Segurança da Informação e Cibernética

Política de Segurança da Informação interna do Banco Andbank Brasil S.A.

A informação pode adotar múltiplas formas, tanto nos sistemas como fora deles. Ela pode ser criada, armazenada, processada, transmitida, impressa, escrita ou comunicada verbalmente.

 

A segurança da informação consiste em proteger a informação de qualquer ameaça, prejuízo ou risco com o objetivo de preservar sua confidencialidade, integralidade e disponibilidade. Para tal, o controle de acesso tem papel fundamental uma vez que evita a utilização não autorizada e com isso a possibilidade de sua disseminação indevida, sua destruição ou ainda a alteração de forma acidental ou mesmo proposital.

 

Abrangência e Vigência das regras de Segurança da Informação

 

As diretrizes e responsabilidades para a Segurança da Informação descrevem a conduta considerada adequada para o manuseio, controle e proteção das informações contra destruição, modificação, divulgação indevida e acessos não autorizados.

 

Esta política se aplica à todos os colaboradores das empresas do grupo Andbank no Brasil, sejam funcionários, acionistas, associados ou prestadores de serviço.E entra em vigor a partir de sua aprovação, datada de 09/09/2019, devendo ser revisada anualmente.

 

Confidencialidade e Integridade da Informação

 

Todos os colaboradores que têm acesso a informações sensíveis, críticas e privilegiadas, em especial àquelas protegidas pelo sigilo bancário, serão responsáveis por proteger essas informações de acordo com as políticas e normas vigentes. A violação dos procedimentos de segurança poderá acarretar em ações disciplinares podendo, dependendo do caso, resultar em rescisão de contrato de trabalho e indenizações por perdas e danos.

 

É proibido aos colaboradores a execução de cópias, físicas ou eletrônicas, de arquivos ou informações às quais tiverem acesso e sua circulação em ambientes externos ou mesmo à outros colaboradores do grupo nas quais essas informações não deveriam circular em função de sua confidencialidade. Essa proibição não se aplica quando essas cópias se destinam à execução de tarefas de interesse do grupo e devidamente autorizadas.

 

Os colaboradores terão um usuário na rede interna que permitirá o acesso à sua estação de trabalho com conexão à Internet, à sua conta de e-mail e aos sistemas necessários para a execução de suas tarefas diárias. Os perfis de acesso à rede interna e aos sistemas seguirão uma configuração padrão compatível com sua função no Andbank e qualquer desvio à esse padrão deverá ser autorizado por um superior com a validação da área de segurança da informação.

 

Os colaboradores deverão adotar o hábito de bloquear a estação de trabalho sempre que abandonarem sua mesa e encerrar os sistemas corretamente sempre que terminarem de utilizar os mesmos, garantindo que nenhuma outra pessoa utilizará a sua sessão.

 

É proibida a utilização de qualquer dispositivo móvel (cartão de memória, pen-drive, cd’s, celulares etc) para transferência de dados da instituição. Caso seja necessário para a execução de alguma tarefa, esse processo deverá ser devidamente autorizado por um superior do colaborador e executado pela área de tecnologia da informação.

 

Responsabilidade do uso de senhas

 

As senhas são únicas, pessoais e intransferíveis e tornam o portador da senha responsável por todas as ações praticadas com a mesma, inclusive se utilizadas por terceiros. O compartilhamento de senhas com outros colaboradores é expressamente proibido. O colaborador deve ser responsável por manter sua senha confidencial evitando escrevê-la ou registrá-la em papel, ou qualquer outro meio de armazenamento.

 

Estação de trabalho

 

A estação de trabalho é de inteira responsabilidade do colaborador sendo vedado a instalação de qualquer software ou acesso adicional aos sistemas internos. Toda e qualquer instalação de software ou mesmo acesso à outros sistemas deverá ser realizada pelo departamento de Tecnologia da Informação, mediante autorização do gestor do colaborador com validação pela área de Segurança da Informação. Também eventuais alterações nas configurações de segurança da estação seguem o mesmo fluxo de execução, aprovação e validação.

 

As unidades de drives de disquete, CD, DVD, dispositivos USB e outros tipos de acessos e/ou transferência de arquivos, quando existirem nas estações, estarão desativados e, caso seja necessária a realização de cópia de arquivos, o procedimento deverá ser solicitado pelo gestor da área ao departamento de tecnologia da informação.

