Apresentação
A presente Política de Cybersecurity e Segurança da Informação (“Política”) tem como objetivo descrever os processos relacionados à segurança da informação e cibernética adotados pela SWAP Câmbio orientar o uso e a operação de Sistemas da Informação (conforme definido abaixo) de maneira eficiente e segura
Abrangência
Esta Política aplica-se a todos os colaboradores, incluindo sócios, administradores, diretores, funcionários, estagiários, consultores e colaboradores temporários e demais pessoas que possuam cargo, função, posição e/ou relação de natureza societária, empregatícia, comercial, profissional, contratual ou de confiança da SWAP Câmbio, em razão da qual poderá ter ou vir a ter acesso a informações confidenciais ou informações privilegiadas de natureza financeira, técnica, comercial, estratégica, negocial ou econômica, dentre outras.
Informação Relevante e Sistemas da Informação
É considerada “Informação Relevante” toda e qualquer informação, conteúdo ou dado que tenha valor para a SWAP Câmbio, seus colaboradores e clientes. Além do que está armazenado nos computadores, o termo Informação Relevante engloba também as informações disponíveis em relatórios, documentos, arquivos físicos, ou até mesmo quando repassada através de conversas dentro ou fora da empresa.
Portanto, a “segurança da informação” mencionada nesta Política trata-se de proteções voltadas às informações impressas, verbais e sistêmicas, bem como nos controles de acesso, vigilância, contingência de desastres naturais, contratações, cláusulas e demais questões que, em conjunto, formam uma proteção adequada para qualquer empresa.
São considerados “Sistemas da Informação” os sistemas de comunicações, serviços e dispositivos por meios eletrônicos utilizados para a troca e o compartilhamento de informações, bem como os controles inerentes à tais sistemas.
Esta Política constitui um conjunto de diretrizes que definem formalmente as regras, os direitos e deveres dos colaboradores, visando à proteção adequada dos que compartilham a informação. Ela também define as atribuições de cada um dos colaboradores em relação à segurança dos recursos com os quais trabalham, além de prever o que pode ser feito e o que será considerado inaceitável com relação ao assunto.
Princípios de Cybersecurity e Segurança da Informação
Os princípios básicos de cybersecurity e segurança da informação são: confidencialidade, integridade e disponibilidade das informações.
Confidencialidade: Proteção da informação compartilhada contra acessos não autorizados. A ameaça à segurança acontece quando há uma quebra de sigilo de uma determinada informação, permitindo que sejam expostos, voluntária ou involuntariamente, dados restritos e que deveriam ser acessíveis apenas a um determinado grupo de usuários. Mais informações sobre confidencialidade podem ser encontradas no Código de Ética e Conduta.
Integridade: Garantia da veracidade da informação, pois a mesma não deve ser alterada enquanto está sendo transferida ou armazenada. Ameaças à segurança acontecem quando uma determinada informação fica exposta ao manuseio por uma pessoa não autorizada, que efetua alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.
Disponibilidade: Prevenção contra as interrupções das operações da empresa como um todo. Os métodos para garantir a disponibilidade incluem um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança. As ameaças à segurança acontecem quando a informação deixa de estar acessível para quem necessita dela.
Além disso, como regra geral aplicável, o acesso dos usuários às informações é restrito e controlado, significando que só as pessoas que devem ter acesso a uma determinada informação terão, de fato, esse acesso. O controle de acessos a informações confidenciais deve ser solicitado individualmente por usuário e depois autorizadas por uma função definida (por exemplo, Gerente de linha, Proprietário dos dados, Administrador de dados, Controlador) com base no respectivo conceito de propriedade dos dados.
Orientações sobre Cybersecurity e Segurança da Informação
A SWAP Câmbio possui processos e controles destinados à proteção e segurança das Informações e ao uso dos sistemas da informação, com o objetivo de:
- Identificar e mensurar riscos previsíveis relacionados à segurança, confidencialidade e/ou integridade de todos os documentos contendo Informações Relevantes, bem como avaliar e, se for o caso, melhorar a eficácia das proteções já em vigor destinadas à prevenção ou mitigação de tais riscos;
- Prevenir que Colaboradores demitidos tenham acesso a documentos contendo Informações Relevantes;
- Supervisionar os prestadores de serviço que tenham acesso a Informações Relevantes; e
- Restringir acesso a dados e documentos contendo Informações Relevantes e assegurar o seu correto armazenamento e transferência.
