer sistemas de segurança;
    • Acessar informações confidenciais sem explícita autorização do proprietário;
    • Vigiar secretamente outrem através de dispositivos eletrônicos ou softwares, como por exemplo, analisadores de pacotes (sniffers);
    • Interromper um serviço, servidores ou rede de computadores através de qualquer método;
    • Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
    • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública;
    • A utilização de recursos de terceiros em conjunto com recursos tecnológicos do banco. (Ex. pendrive pessoal ou do cliente/parceiro, smartphones, tablet etc.)
    • Utilizar software sem licença oficial do fabricante.
  • As ferramentas são disponibilizadas para fins e exercício de suas atividades, não sendo permitido a instalação de softwares, mesmo que seu perfil permita tal ação.
  • DO USO DE DISPOSITIVOS MÓVEIS
  • Quando se descreve “Dispositivo Móvel” entende-se qualquer equipamento eletrônico de propriedade do Banco INDUSCRED, ou aprovado e permitido pela gestão de TI, com atribuições de mobilidade, tais como: notebooks, smartphones, pen-drives, câmeras e outros.
  • É permitido o uso de dispositivos móveis, desde que sejam de propriedade do Banco INDUSCRED e homologados pela gestão de TI.
  • O Banco INDUSCRED, na qualidade de proprietária dos equipamentos fornecidos, se reserva ao direito de inspecioná-los, a qualquer tempo.
  • Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu Dispositivo Móvel no drive de rede.
  • É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel, fornecido pelo Banco INDUSCRED, notificar imediatamente ao seu Gestor Direto e a gestão de TI. Este também deverá procurar a ajuda das autoridades policiais registrando, imediatamente, um boletim de ocorrência (BO).
  • O colaborador deverá estar ciente de que o uso indevido do Dispositivo Móvel, fornecido pelo Banco INDUSCRED, caracterizará a assunção de todos os riscos da sua má utilização, sendo este o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar ao Banco INDUSCRED e/ou a terceiros.
  • A disponibilização de notebook para o colaborador como ferramenta de trabalho para uso contínuo pressupõe a retirada do desktop e utilização de uma única máquina. O uso concomitante de desktop e notebook deve ser autorizado pelo Comitê de Segurança da Informação, mediante análise prévia.
  • DO USO DE CORREIO ELETRÔNICO
  • O uso do Correio Eletrônico do Banco INDUSCRED é para fins corporativos e relacionados às atividades do colaborador dentro do Banco, não sendo permitido seu uso para fins pessoais, portanto por medidas de segurança e manutenção das políticas internas, o Banco INDUSCRED tem o direito de monitorar as caixas de e-mails de todos os colaboradores.
  • Não é permitido aos colaboradores no uso do Correio Eletrônico do Banco INDUSCRED, sendo tratado como falta grave:
    • Enviar mensagens não solicitadas para múltiplos destinatários, exceto se ela for relacionada a uso legítimo do Banco (ex. correntes, casos interessantes, piadas);
    • Enviar mensagem por correio eletrônico a partir do endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não seja de seu próprio usuário;
    • Enviar qualquer mensagem através dos meios eletrônicos que torne seu remetente e/ou o Banco INDUSCRED ou suas subsidiárias vulneráveis a ações civis ou criminais;
    • Divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário deste ativo de informação;
    • Falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários;
    • Apagar mensagens pertinentes de correio eletrônico quando qualquer uma das localidades do Banco INDUSCRED estiver sujeita a algum tipo de investigação;
    • Produzir, transmitir ou divulgar mensagem que:
    • Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses do Banco INDUSCRED;
    • Contenha ameaças eletrônicas, tais como: spam, mail bombing, vírus de computador;
    • Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança;
    • Inclua imagens criptografadas ou de qualquer forma mascaradas;
    • Contenham anexo(s) Superior(es) até: 20Mb para ENVIO (Interno e Internet) e 20Mb para RECEBIMENTO (Internet);
    • Para arquivos destinados para clientes somente via FTP interno;
    • Tenha conteúdo considerado impróprio, obsceno ou ilegal;
    • Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico etc.;
    • Contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
    • Tenha fins políticos locais ou do país (propaganda política) e religiosos;
    • Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
  • O Banco INDUSCRED poderá ainda tomar as medidas judiciais cabíveis para impedir o envio de mensagens com conteúdo ilegal ou spams por parte de seus Funcionários, Estagiários ou Colaboradores, o trânsito, armazenamento dessas mensagens em equipamentos pertencentes ao banco, bem como o uso indevido de sua rede de computadores, sem prejuízo da propositura das ações judiciais para o ressarcimento pelas perdas e danos causados por referidos atos.
  • A morosidade por parte do Banco INDUSCRED em reprimir qualquer ação por parte de Funcionário, Estagiário ou Colaborador, não autorizada por esta política, não poderá ser interpretada como desistência por parte do banco de qualquer direito de fazê-lo no futuro.
  • DO USO DA INTERNET
  • Os equipamentos, tecnologia e serviços fornecidos para o acesso à Internet são de propriedade do Banco INDUSCRED, que pode analisar e se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/Internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua PSI.
  • Toda a Informação da Internet que é acessada, transmitida, recebida ou produzida está sujeita à auditoria e divulgação interna.  Portanto, o Banco INDUSCRED, em total conformidade legal, reserva-se ao direito de monitorar e registrar todos os acessos à Internet.
  • O uso da internet é permitido para fins profissionais, devendo o colaborador ficar atento aos sites que deseja acessar, para que sejam condizentes com suas ações. Casos de exceção serão previstos em documento próprio como regra de exceção para uso de internet (pode abranger sites de pesquisa, imposto de renda, bancos, receita federal, governamentais etc.)
  • Casos de exceção para o uso da internet e não previsto em documento específico deverá ser objeto de autorização pela gestão de TI.