 

Utilização de internet e correio eletrônico

 

A utilização da internet deve ter como finalidade profissional não sendo permitido o acesso à sites com conteúdo não pertinente às atividades profissionais, por exemplo conteúdo adulto, jogos etc e também páginas de softwares de comunicação, mensagens e correio eletrônico como chat’s, Skype, Gmail entre outros. É proibido o download de arquivos executáveis, programas ou utilitários. O Andbank se reserva ao direito de auditar toda a ação realizada pela internet em cada estação de trabalho.

 

O colaborador terá uma conta de e-mail em seu nome sendo esta, de sua inteira responsabilidade e deverá ser administrada de acordo com a normas éticas e de segurança do Andbank, sendo sua utilização estritamente profissional e, portanto, as informações constantes nela de propriedade do Andbank.

 

Não é permitido enviar ou incentivar outros funcionário o envio de mensagens com linguagem ou imagens obscenas, profanas, discriminatórias ou ofensivas.

 

Utilização de software

 

As estações de trabalho serão providas de softwares adequados à realização das tarefas do colaborador, tais como sistema operacional, redator de texto, confecção de apresentações, planilha eletrônica, leitor de e-mail e navegador de internet. Qualquer software adicional deverá ser autorizado pelo gestor do colaborador, consonante com as políticas internas da organização e instalado apenas pela área de tecnologia da informação, sendo terminantemente proibida qualquer instalação de softwares não autorizados ou por conta própria do colaborador.

 

Concessão e administração de acessos a rede e sistemas

 

Salvo eventuais exceções, ao ingressar no Andbank, o colaborador receberá um cartão de acesso físico, um ID (usuário) para a rede interna, uma conta de e-mail no domínio Andbank, um ponto telefônico e uma estação de trabalho, desktop ou notebook, com os sistemas internos compatíveis necessários para a execução de suas funções, sistemas estes que utilizarão como usuário o mesmo ID da rede interna, salvo alguma limitação eventual com relação à quantidade de caracteres.

 

Adicionalmente à estação de trabalho fornecida, é permitida a utilização de tablets ou assemelhados, fornecidos pela organização ou mesmo pessoais, e disponível sua conexão à rede Wi-Fi interna cujos dados de acesso encontram-se disponíveis no departamento de tecnologia dainformação.

 

A senha inicial para acesso à rede, e-mail e sistemas internos é temporária e deverá ser alterada no
primeiro acesso do usuário. A criação do usuário para a rede, e-mail e sistemas para o colaborador deverá ser solicitada pelo departamento de Recursos Humanos ou pelo próprio gestor do colaborador à área de Tecnologia da Informação que o(s) criará seguindo um padrão pré-determinado pelas áreas de Segurança da Informação, TI e as superintendências de cada área da organização (
Perfis de Acesso Padrão). Qualquer desvio desse padrão deverá ser solicitada pelo gestor da área ou do sistema específico e aprovada pela área de Segurança da Informação.

 

No caso de um colaborador cobrir férias de outro, e para isso, ter um acesso diferenciado de seu perfil inicial, será necessária a solicitação do gestor da área que seguirá o mesmo fluxo para a criação inicial de um perfil, citado anteriormente.

 

Cada sistema interno terá um gestor responsável e este poderá solicitar a criação de um usuário para o colaborador para o seu sistema em questão no entanto o perfil também deverá estar compatível com o padrão pré-definido e, assim como nos outros casos, exceções à este deverão ser aprovadas pela área de Segurança da Informação.

 

Para maior segurança, a conta do usuário da rede ou dos sistemas internos será bloqueada após três (3) tentativas de login incorretos. O desbloqueio do usuário ocorrerá apenas mediante solicitação e justificativa do ocorrido à área de TI. Durante o período de férias do colaborador, seu usuário terá o acesso à rede interna bloqueado salvo se houver autorização do gestor da área para o contrário.

 

1. Acesso Físico

 

O acesso às dependências da empresa é controlado, sendo obrigatório o registro de entrada e saída de todos os colaboradores da organização. Para esta finalidade é utilizado o cartão de acesso físico que também executa o controle de entrada nas áreas / departamentos restritos da instituição. Cada colaborador terá acesso às áreas comuns da organização e também àquelas necessárias para execução de suas atividades.