Controles de Segurança
Foram desenvolvidas proteções administrativas, técnicas e físicas para gerir os riscos relacionados a cybersecurity e segurança da informação. Essas proteções foram implementadas com base no modelo de negócios da Swap Câmbio e alinhada com as melhores práticas de cybersecurity e segurança da informação do mercado.
Abordagem integrada: Controles da segurança da informação são implementados com uma abordagem integrada. Assim, tais controles não são considerados ou implementados de forma isolada, mas abrangidos como parte de uma ampla estrutura de proteção.
Em situações de dificuldade para aplicar determinada divisão de cargos e posições, o monitoramento de atividades, trilhas de auditoria e/ou supervisão de risco deverão ser implementados para assegurar a devida segurança das informações.
Detecção e tratamento de incidentes: Existem mecanismos que garantem um alto nível de detecção e gravação de falhas de segurança da informação. Vale notar que a Swap Câmbio possui processos de reporte de incidentes e busca uma rápida reação de forma sensível e efetiva para limitar ou evitar a interrupção dos negócios.
Proteção e prevenção ao vazamento de dados: Mecanismos para mitigar os incidentes relacionados ao vazamento de dados devem estar implementados.
A Swap tem o comprometimento com a melhoria contínua desta política, e adotará os seguintes procedimentos e controles para mitigar/eliminar as vulnerabilidades identificadas:
- Os sistemas e computadores devem ter versões do software anti-vírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar a Área de Segurança da Informação.
- Todos os sistemas / aplicações deverão ser monitorados por um sistema de gestão de atualização de segurança. O objetivo é garantir que as devidas correções de segurança serão aplicadas nos sistemas o mais rápido possível.
- Todas as atualizações e correções de segurança do sistema operacional e aplicativos fornecidas pelos respectivos fabricantes/fornecedores somente poderão ser instaladas nos computadores após a devida validação quanto ao seu correto funcionamento.
- Os colaboradores detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da Área de SI.
- Todos os computadores de uso individual deverão ser protegidos por senha para restringir o acesso não autorizado.
- O colaborador, sempre que se ausentar da estação de trabalho deve bloqueá-la para impedir o acesso não autorizado.
- Para evitar a propagação de vírus e o vazamento de informações, as portas USB dos computadores deverão ser bloqueadas para uso.
- Todos os e-mails recebidos pela Swap deverão ser avaliados previamente por um sistema de Antispam e antivírus antes de ser acessado pelo respectivo destinatário; Todos os incidentes relevantes relacionados à segurança da informação devem ser devidamente analisados e registrados pela Área de SI, e, posteriormente, devem ser avaliadas suas causas e seus impactos (abrangendo, inclusive, informações recebidas de empresas prestadoras de serviços);
Senha de Acesso
Colaboradores
As senhas de acesso dos colaboradores para os sistemas da companhia deverão respeitar os critérios mínimos abaixo:
- Toda senha deve ser constituída de, no mínimo, 8 caracteres sendo obrigatório o uso de caracteres alfanuméricos (com letras maiúsculas e minúsculas e número);
- A senha não poderá conter parte do nome do usuário, por exemplo: se o usuário chama-se Jose da Silva, sua senha não pode conter partes do nome como “1221jose” ou “1212silv”;
- A data de expiração da senha deve ser de no máximo 90 dias, caso não seja alterada, esta será bloqueada;
- O sistema responsável pela gestão das senhas não deverá aceitar a repetição das 3 últimas senhas já utilizadas;
- O uso da autenticação multifator (MFA) é mandatório para o acesso aos sistemas que contenham informações relevantes para a Swap.
- As senhas dos sistemas devem ser armazenadas em local seguro protegido com criptografia e autenticação multifator;
- As senhas são pessoais e intransferíveis, portanto, não devem ser compartilhadas com terceiros externos ou colegas de trabalho.
