Esta Política de Segurança da Informação e Segurança Cibernética (“Política”) tem o objetivo de estabelecer diretrizes que permitem à BrFideliza preservar e proteger as informações de seus clientes, funcionários, prestadores de serviços, partes interessadas e da própria BrFideliza contra ameaças e riscos relacionados à segurança da informação e cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade da BrFideliza a incidentes, e também dispõe sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
A BrFideliza deve implementar e manter esta Política formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados. Esta Política será compatível com:
A Política se aplica a todos os administradores, diretores e conselheiros (coletivamente “Alta Administração”), funcionários e prestadores de serviço da BrFideliza (coletivamente, inclusive a Alta Administração, denominados simplesmente por “Colaboradores”).
Circular nº 3.909, de 16 de agosto de 2018, do Banco Central do Brasil.
Esta Política foi aprovada e revisada pela Alta Administração e será revisada periodicamente. A Política também será alterada para contemplar quaisquer alterações regulatórias e outras obrigações legais.
Ativos: todas as formas de criação, processamento, armazenamento, transmissão e exclusão de informações. Os Ativos podem ser documentos impressos, sistemas, softwares, banco de dados, arquivos digitais, dispositivos móveis etc.
Bacen: Banco Central do Brasil.
Instituição de Pagamento: para fins desta Política, é o emissor de moeda eletrônica, cuja atividade consiste em gerenciar a conta de pagamento de usuários, utilizada para o pagamento de transações pré-pagas e pós-paga.
Log: registro de eventos de um sistema.
Segurança da Informação: conjunto de conceitos, mecanismos e estratégias que visam a proteger os Ativos da BrFideliza.
Segurança Cibernética: conjunto de tecnologias e processos desenvolvidos para proteger os sistemas internos, computadores, redes e dados da BrFideliza contra ataques, danos, ameaças ou acesso não autorizado.
A BrFideliza tem o compromisso garantir a segurança e tratamento adequado das informações. Para tanto, nossas atividades se baseiam nos seguintes princípios:
Com o objetivo de garantir os objetivos desta Política, os procedimentos de Segurança da Informação e Segurança Cibernética seguirão as seguintes diretrizes:
Neste contexto, assegurar que as informações de cunho pessoal estejam protegidas de maneira a garantir que a BrFideliza atenda todos os requisitos da Lei Geral de Proteção de Dados.
A fim de assegurar que todas as diretrizes acima sejam cumpridas e que os princípios de Segurança da Informação e de Segurança Cibernética sejam devidamente seguidos, a BrFideliza adotará políticas e procedimentos para os processos elencados a seguir.
Os Ativos devem ser inventariados e protegidos de acessos indevidos ou ameaças que possam comprometer o negócio. Para tanto, o acesso às salas com documentos físicos deve ser limitado, por meio de mecanismos de autenticação e autorização de acesso, destinados a impedir o acesso de indivíduos não autorizados.
Os Ativos devem ser utilizados tão somente para a finalidade devidamente autorizada. A BrFideliza deve assegurar proteção aos Ativos durante todo o seu ciclo de vida, a fim de garantir que os princípios da confidencialidade, integridade e disponibilidade sejam cumpridos integralmente.
A BrFideliza adotará mecanismos para garantir que o acesso às informações e ambientes tecnológicos seja permitido apenas aos indivíduos autorizados, levando em consideração o princípio do menor privilégio, a segregação de funções e a classificação da informação.
Os Ativos devem ser utilizados tão somente para a finalidade devidamente autorizada. A BrFideliza deve assegurar proteção aos Ativos durante todo o seu ciclo de vida, a fim de garantir que os princípios da confidencialidade, integridade e disponibilidade sejam cumpridos integralmente.
As informações devem ser classificadas segundo sua criticidade e sensibilidade para o negócio e seus clientes. Portanto, a BrFideliza deve adotar a seguinte classificação:
A BrFideliza adotará controles de acesso em toda infraestrutura para evitar que indivíduos não autorizados tenham acesso aos ambientes segregados e aos sistemas internos. Desta forma, a BrFideliza deve implementar mecanismos para a autenticação de usuários, manutenção de segregação de funções e rastreabilidade de acesso, de forma a garantir procedimentos internos adequados e consistentes.
A BrFideliza possui processo para análise de vulnerabilidades, ameaças e impactos sobre os Ativos de informação para, diante de um incidente, adotar as medidas adequadas para minimizar os danos causados.
