Política de Segurança Cibernética

Disclaimer

Devido ao caráter estratégico e confidencial das informações contidas na versão integral da Política de Segurança Cibernética da CSILatina Arrendamento Mercantil S.A, este documento consiste em uma versão simplificada do referido documento, tendo como finalidade demonstrar, apenas em linhas gerais, os controles utilizados pela CSILatina para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, em atendimento à Resolução 4.568 de 26 de Abril de 2018 do Banco Central do Brasil.

A Alta Diretoria da Instituição está comprometida com a presente Política, assim como com a melhoria contínua dos processos e controles de segurança cibernética.

1. OBJETIVOS

A presente Política de Segurança Cibernética (“Política”) tem como objetivo estabelecer princípios, responsabilidades e diretrizes que permitam aos Colaboradores da CSILatina Arrendamento Mercantil S.A (“CSI”) conhecerem os padrões de comportamento desejáveis e aceitáveis de acordo com regras de negócio, leis e regulamentação em vigor, a fim de mitigar riscos cibernéticos, que possam acarretar em eventuais perdas financeiras, de participação de mercado, de confiança de clientes e parceiros ou de qualquer outro impacto negativo no negócio da CSI resultante de uma falha de segurança no ambiente cibernético.

2. ABRANGÊNCIA

Esta Política se aplica aos funcionários, prestadores de serviços, temporários, estagiários, incluindo toda a mão-de-obra terceirizada (“Colaboradores”), agentes e consultores, incluindo mas não limitando-se a advogados, auditores e consultores financeiros, abrangendo ainda todos os sistemas, informações e Equipamentos de propriedade da CSI e das empresas do grupo, bem como aqueles de propriedade de terceiros que lhe sejam confiados a qualquer título.

3. DIRETRIZES

Toda informação de propriedade da CSI deve ser devidamente protegida de ameaças que gerem riscos que possam comprometer a Segurança da Informação e ou os recursos tecnológicos da Instituição. Para tanto, as diretrizes orientam o uso aceitável dos ativos de informação, baseada nos princípios da Confidencialidade, Integridade e Disponibilidade, abaixo descritos:

Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas ou entidades autorizadas;
Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas sejam elas acidentam ou propositais;
Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.

Para tanto, a Instituição desenvolveu controles e definiu medidas preventivas, detectivas, de rastreabilidade e corretivas que visam mitigar potenciais incidentes relacionados ao ambiente cibernético e a redução de vulnerabilidades. Entre os principais controles estão:

  • Classificação das informações conforme o nível de confidencialidade;
  • Definição de regras de controle conforme o ciclo de vida dos dados de propriedade da
    instituição;
  • Criptografia;
  • Autenticação;
  • Prevenção e detecção de invasão;
  • Prevenção de vazamento de informações;
  • Proteção contra softwares maliciosos;
  • Revisão periódica de acessos;
  • Mecanismos de rastreabilidade da informação;
  • Controle de acesso e de segmentação da rede;
  • Testes de detecção de vulnerabilidade;
  • Procedimentos de backup dos dados e informações;
  • Resposta a incidentes;
  • Treinamento periódico para usuários dos dados e sistemas da Instituição.

4. RESPONSABILIDADES

É responsabilidade de todo colaborador, seja ele funcionário, estagiário, prestador de serviços, parceiro ou visitante, observar e seguir as políticas, padrões, procedimentos e orientações estabelecidas para o cumprimento da presente Política de Segurança Cibernética, sendo imprescindível a efetiva compreensão do seu papel na segurança da informação em suas atividades diárias.

A gestão de riscos cibernéticos é uma responsabilidade da área de Segurança da Informação, TI. Devendo identificar os requisitos de segurança relacionado às necessidades da instituição. A gestão de riscos cibernéticos é contínua e define contextos internos e externos para avaliação, além de tratar dos riscos identificados de modo que sejam reduzidos à níveis aceitáveis, conforme porte, perfil de risco e modelo de negócio da CSI, levando em consideração a natureza de suas operações, complexidade de produtos, serviços e atividades.

5. GESTÃO DAS INFORMAÇÕES SENSÍVEIS

As informações sensíveis serão geridas conforme regras que objetivam garantir a manutenção do nível adequado de segurança conforme sua classificação de confidencialidade, de forma a controlar os riscos associados a disseminação indiscriminada de tais informações. As regras serão organizadas e definidas de acordo com o ciclo de vida da informação, a saber:
– Criação;
– Armazenamento;
– Transmissão;
– Destruição.

6. VIOLAÇÃO DA POLÍTICA, NORMAS E PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO

As violações de segurança devem ser informadas à área Compliance e ou à Diretoria Estatutária.