Administradores de sistemas
- As senhas de acesso para funções administrativas deverão respeitar os critérios mínimos abaixo:
- Toda senha deve ser constituída de, no mínimo, 12 caracteres sendo obrigatório o uso de caracteres alfanuméricos (com letras maiúsculas, minúsculas e números) e caracteres especiais;
- A senha não poderá conter parte do nome do usuário, por exemplo: se o usuário chama-se Jose da Silva, sua senha não pode conter partes do nome como “12$@joseSI” ou “12$@JOsilv”;
- O uso da autenticação multifator (MFA) é mandatório para o acesso aos sistemas administrativos de tecnologia;
- As senhas dos sistemas devem ser armazenadas em local seguro protegido com criptografia e autenticação multifator;
- As senhas são pessoais e intransferíveis, portanto, não devem ser compartilhadas com terceiros externos ou colegas de trabalho.
Correio eletrônico (e-mail) e outras comunicações comerciais eletrônicas
A política do Swap Câmbio estabelece que e-mail, mensagens instantâneas e outras comunicações eletrônicas são tratadas como comunicações por escrito e que tais comunicações devem sempre ser de natureza profissional.
É importante salientar que as comunicações comerciais eletrônicas e quaisquer comunicações eletrônicas, inclusive comunicações pessoais, feitas em sistemas da Swap Cambio e Capitais (por ex.: e-mail do Outlook , Mensagem instantânea, entre outros), são de propriedade da Swap Cambio e Capitais. Essas comunicações podem ser revisadas, buscadas ou apresentadas em litígios, investigações regulatórias ou iniciativas internas. Por conseguinte, os colaboradores não devem ter nenhuma expectativa de privacidade nessas comunicações e devem fazer comunicações pessoais o mínimo possível.
Ações proibidas quanto a utilização do e-mail corporativo
- enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
- enviar mensagens por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
- enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a Swap ou suas unidades vulneráveis a ações civis ou criminais;
- divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
- falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
- apagar mensagens pertinentes de correio eletrônico visando eliminar evidência de possíveis erros;
- Reproduzir, transmitir ou divulgar mensagem que contenha;
- qualquer ato ou forneça orientação que conflite ou contrarie os interesses da Swap;
- contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
- vise obter acesso não autorizado a outro computador, servidor ou rede;
- vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
- vise burlar qualquer sistema de segurança;
- vise vigiar secretamente ou assediar outro usuário;
- vise acessar informações confidenciais sem explícita autorização do proprietário;
- vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
- tenha conteúdo considerado impróprio, obsceno ou ilegal;
- seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
- contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou outras situações protegidas;
- tenha fins políticos locais ou do país (propaganda política);
- inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
Assinatura do E-mail
As mensagens de correio eletrônico sempre deverão incluir a assinatura do colaborador, contendo as informações abaixo:
- Nome do colaborador
- Nome da empresa
- Telefone de contato
- Correio eletrônico
- Logo da companhia
Arquivamento e Auditoria de E-mails
Por efeito de auditoria e cumprimento legal, todos os e-mails, enviados e recebidos pelo domínio @swapcambio.com deverão ser arquivados pelo tempo determinado pelo órgão regulador vigente.
Uso da Internet
Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a Swap, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança Cibernética e da Informação.
Os colaboradores não poderão em hipótese alguma utilizar os recursos da Swap para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
Os colaboradores não poderão utilizar os recursos da Swap para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.
Computadores e Recursos Tecnológicos
Os equipamentos disponíveis aos colaboradores são de propriedade da Swap, cabendo a cada um utilizá-los e manuseálos corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.
Ações proibidas quanto ao manuseio dos equipamentos
- É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da Área de TI da Swap.
- É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico TI da Swap ou por terceiros devidamente contratados para o serviço.
- Arquivos pessoais e/ou não pertinentes ao negócio da Swap (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário.
- Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
Procedimentos e Regras Aplicáveis às Informações de Clientes
O Swap tem o compromisso firme de proteger a privacidade das informações pessoais não divulgadas ao público dos seus clientes. Informações de Clientes podem ser fornecidas a terceiros apenas nas circunstâncias descritas a seguir, salvo outras restrições impostas por regulamentos e leis locais:
- Por solicitação ou com consentimento do cliente;
- Aos bancos parceiros autorizados pelo cliente
- A reguladores e outros, conforme exigido ou permitido por lei.
Em algumas circunstâncias, as informações de clientes podem ser revisadas pelos prestadores de serviços externos (por ex.: contadores, advogados, consultores, bancos parceiros, etc.). Esses prestadores de serviços devem manter a confidencialidade das informações de clientes.