  • Somente os colaboradores que estão devidamente autorizados a falar em nome do Banco INDUSCRED para os meios de comunicação poderão manifestar-se em nome do banco, seja por e-mail, documento físico, entrevista online, podcast, entre outros.
  • Somente os colaboradores que estão devidamente autorizados pelo Banco INDUSCRED poderão copiar, captar imagens da tela, imprimir ou enviar para terceiros, devendo atender à Norma interna para uso de imagens, à Lei de Direitos Autorais, Proteção da Imagem garantida pela Constituição Federal e demais dispositivos legais.
  • É proibida a divulgação e/ou o compartilhamento indevido de informações em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na Internet.
  • Como regra geral, não poderá ser exposto, armazenado, distribuído, editado, impresso ou gravado através de qualquer recurso, material sexualmente explícito.
  • Não é permitido acesso a sites de proxy.
  • O acesso à internet é de uso exclusivo para colaboradores internos do Banco INDUSCRED. O compartilhamento com parceiros e clientes somente será efetivado com prévia autorização e homologação da gestão de TI.
  • São tratados como falta grave e estarão sujeitos a medidas disciplinares e/ou judiciais cabíveis os seguintes comportamentos:
    • O acesso a sites cujo conteúdo conflite com os valores e interesses do Banco INDUSCRED, estando o Funcionário, Estagiário ou Colaborador em horário de trabalho ou não;
    • A transferência de arquivos pela Internet;
    • Acessar, armazenar, divulgar e repassar qualquer material de conteúdo ilícito ou malicioso, como vírus, worms, cavalos de troia ou programas de controle de outros computadores, bem como spams;
    • Efetuar upload ou distribuição de qualquer software, licenciado ou não o Banco INDUSCRED, ou dados de propriedade do banco ou de seus clientes;
    • A divulgação de informações confidenciais do banco em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida;
    • A utilização de softwares de comunicação instantânea, tais como ICQ, Microsoft Messenger e afins;
    • A utilização a utilização de softwares de peer-to-peer (P2P), tais como Kazaa, Morpheus e afins;
    • A utilização de serviços de streaming, tais como Rádio e/ou TV On-Line e afins.
  • DA INSTALAÇÃO DE SOFTWARES
  • A instalação de softwares nos equipamentos do Banco INDUSCRED deverá ser feita pela gestão de TI, devendo estes estarem devidamente licenciados.
  • Existindo a necessidade de instalação de qualquer software por um colaborador do banco, deverá ser solicitado formalmente à gestão de TI que fará uma pesquisa para a melhor alternativa levando em consideração, custo x benefício, devendo ainda o software ser de uso único e exclusivamente profissional.
  • A reprodução não autorizada dos softwares instalados nos equipamentos fornecidos pelo banco constitui uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
  • O download (baixa) de programas será permitido apenas mediante autorização do superior direto e da gestão de TI, devendo este estar ligado diretamente às suas atividades no banco e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas.
  • Não é permitido efetuar upload (subida) de qualquer software licenciado ao banco ou dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.
  • O uso, instalação, cópia ou distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente são expressamente proibidos.
  • Os colaboradores não poderão em hipótese alguma utilizar os recursos do Banco INDUSCRED para fazer o download ou distribuição de software ou dados pirateados, atividade está considerada delituosa de acordo com a legislação nacional.
  • O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins.), não são permitidos.
  • A gestão de TI poderá fazer remotamente inventário de software, bem como verificação/monitoramento de softwares instalados, a fim de prevenir e eliminar uso ilegal e problemas com direitos autorais, bem como monitorar a data de expiração das licenças já concedidas.
  • USO DE IMPRESSORAS
  • O uso de impressoras do Banco INDUSCRED é para fins corporativos e relacionados às atividades do colaborador dentro do Banco, não sendo permitido, portanto, impressões de qualquer arquivo ou documento pessoal sem prévia autorização.
  • As impressoras deverão ficar em locais apropriados e seguros.
  • Deverá ser criado procedimento específico para uso de impressora, sendo que este deverá abordar: Impressões esquecidas na máquina, papéis em branco, erro de impressão, trava de papel, entre outros.
  • DO DATACENTER
  • Nas localidades em que não existam colaboradores da gestão de TI, deverão ser cadastradas no sistema de acesso, pessoas de outros departamentos, para que eles possam exercer as atividades operacionais dentro do Datacenter, tais como: troca de fitas de backup, suporte em eventuais problemas etc.
  • O acesso de visitantes e terceiros somente poderá ser realizado com acompanhamento de um colaborador interno e autorizado, o qual deverá preencher uma Solicitação de Acesso, bem como deverá o visitante assinar o Termo de Responsabilidade.
  • O acesso ao Datacenter através de chave, apenas poderá ocorrer em caso de emergência, onde a segurança física do Datacenter possa ser comprometida, tais como: incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não esteja funcionando.
  • Não é permitida a entrada de qualquer tipo de alimento, bebida ou produto inflamável.
  • A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará de acordo com os termos do Procedimento de Controle e Transferência de Equipamentos, com o preenchimento da Solicitação de Liberação pelo colaborador solicitante e da autorização formal deste instrumento pelo responsável do Datacenter.
  • No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, deverá ser feita imediatamente a exclusão dele no sistema de autenticação forte e da lista de colaboradores autorizados, de acordo com Procedimento de Controle de Acesso ao Datacenter.
  • O Datacenter deverá dispor de backup de energia elétrica, climatização e link internet e deverá ter uma redundância que permita o seu funcionamento ininterrupto os quais deverão ser continuamente monitorados.
  • DO BACKUP