A BrFideliza realizará a devida diligência de verificação de todos os seus prestadores de serviços, fornecedores, provedores e parceiros com relação a controles de Segurança da Informação e Segurança Cibernética, em especial aqueles que processam e armazenam dados da BrFideliza, com a finalidade de verificar o nível de maturidade dos padrões de segurança e o plano de tratamento de incidentes adotados.
A BrFideliza disponibiliza o canal oficial seguranca@brfideliza.com para que seus prestadores de serviços, fornecedores, provedores e parceiros comuniquem incidentes de Segurança da Informação e Segurança Cibernética que estejam relacionados às informações da BrFideliza.
A BrFideliza implementará sistema para controle de acesso dos Colaboradores, prestadores de serviços, fornecedores, provedores e parceiros aos locais restritos. Os equipamentos e instalações de processamento de informação crítica ou sensível deverão ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.
A BrFideliza adotará uma rotina de backup e restauração de dados para assegurar a disponibilidade das informações relevante atividades. s para o pleno funcionamento de suas atividades.
A BrFideliza também realizará gravação de logs de dados que permitam a rastreabilidade do acesso e a identificação do criador, data, meios de acessos e informações acessadas. As informações dos logs devem ser e acessos não autorizados.
A BrFideliza adotará mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a BrFideliza a vulnerabilidades.
A BrFideliza adotará mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a BrFideliza a vulnerabilidades.
Os Ativos de informação da BrFideliza serão protegidos com criptografia adequada, a fim de se garantir confidencialidade e integridade em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores.
A BrFideliza realiza plano de continuidade dos serviços prestados a partir da adoção de um conjunto preventivo de estratégias e planos de ação para garantir que os serviços essenciais da BrFideliza sejam devidamente identificados e preservados após a ocorrência de uma contingência.
17.1 Classificação de relevância dos incidentes
A BrFideliza classificará os incidentes de segurança segundo sua relevância e conforme a classificação das informações envolvidas e o impacto na continuidade dos negócios da BrFideliza.
17.2 Gestão de incidentes
Convém que a organização tenha procedimentos implementados para garantir uma reação ordenada e eficaz aos eventos e pontos fracos de segurança da informação relatados. Os procedimentos devem garantir que todos os eventos relatados sejam revisados e investigados quando apropriado, que os procedimentos de recuperação sejam acionados e que as funções de senioridade adequada estejam envolvidas nas revisões.
Todos os incidentes ou suspeita de incidentes identificados por um Colaborador, cliente, prestador de serviços, fornecedor, provedor ou parceiro serão imediatamente comunicados à área responsável.
A comunicação deverá ser feita por meio do canal oficial de Segurança da Informação na BrFideliza, através do e-mail seguranca@brfideliza.com
Os incidentes reportados serão classificados segundo o risco que representam para a BrFideliza e o impacto na continuidade dos negócios da BrFideliza. Além disso, serão devidamente registrados, tratados e comunicados, de acordo com os procedimentos da área de Segurança da Informação e a legislação vigente.
A BrFideliza adotará procedimentos para mitigar os efeitos dos incidentes relevantes e minimizar a interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados.
Caso haja incidentes relevantes ou interrupção dos serviços relevantes, a BrFideliza comunicará o Bacen e adotará medidas necessárias para que as suas atividades sejam reiniciadas.
17.3 Plano de compartilhamento de incidentes
Sem prejuízo do dever de sigilo e da livre concorrência, a BrFideliza adotará iniciativas para o compartilhamento de informações sobre incidentes relevantes com outras Instituições de Pagamento por meio dos canais adotados pelas instituições.
As informações compartilhadas também estarão disponíveis ao Bacen.
17.4 Plano de ação e resposta a incidentes
A BrFideliza estabelecerá plano de ação e de resposta a incidentes visando à implementação desta Política, que abrange, minimamente:
As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes.
17.5 Relatório anual de incidentes
A BrFideliza elaborará relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. O relatório abordará:
Os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.
O relatório anual de incidentes será apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria da BrFideliza até 31 de março do ano seguinte ao da data-base.
A BrFideliza adotará controles específicos para promover a rastreabilidade da informação, principalmente que busquem garantir a segurança das informações sensíveis.
A BrFideliza realizará registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da BrFideliza, que devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.
A BrFideliza preza por uma cultura de Segurança da Informação e Segurança Cibernética. Dessa forma, serão adotados políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, garantindo-se a capacitação e conscientização para todos os seus Colaboradores.