É vedado aos Colaboradores, durante a vigência do contrato de trabalho ou após o desligamento do Swap Cambio e Capitais, divulgar as informações de clientes a qualquer pessoa ou entidade fora do Swap Cambio e Capitais, inclusive familiares, exceto nas circunstâncias descritas acima.
A regra de confidencialidade aplica-se às informações em todos e quaisquer formatos, sejam elas obtidas de uma conversa, documentos escritos ou por outro meio. A conscientização sobre segurança da informação implica também que nenhuma informação da Swap deverá ser deixada em local não seguro.
Os colaboradores são instruídos a tomar todas as medidas necessárias para proteger e preservar os documentos ou qualquer objeto de valor que esteja em seu poder contra o uso indevido, questionamento impróprio ou exposição indesejada.
Salvaguarda e Disponibilização de Informações de Clientes
A Swap restringe o acesso às informações de clientes aos colaboradores que precisam das informações para fornecer serviços a nossos clientes.
Qualquer colaborador com acesso autorizado às informações de Clientes deve guardar tais informações em compartimentos ou receptáculos seguros no encerramento do expediente, todos os dias. Todos os arquivos de computador ou eletrônicos que contenham tais informações devem estar protegidos contra acesso não autorizado. Quaisquer conversas envolvendo informações pessoais não divulgadas ao público, quando apropriado, devem ser conduzidas por colaboradores em particular, e deve-se tomar cuidado para evitar que essas conversas sejam ouvidas por acaso ou interceptadas por pessoas autorizadas.
Qualquer Colaborador autorizado a ter a posse de “informações de relatórios de consumidores” para um propósito de negócio deve tomar medidas razoáveis para proteger-se contra o acesso não autorizado ou o uso das informações em relação à sua disponibilização.
Conscientização e treinamento
Conscientização e treinamentoA Swap Cambio possui uma cultura de conscientização sobre a segurança das informações, buscando assegurar que todos os colaboradores estejam cientes de suas responsabilidades em relação à segurança da informação no contexto de seus cargos. Treinamentos e orientações adequados devem ser anualmente disponibilizados aos colaboradores.
Monitoramento
Os tópicos a seguir descrevem as rotinas de monitoramento periódicas destinadas a manter e, conforme necessário, reforçar as políticas e procedimentos de cybersecurity e segurança da informação.
Monitoramento Contínuo e Revisão Anual da Política
A Política é monitorada pela Área de Segurança de Informações de forma contínua para assegurar seu correto funcionamento com vistas à proteção das informações relevantes, incluindo a prevenção a acessos não autorizados ou uso não autorizado de Informações Relevantes, além da identificação da necessidade de medidas para reforçar a eficácia ou contundência da política, conforme necessário. Adicionalmente, a área de Segurança de Informações, em consulta ao board da companhia, revisará o escopo da política pelo uma vez ao ano, ou com maior frequência, se necessário, em razão de mudanças significativas ao modelo de negócios ou alterações regulatórias.
Reportes de Violação ou Vulnerabilidades à Segurança
Se algum colaborador souber ou suspeitar de uma fragilidade à segurança da informação, acessos não autorizados ou uso não autorizado de informações Relevantes, ou qualquer violação a esta política, tal colaborador deverá reportar diretamente a Área de Segurança da Informação ([email protected]) ou diretamente ao gestor da área.
Medidas Disciplinares
O não cumprimento das políticas e procedimentos aqui previstos pode resultar em medidas disciplinares, as quais podem incluir demissão e, se aplicável, comunicação às autoridades regulatórias competentes. Qualquer uma das pessoas supervisionadas também pode responder pessoalmente por qualquer ato ilegal ou ilegítimo cometido durante o período em que for colaborador da Swap. Essa responsabilidade pode sujeitar a pessoa supervisionada às penalidades civis, criminais ou regulatórias. O monitoramento das políticas e procedimentos aqui estabelecidos e a aplicação das sanções aplicáveis em caso de violação de tais políticas e procedimentos serão realizados primariamente pelo board da companhia.
Revisão da Política
A presente política será revisada pela área de Segurança da Informação em conjunto com o board da Swap, no mínimo, a cada 24 (vinte e quatro) meses, ou a qualquer momento, sempre que se observarem mudanças relevantes nas normas, regras, formato das atividades ou em qualquer outro aspecto intrínseco ao dia-a-dia da Swap, nos termos da regulamentação aplicável.