 

O colaborador pode também realizar a gravação de suas digitais no sistema de controle de acesso e, alternativamente ao cartão físico, somente nos pontos de controle aonde essa tecnologia está disponível, o colaborador pode optar pela utilização de sua digital para liberar seu acesso à área desejada.

 

No caso de perda ou extravio do cartão de acesso, o departamento de Recursos Humanos deverá ser prontamente comunicado para que este realize o seu bloqueio e confecção de novo cartão cujo custo de reposição será cobrado do colaborador.

 

2. Identificação de Usuário

 

  • Rede Interna: O usuário terá o formato NOME.SOBRENOME, que será o mesmo para a caixa de e-mail’s, que utilizará o domínio @andbank-lla.com.br. A estação de trabalho, uma vez logada, dará acesso além da própria estação, à rede interna e ao servidor de correio eletrônico.
  • Sistemas Internos: Por padrão, o usuário (ID) dos sistemas seguirá o mesmo formato usado na rede interna no entanto, por limitação tecnológica com relação ao número de caracteres, alguns sistemas poderão exigir um ID diferente do padrão e, neste caso, o ID será definido entre o colaborador e a área de tecnologia da informação. A senha temporária que será criada para esses sistemas não seguirá nenhum padrão.

 

3. Parâmetro de Senhas

 

A senha deverá ser trocada no acesso inicial do colaborador e sempre que solicitado pelo sistema, ou ainda por vontade do próprio colaborador. Elas devem seguir os seguintes parâmetros:

  • Tamanho mínimo: 6 (seis) caracteres;
  • Tempo máximo de expiração: 90 (noventa) dias;
  • Quantidade máxima de tentativas antes do bloqueio: 5 (cinco)tentativas;
  • Duração do bloqueio: desbloqueio mediante avaliação da área de TI;
  • Histórico Mínimo de senhas utilizadas: 6 (seis) senhas;
  • Complexidade ativada, ou seja, não conter partes significativas do nome ou do login, utilizar ao menos 1 (um) caractere maiúsculo, 1 (um) minúsculo, 1 (um) número e 1 (um) caractere especial.
  • Criptografia ativada

 

4. Rede Interna

 

O colaborador terá acesso à um ou mais diretórios da rede interna conforme sua função e o mapeamento pré-determinado pelos Perfis de Acesso Padrão, inclusive com relação aos tipos de direitos (leitura, gravação etc) sobre estes. Qualquer necessidade adicional deverá ser solicitada pelo gestor do colaborador com aprovação pela área de segurança da informação.

 

5. Correio Eletrônico

 

O provedor do correio eletrônico é externo e em nuvem (“clouding computing”), portanto além do acesso pela estação de trabalho, acesso este já previamente parametrizado pela área de tecnologia da informação. Para os colaboradores com cargos de gerencia e superiores ou casos excepcionais devidamente autorizados pelo gestor da área, pode-se realizar o acesso remoto em outros computadores ou através de gadgets como celulares, tablets etc. Os dados e configurações para o acesso devem ser solicitados ao departamento de tecnologia da informação.

 

A caixa de correio do usuário será o tamanho determinado pelo mapeamento Perfis de Acesso Padrão, podendo ter configuração diferente desde que solicitada pelo gestor do usuário e aprovador pela área de segurança da informação.

 

6. Sistemas Internos

 

As permissões do colaborador nos sistemas internos seguirão o solicitado por seu gestor desde que de acordo com o Perfil de Acesso Padrão. Exceções ao padrão poderão ser acatadas desde que solicitadas pelo gestor do colaborador e validação pela área de segurança da informação.

 

7. Acesso à Internet

 

As estações de trabalho terão conexão à internet de forma que o colaborador possa exercer suas atividades e a mesma deve ser usada com responsabilidade e profissionalismo. As áreas de segurança e tecnologia da informação realizarão o monitoramento dos sites acessados e poderão bloquear o acesso àqueles considerados não compatíveis com as atividades profissionais, como os de conteúdo adulto, jogos, com malwares e outras ameaças etc.

