Cybersecurity Policy

1. OBJETIVO

O objetivo desta política é estabelecer as diretrizes necessárias para assegurar a confidencialidade, a integridade e a disponibilidade dos dados e sistemas de informação utilizados pelo Sefira Digital Ltda. "(Sefira)".

 

2. PÚBLICO ALVO

As disposições desta política aplicam-se: (i) a todas as instituições pertencentes a Sefira, bem como aos respectivos funcionários, estagiários e aprendizes, doravante denominados “colaboradores”; (ii) às entidades e aos órgãos que possuam acesso às informações do Sefira; e (iii) aos prestadores de serviços, pessoas físicas ou jurídicas, que manuseiam dados ou informações sensíveis à condução das atividades operacionais da organização.

 

3. PRINCÍPIOS DE SEGURANÇA CIBERNÉTICA

O processo de Segurança Cibernética do Sefira, cujo objetivo é proteger as informações do negócio e clientes, é pautado pelos princípios fundamentais de:

• Confidencialidade: quando o acesso à informação deve ser disponibilizado apenas para as entidades ou pessoas devidamente autorizadas pelo proprietário ou dono da informação;

• Integridade: fato de manter a informação armazenada e trafegada com todas as suas características originais ao longo do seu ciclo de vida estabelecidas pelo proprietário ou dono da informação;

• Disponibilidade: garantir que a informação esteja disponível para uso sempre que entidades ou pessoas autorizadas necessitem;

 

4. DIRETRIZES

As diretrizes estabelecem um programa de prevenção, detecção e redução de vulnerabilidades e impactos relacionados aos incidentes cibernéticos.

 

4.1 INFORMAÇÃO: IMPORTÂNCIA E PROTEÇÃO

Classificação da informação e Governança
A informação é um importante ativo do Sefira e deve ser preservada e salvaguardada, em conformidade com suas políticas, normas, procedimentos e controles, bem como, com as leis e regulamentos sobre o tema.

Proteção de Dados e Privacidade
A Sefira tem o compromisso de promover a aderência às leis de privacidade de dados e de proteção financeira de seus clientes, sendo este compromisso transmitido aos seus colaboradores, contratados e prestadores de serviço.

 

4.2 GESTÃO DE IDENTIDADES E DE ACESSOS

A gestão e revisão das identidades e dos acessos aos recursos computacionais do Sefira são realizados em conformidade com os requisitos descritos em Norma específica, garantindo a definição de recursos, mínimos privilégios, operações que podem ser executadas, componentes autorizados e devida rastreabilidade de acessos realizados.

 

4.3 CONTROLES DOS DISPOSITIVOS DE TECNOLOGIA

Os recursos de tecnologia disponibilizados pela Sefira para uso dos funcionários são protegidos por controles contra ataques cibernéticos, infecções e prevenção ao vazamento de dados.

 

4.4 DESENVOLVIMENTO DE SISTEMAS E GARANTIA DE QUALIDADE

A avaliação dos aspectos de segurança deve ser parte integrante no desenvolvimento de sistemas relevantes. Controles de segurança devem ser estabelecidos ao longo de toda a vida útil desses sistemas para assegurar que as informações processadas estejam protegidas, de acordo com sua classificação e exposição a risco.

 

4.5 SEGURANÇA E MONITORAMENTO DA INFRAESTRUTURA, REDES E SISTEMAS

As redes e sistemas corporativos relevantes devem ser administrados, monitorados e protegidos em consonância com as exigências e requisitos de Segurança da Informação do Sefira. Devem também ser protegidos contra acessos não autorizados por meio de tecnologias de rede devidamente atualizadas, revisadas e testadas periodicamente de forma independente.

 

4.6 REGISTRO E RESPOSTAS DE INCIDENTES DE SEGURANÇA

Os incidentes de segurança cibernética relevantes são registrados, bem como deve ser realizada a análise das suas causas e dos impactos deles decorrentes. No caso da ocorrência de incidentes relevantes, serão realizadas as avaliações de adequabilidade dos controles existentes e de necessidade de criação de novos controles e, também, a contenção dos efeitos do incidente para as atividades da Sefira.

 

4.7 CONTINUIDADE DO NEGÓCIO E RECUPERAÇÃO DE INCIDENTES

O planejamento de continuidade do negócio é administrado de acordo com os requisitos estabelecidos na Política de Continuidade de Negócios e do Plano de Continuidade de Negócio para Segurança Cibernética que contempla cenários de incidentes relevantes a serem considerados nos testes de continuidade de negócios.

 

4.8 GESTÃO DOS PRESTADORES DE SERVIÇOS RELEVANTES

Devem ser estabelecidos e continuamente aprimorados os controles de segurança cibernética destinados a assegurar que as informações tratadas pelos seus fornecedores estejam devidamente protegidas.

 

4.9 AVALIAÇÃO DE RISCOS CIBERNÉTICOS DE PRODUTOS OU SERVIÇOS

Os riscos de segurança cibernética devem ser avaliados e administrados de acordo com os requisitos definidos em Norma específica e nos controles de proteção. Após o registro e análise devem ser executadas as respostas proporcionais aos riscos identificados.

 

4.10 BACKUP DE DADOS

A Sefira deve zelar pelo processo de salvaguarda dos dados necessários para completa recuperação dos seus sistemas relevantes, a fim de atender aos requisitos operacionais e legais, assegurar a continuidade do negócio em caso de falhas ou incidentes, além de auxiliar em sua ágil recuperação.

 

4.11 CONSCIENTIZAÇÃO DE COLABORADORES, CLIENTES E FORNECEDORES

A Sefira mantém um plano anual de conscientização direcionado ao desenvolvimento e manutenção das habilidades dos funcionários em relação à segurança cibernética.

 

5. VIOLAÇÕES DE SEGURANÇA

As violações das regras definidas nesta Política poderão ensejar a aplicação de medidas disciplinares, conforme determinam as normas de conduta do Código de Ética do Sefira.

 

6. CANAL DE COMUNICAÇÃO

No caso de alertas de segurança e/ou incidentes, as notificações devem ser enviadas para o canal comunicação a seguir: sac@gruposefira.com