Política de Segurança da Informação

Apresentação

A presente Política de Cybersecurity e Segurança da Informação (“Política”) tem como objetivo descrever os processos relacionados à segurança da informação e cibernética adotados pela SWAP Câmbio orientar o uso e a operação de Sistemas da Informação (conforme definido abaixo) de maneira eficiente e segura

Abrangência

Esta Política aplica-se a todos os colaboradores, incluindo sócios, administradores, diretores, funcionários, estagiários, consultores e colaboradores temporários e demais pessoas que possuam cargo, função, posição e/ou relação de natureza societária, empregatícia, comercial, profissional, contratual ou de confiança da SWAP Câmbio, em razão da qual poderá ter ou vir a ter acesso a informações confidenciais ou informações privilegiadas de natureza financeira, técnica, comercial, estratégica, negocial ou econômica, dentre outras.

Informação Relevante e Sistemas da Informação

É considerada “Informação Relevante” toda e qualquer informação, conteúdo ou dado que tenha valor para a SWAP Câmbio, seus colaboradores e clientes. Além do que está armazenado nos computadores, o termo Informação Relevante engloba também as informações disponíveis em relatórios, documentos, arquivos físicos, ou até mesmo quando repassada através de conversas dentro ou fora da empresa.

Portanto, a “segurança da informação” mencionada nesta Política trata-se de proteções voltadas às informações impressas, verbais e sistêmicas, bem como nos controles de acesso, vigilância, contingência de desastres naturais, contratações, cláusulas e demais questões que, em conjunto, formam uma proteção adequada para qualquer empresa.

São considerados “Sistemas da Informação” os sistemas de comunicações, serviços e dispositivos por meios eletrônicos utilizados para a troca e o compartilhamento de informações, bem como os controles inerentes à tais sistemas.

Esta Política constitui um conjunto de diretrizes que definem formalmente as regras, os direitos e deveres dos colaboradores, visando à proteção adequada dos que compartilham a informação. Ela também define as atribuições de cada um dos colaboradores em relação à segurança dos recursos com os quais trabalham, além de prever o que pode ser feito e o que será considerado inaceitável com relação ao assunto.

Princípios de Cybersecurity e Segurança da Informação

Os princípios básicos de cybersecurity e segurança da informação são: confidencialidade, integridade e disponibilidade das informações.

Confidencialidade: Proteção da informação compartilhada contra acessos não autorizados. A ameaça à segurança acontece quando há uma quebra de sigilo de uma determinada informação, permitindo que sejam expostos, voluntária ou involuntariamente, dados restritos e que deveriam ser acessíveis apenas a um determinado grupo de usuários. Mais informações sobre confidencialidade podem ser encontradas no Código de Ética e Conduta.

Integridade: Garantia da veracidade da informação, pois a mesma não deve ser alterada enquanto está sendo transferida ou armazenada. Ameaças à segurança acontecem quando uma determinada informação fica exposta ao manuseio por uma pessoa não autorizada, que efetua alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.

Disponibilidade: Prevenção contra as interrupções das operações da empresa como um todo. Os métodos para garantir a disponibilidade incluem um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança. As ameaças à segurança acontecem quando a informação deixa de estar acessível para quem necessita dela.

Além disso, como regra geral aplicável, o acesso dos usuários às informações é restrito e controlado, significando que só as pessoas que devem ter acesso a uma determinada informação terão, de fato, esse acesso. O controle de acessos a informações confidenciais deve ser solicitado individualmente por usuário e depois autorizadas por uma função definida (por exemplo, Gerente de linha, Proprietário dos dados, Administrador de dados, Controlador) com base no respectivo conceito de propriedade dos dados.

Orientações sobre Cybersecurity e Segurança da Informação

A SWAP Câmbio possui processos e controles destinados à proteção e segurança das Informações e ao uso dos sistemas da informação, com o objetivo de:

Controles de Segurança

Foram desenvolvidas proteções administrativas, técnicas e físicas para gerir os riscos relacionados a cybersecurity e segurança da informação. Essas proteções foram implementadas com base no modelo de negócios da Swap Câmbio e alinhada com as melhores práticas de cybersecurity e segurança da informação do mercado.