Toda violação ou desvio será investigado para a determinação das medidas necessárias, visando à correção da falha ou reestruturação de processos.

Exemplos de violação:
– Uso ilegal de software;
– Introdução (intencional ou não) de vírus de informática;
– Tentativas de acesso não autorizado a dados e sistemas;
– Compartilhamento, não autorizado, de informações sensíveis do negócio;
– Divulgação de informações de clientes e das operações contratadas;

Os princípios de segurança estabelecidos na presente política possuem total anuência da alta administração da CSI Leasing e devem ser observados por todos na execução de suas funções. A não conformidade com as diretrizes desta política e a violação de normas derivadas da mesma sujeita os colaboradores às penas de responsabilidade civil e criminal na máxima extensão que a lei permitir e a rescisão de contratos.
Em caso de dúvidas quantos aos princípios e responsabilidades descritas nesta norma, o colaborador deve entrar em contato com a área de Compliance ou TI CSI Leasing.

7. PROCEDIMENTOS PARA REDUÇÃO DE VULNERABILIDADE A INCIDENTES CIBERNÉTICOS

Os procedimentos para redução de vulnerabilidade a incidentes cibernéticos consistem em um conjunto de controles preventivos com o objetivo de evitar a concretização de possíveis ameaças, sendo os eles:

  • Gerenciamento de senhas através da definição de parâmetros para a criação e periodicidade de troca;
    Rastreabilidade das alterações em contas de usuários;
  • Utilização de aplicação CASB;
  • Autenticação de 2 fatores para conexões fora do ambiente físico da Instituição;
  • Treinamentos periódicos de prevenção ao phishing;
  • Segmentação de redes;
  • Atualização regular de patches críticos de segurança;
  • Sistemas antivírus com atualizações diárias;
  • Monitoramento das ferramentas de antivírus e dos alertas gerados.

8. POLÍTICA DE BACKUPS

Visa proteger os ativos de informação da CSI Leasing, evitando a perda de dados em caso de exclusão acidental, dados corrompidos, falha do sistema ou desastre, permitindo a restauração oportuna de informações e processos críticos do negócio no caso de ocorrência de algum dos eventos acima descritos.
As diretrizes se aplicam para todos os servidores da CSI Leasing. Os períodos de retenção de informações contidas nos backups são projetados para recuperação e fornecem a restauração dos dados que existiam durante o período selecionado para restauração.
Os períodos de retenção de backup são iguais ou maiores do que os períodos de retenção definidos por requisitos legais ou comerciais.

9. CONTINUIDADE DE NEGÓCIOS

No processo de gestão de continuidade de negócios objetiva garantir que a CSILatina se mantenha operacional em situações de ameaças cibernética, assegurando a confidencialidade, disponibilidade e integridade da informação. Para tanto, a instituição adota controles como realização de backups e cenários de incidentes a serem utilizados nos testes de continuidade de negócios para validação da integridade e disponibilidade das informações.

10. PLANO DE RESPOSTA DE INCIDENTES

A CSI implementou um plano de resposta a incidentes, que constitui o conjunto de tarefas a serem executadas por cada departamento, a partir dos seguintes incidentes:
– Violação/vazamento de informações pessoais
– Inacessibilidade aos servidores de produção
– Verificações excessivas de portas visando derrubar/diminuir velocidade da rede.
– Violação do firewall
– Surto de vírus
– Ransomware – Vírus de criptografia sequestro de dados.
Detalhes e procedimentos sobre este plano se encontram em documento específico.

11. CONTRATAÇÃO DE SERVIÇOS EM NUVEM

A contratação de qualquer sistema, aplicação, solução ou serviço de armazenamento que esteja sendo avaliada por algum departamento, que tenha como sua base o armazenamento de
informações em nuvem, deverá ser encaminhado para validação e avaliação do departamento de TI quanto à relevância deste serviço para definição da necessidade de comunicação ao órgão
regulador, de acordo com o Art.15 da Resolução 4.658/2018 do Banco Central do Brasil. Após avaliação da área de TI a efetiva comunicação ao regulador será realizada pela área de
Gestão de Riscos.

12. REFERÊNCIAS REGULATÓRIAS

A presente Política deve ser interpretada em conjunto com as principais Leis e normativos abaixo indicado:

  • Resolução 4.568 de 26 de Abril de 2018 do Banco Central do Brasil
  • Lei Geral de Proteção de Dados Pessoais, Lei n. 13.709/2018

13. PERIODOCIDADE DE REVISÃO

A presente Política deverá ser revisada com periodicidade mínima anual ou sempre que houver alguma alteração nas diretrizes e/ou na regulamentação.