A BrFideliza promoverá a ampla divulgação desta Política a todos os seus Colaboradores e o público em geral, bem como às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, incluindo a prestação de informações aos usuários finais sobre medidas de precaução para a utilização dos produtos e serviços oferecidos.
Além disto, a Alta Administração da BrFideliza deverá difundir a cultura de Segurança da Informação e Segurança Cibernética para promover melhorias contínuas em seus processos internos, a fim de evitar quaisquer incidentes relacionado à Segurança da Informação e Segurança Cibernética.
21.1 Seleção de terceiros
O processamento e armazenamento de dados e computação em nuvem será realizado por meio de terceiros localizados no Brasil ou no exterior. A contratação de terceiros deve ser realizada por meio da aferição da capacidade do prestador de serviço para realizar as atividades em cumprimento com a legislação e regulamentação aplicável. Desta forma, a BrFideliza adotará procedimentos para verificação da capacidade do potencial prestador de serviço de forma a assegurar:
Na avaliação da relevância do serviço a ser contratado, a BrFideliza também deverá considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado. Todos os procedimentos deverão ser documentados.
Ademais, a BrFideliza adotará recursos e medidas necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso dos recursos providos pelo potencial prestador de serviços.
21.2 Execução de aplicativos pela internet
No caso da execução de aplicativos por meio da internet, a BrFideliza deverá assegurar que o potencial prestador dos serviços adote controles para a proteção contra os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.
21.3 Serviços de computação em nuvem
Os serviços de computação em nuvem disponibilizados à BrFideliza, sob demanda e de maneira virtual, deverão incluir um ou mais serviços conforme descritos abaixo:
Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.
A BrFideliza é responsável, em conjunto com o prestador de serviços, pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem será comunicada pela BrFideliza ao Bacen, nos termos da legislação em vigor.
21.4 Contratação de serviços de computação em nuvem no exterior
Em caso de contratação de serviços de processamento, armazenamento de dados e de computação em nuvem no exterior, a BrFideliza observará os seguintes requisitos:
Caso não haja convênio para troca de informações entre o Bacen e as autoridades supervisoras dos países em que os serviços serão prestados, a BrFideliza solicitará autorização do Bacen para a contratação do serviço. O prazo para solicitar autorização é de 60 dias anteriores à contratação. Caso haja alterações contratuais que impliquem em modificação das informações, a BrFideliza solicitará autorização 60 dias antes da alteração contratual.
A BrFideliza tem a responsabilidade de assegurar que a legislação e a regulamentação nos países em que os serviços serão prestados não restrinjam ou impeçam o acesso da BrFideliza e do Bacen aos dados e às informações. A comprovação do atendimento aos requisitos e o cumprimento desta exigência deverão ser documentados.
21.5 Contrato de prestação de serviços
A BrFideliza deverá assegurar que os contratos de prestação de serviços de processamento, armazenamento de dados e computação em nuvem prevejam:
Em caso de decretação de regime de resolução da BrFideliza pelo Bacen, o contrato de prestação de serviços deve prever:
A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços. A notificação deverá ocorrer com 30 dias de antecedência da data prevista para a interrupção dos serviços prestados e deverá determinar que:
21.6 Comunicação ao bacen
A comunicação ao Bacen deve conter as seguintes informações:
O prazo para comunicação será de 10 dias, contados a partir da contratação dos serviços. Caso haja alterações contratuais que impliquem em modificação das informações, a comunicação ao Bacen deverá ocorrer em 10 dias contados da alteração contratual, salvo na hipótese prevista no item 18 “d”.
No tocante à continuidade dos serviços de pagamento prestados, a BrFideliza tem a responsabilidade de assegurar:
A BrFideliza deverá instituir mecanismos de acompanhamento e de controle visando a assegurar a implementação e a efetividade desta Política, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Os mecanismos de acompanhamento e controle deverão incluir a definição de processos, testes e trilhas de auditoria, bem como a definição de métricas e indicadores adequados e a identificação e a correção de eventuais deficiências.
A BrFideliza armazenará, pelo prazo de 5 anos, as seguintes informações:
Os Colaboradores e prestadores de serviço da BrFideliza deverão aderir formalmente a um termo em que se comprometem a agir de acordo com esta Política. Ademais, todos os contratos da BrFideliza deverão possuir cláusula que assegure a confidencialidade das informações.
Esta Política está disponível em local acessível a todos Colaboradores, Fornecedores e Usuários, em linguagem clara e acessível.
A BrFideliza é uma plataforma inovadora projetada para ajudar empresas, sejam elas físicas ou online, a gerenciar pagamentos realizados via PIX.