Abordagem integrada: Controles da segurança da informação são implementados com uma abordagem integrada. Assim, tais controles não são considerados ou implementados de forma isolada, mas abrangidos como parte de uma ampla estrutura de proteção.

Em situações de dificuldade para aplicar determinada divisão de cargos e posições, o monitoramento de atividades, trilhas de auditoria e/ou supervisão de risco deverão ser implementados para assegurar a devida segurança das informações.

Detecção e tratamento de incidentes: Existem mecanismos que garantem um alto nível de detecção e gravação de falhas de segurança da informação. Vale notar que a Swap Câmbio possui processos de reporte de incidentes e busca uma rápida reação de forma sensível e efetiva para limitar ou evitar a interrupção dos negócios.

Proteção e prevenção ao vazamento de dados: Mecanismos para mitigar os incidentes relacionados ao vazamento de dados devem estar implementados.

A Swap tem o comprometimento com a melhoria contínua desta política, e adotará os seguintes procedimentos e controles para mitigar/eliminar as vulnerabilidades identificadas:

Senha de Acesso

Colaboradores
As senhas de acesso dos colaboradores para os sistemas da companhia deverão respeitar os critérios mínimos abaixo:

Administradores de sistemas

Correio eletrônico (e-mail) e outras comunicações comerciais eletrônicas

A política do Swap Câmbio estabelece que e-mail, mensagens instantâneas e outras comunicações eletrônicas são tratadas como comunicações por escrito e que tais comunicações devem sempre ser de natureza profissional.

É importante salientar que as comunicações comerciais eletrônicas e quaisquer comunicações eletrônicas, inclusive comunicações pessoais, feitas em sistemas da Swap Cambio e Capitais (por ex.: e-mail do Outlook , Mensagem instantânea, entre outros), são de propriedade da Swap Cambio e Capitais. Essas comunicações podem ser revisadas, buscadas ou apresentadas em litígios, investigações regulatórias ou iniciativas internas. Por conseguinte, os colaboradores não devem ter nenhuma expectativa de privacidade nessas comunicações e devem fazer comunicações pessoais o mínimo possível.

Ações proibidas quanto a utilização do e-mail corporativo

Assinatura do E-mail
As mensagens de correio eletrônico sempre deverão incluir a assinatura do colaborador, contendo as informações abaixo:

Arquivamento e Auditoria de E-mails

Por efeito de auditoria e cumprimento legal, todos os e-mails, enviados e recebidos pelo domínio @swapcambio.com deverão ser arquivados pelo tempo determinado pelo órgão regulador vigente.

Uso da Internet

Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a Swap, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.

Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança Cibernética e da Informação.

Os colaboradores não poderão em hipótese alguma utilizar os recursos da Swap para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.

Os colaboradores não poderão utilizar os recursos da Swap para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.

Computadores e Recursos Tecnológicos

Os equipamentos disponíveis aos colaboradores são de propriedade da Swap, cabendo a cada um utilizá-los e manuseálos corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.

Ações proibidas quanto ao manuseio dos equipamentos

Procedimentos e Regras Aplicáveis às Informações de Clientes

O Swap tem o compromisso firme de proteger a privacidade das informações pessoais não divulgadas ao público dos seus clientes. Informações de Clientes podem ser fornecidas a terceiros apenas nas circunstâncias descritas a seguir, salvo outras restrições impostas por regulamentos e leis locais:

Em algumas circunstâncias, as informações de clientes podem ser revisadas pelos prestadores de serviços externos (por ex.: contadores, advogados, consultores, bancos parceiros, etc.). Esses prestadores de serviços devem manter a confidencialidade das informações de clientes.

É vedado aos Colaboradores, durante a vigência do contrato de trabalho ou após o desligamento do Swap Cambio e Capitais, divulgar as informações de clientes a qualquer pessoa ou entidade fora do Swap Cambio e Capitais, inclusive familiares, exceto nas circunstâncias descritas acima.