Deverá ser criada uma Norma e Procedimentos específicos para Backup que garantam a Segurança das Informações, devendo esta contemplar, no mínimo o backup semanal, frequência da geração de cópias, recuperação de informações e registros.

  • DAS PENALIDADES

O não cumprimento desta Política e Norma a ela atreladas caberá:

    • Na primeira infração uma advertência e anotação no prontuário;
    • Na segunda infração, advertência com indicação de reincidência e anotação no prontuário;
    • Na terceira infração, demissão por justa causa.

Nos casos em que a infração corresponder a atividades ilegais, ou ainda incorrer em dano ao Banco ou a terceiros, serão encaminhados para o CSI que poderá deliberar pela demissão por justa causa, dispensando as advertências, não eximindo o infrator das medidas previstas pela legislação vigente, sendo que o Banco INDUSCRED cooperará ativamente com as autoridades nesses casos.

No caso de prestadores de serviços a ocorrência deverá ser levada até o CSI que deliberará sobre a rescisão de contrato ou não do prestador.

Os Funcionários, Estagiários ou Colaboradores que infringirem as presentes condições de uso serão responsabilizados pelos danos e prejuízos de qualquer natureza que o Banco INDUSCRED venha a sofrer ou aqueles causados a terceiros.

  • DAS DISPOSIÇÕES FINAIS
  • Assim como a ética, a segurança deve ser entendida como parte fundamental da Cultura Interna do Banco INDUSCRED. Ou seja, qualquer incidente de segurança, subentende-se como alguém agindo contra a ética e os bons costumes regidos pelo banco.
  • A qualquer tempo e em qualquer dos casos previstos, prevalecendo o descumprimento das regras expostas, a gestão de TI poderá bloquear temporariamente o acesso do colaborador comunicando a ele e ao gestor da área os motivos de tal ato. No caso de colaborador externo deverá ser comunicado ao responsável da empresa terceirizada.
  • Esta PSI compromete e responsabiliza cada um, estando todos cientes também que os ambientes, telefones, sistemas, e-mails, computadores e redes do banco estão sujeitos a monitoramento e gravação.
  • É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da gestão de TI, sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
  • O colaborador assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções no Banco INDUSCRED, mesmo depois de terminado o vínculo contratual mantido com a instituição.

BASE NORMATIVA / MELHORES PRÁTICAS

Data de aprovação desta Política: 08/08/2019

Data de revisão desta Política: 30/07/2020

Data de revisão desta Política: 30/04/2021

ISO 27001 – é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27001- Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação – requisitos, mais conhecido como ISO 27001.

ISO 27032 – é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System) publicado em outubro de 2015 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27032 – Tecnologia da Informação — Técnicas de segurança — Diretrizes para segurança cibernética Information technology — Security techniques — Guidelines for cybersecurity.

Resolução CMN nº 4.658 de 26 de abril de 2018 – Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil

Resolução CMN nº 4.752 de 26 de setembro de 2019 – Altera a Resolução nº 4.658, de 26 de abril de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Circular Bacen nº 3.909 de 16 de agosto de 2018 e 3969 de 13 de novembro de 2019 – Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.