A regra de confidencialidade aplica-se às informações em todos e quaisquer formatos, sejam elas obtidas de uma conversa, documentos escritos ou por outro meio. A conscientização sobre segurança da informação implica também que nenhuma informação da Swap deverá ser deixada em local não seguro.

Os colaboradores são instruídos a tomar todas as medidas necessárias para proteger e preservar os documentos ou qualquer objeto de valor que esteja em seu poder contra o uso indevido, questionamento impróprio ou exposição indesejada.

Salvaguarda e Disponibilização de Informações de Clientes

A Swap restringe o acesso às informações de clientes aos colaboradores que precisam das informações para fornecer serviços a nossos clientes.

Qualquer colaborador com acesso autorizado às informações de Clientes deve guardar tais informações em compartimentos ou receptáculos seguros no encerramento do expediente, todos os dias. Todos os arquivos de computador ou eletrônicos que contenham tais informações devem estar protegidos contra acesso não autorizado. Quaisquer conversas envolvendo informações pessoais não divulgadas ao público, quando apropriado, devem ser conduzidas por colaboradores em particular, e deve-se tomar cuidado para evitar que essas conversas sejam ouvidas por acaso ou interceptadas por pessoas autorizadas.

Qualquer Colaborador autorizado a ter a posse de “informações de relatórios de consumidores” para um propósito de negócio deve tomar medidas razoáveis para proteger-se contra o acesso não autorizado ou o uso das informações em relação à sua disponibilização.

Conscientização e treinamento

Conscientização e treinamentoA Swap Cambio possui uma cultura de conscientização sobre a segurança das informações, buscando assegurar que todos os colaboradores estejam cientes de suas responsabilidades em relação à segurança da informação no contexto de seus cargos. Treinamentos e orientações adequados devem ser anualmente disponibilizados aos colaboradores.

Monitoramento

Os tópicos a seguir descrevem as rotinas de monitoramento periódicas destinadas a manter e, conforme necessário, reforçar as políticas e procedimentos de cybersecurity e segurança da informação.

Monitoramento Contínuo e Revisão Anual da Política

A Política é monitorada pela Área de Segurança de Informações de forma contínua para assegurar seu correto funcionamento com vistas à proteção das informações relevantes, incluindo a prevenção a acessos não autorizados ou uso não autorizado de Informações Relevantes, além da identificação da necessidade de medidas para reforçar a eficácia ou contundência da política, conforme necessário. Adicionalmente, a área de Segurança de Informações, em consulta ao board da companhia, revisará o escopo da política pelo uma vez ao ano, ou com maior frequência, se necessário, em razão de mudanças significativas ao modelo de negócios ou alterações regulatórias.

Reportes de Violação ou Vulnerabilidades à Segurança

Se algum colaborador souber ou suspeitar de uma fragilidade à segurança da informação, acessos não autorizados ou uso não autorizado de informações Relevantes, ou qualquer violação a esta política, tal colaborador deverá reportar diretamente a Área de Segurança da Informação ([email protected]) ou diretamente ao gestor da área.

Medidas Disciplinares

O não cumprimento das políticas e procedimentos aqui previstos pode resultar em medidas disciplinares, as quais podem incluir demissão e, se aplicável, comunicação às autoridades regulatórias competentes. Qualquer uma das pessoas supervisionadas também pode responder pessoalmente por qualquer ato ilegal ou ilegítimo cometido durante o período em que for colaborador da Swap. Essa responsabilidade pode sujeitar a pessoa supervisionada às penalidades civis, criminais ou regulatórias. O monitoramento das políticas e procedimentos aqui estabelecidos e a aplicação das sanções aplicáveis em caso de violação de tais políticas e procedimentos serão realizados primariamente pelo board da companhia.

Revisão da Política

A presente política será revisada pela área de Segurança da Informação em conjunto com o board da Swap, no mínimo, a cada 24 (vinte e quatro) meses, ou a qualquer momento, sempre que se observarem mudanças relevantes nas normas, regras, formato das atividades ou em qualquer outro aspecto intrínseco ao dia-a-dia da Swap, nos termos da regulamentação aplicável.

Desenvolvido por