 

8. Sistema Telefônico

Os ramais telefônicos devem ser usados, prioritariamente, para atividades profissionais não sendo vetado, no entanto, sua utilização para assuntos pessoais ressalvado o fato de que esta utilização poderá ser monitorada pelas áreas de tecnologia e segurança da informação.

 

9. Impressoras

 

A utilização das impressoras da organização é livre a todos os usuários e deve ser utilizada, prioritariamente, para atividades profissionais sendo recomendado o bom senso quanto a intensidade do uso que também poderá ser monitorado pelas áreas de tecnologia e segurança da informação.

 

10.GRAVAÇÃO DE VOZ

 

O Andbank se reserva no direito de gravar qualquer ligação telefônica dos seus colaboradores, realizada ou recebida por meio das linhas telefônicas disponibilizadas pela organização para a atividade profissional de cada colaborador, especialmente, mas não se limitando, às ligações da equipe de atendimento e da mesa de operações da organização.

 

11.PERFIS DE ACESSO PADRÃO

 

As áreas de organização junto com a área de TI e de Segurança da Informação desenvolveram o mapa Perfis de Acesso Padrão, que leva em consideração:

  • As atividades profissionais de cada função da organização;
  • O sigilo necessário bem como o poder decorrente da utilização da informação;
  • A necessidade de segregação de funções, e
  • A regras de parametrização de acesso de cada sistema.

 

Todos os perfis dos colaboradores devem seguir esse mapeamento não impedindo que um colaborador tenha um perfil diferente do estabelecido no mapa desde que solicitado por seu superior e aprovado pela área de segurança da informação. Após esse procedimento a área de tecnologia irá providenciar a criação desse perfil, no caso de novo usuário, ou alteração do já existente seguindo as permissões solicitadas.

 

Caso o mapeamento padrão esteja incompatível com as reais necessidades de algum posto de trabalho da organização, seja por troca de suas atribuições, do sistema utilizado, de alterações na legislação ou outros fatores, o gestor da área deverá solicitar às áreas de TI e segurança da informação a revisão do perfil, processo esse que será realizado por estas áreas em conjunto com a solicitante.

 

12.MESA LIMPA

 

Ao se ausentar de seu posto, o colaborador deve assegurar que, além da saída correta dos sistemas em uso e bloqueio de sua estação de trabalho, os arquivos físicos e documentação com dados críticos sob sua guarda não estejam acessíveis a pessoas não autorizadas. Para tanto, recomenda-se não deixar tais documentos sobre mesas ou ainda em armários com acesso liberado.

 

As informações físicas consideradas confidenciais ou críticas devem ser destruídas assim que não sejam mais necessárias, utilizando-se equipamentos de fragmentação de papel.

 

As impressões devem ser retiradas imediatamente dos equipamentos por seu autor ou pessoa autorizada e os arquivos digitalizados devem ser removidos dos repositórios comuns da rede interna com a mesma prontidão.

 

As estações de trabalhos estão parametrizadas para após 10 minutos de inatividade, serem bloqueadas automaticamente sendo necessário ao usuário a digitação de sua senha para o desbloqueio.

 

13.SEGURANÇA FÍSICA DOS AMBIENTES DE OPERAÇÃO E PROCESSAMENTO

 

As mesas de operação e de liquidação de operações (back office) contam com dispositivos contra incêndio e geradores de energia elétrica, ambos disponibilizados pela condomínio. No âmbito da organização, essas mesas contam com o auxílio do serviço de “no break” com capacidade de suportar as atividades de ambas por 4 horas. Essas áreas contam, assim como o restante da organização, com regras determinadas no plano de contingência que, inclusive, determina duplicidade de acessos aos principais sistemas em local alternativo.

 

A central de processamento de dados (CPD) é hospedada externamente na UOLDIVEO que possui a certificação ISAE3402 seguindo o procedimento de auditoria SAS70 o que garante altos níveis de segurança física e lógica de seus servidores além da sistemática de redundância que permite que seus clientes tenham o máximo de segurança em suas operações.

 

14.MEDIDAS DE PREVENÇÃO

 

Inspeção

  • Toda informação produzida é de propriedade do Andbank e, portanto, pode ser inspecionada sem prévio aviso sejam gravações telefônicas, conteúdo de e-mails, arquivos enviados, recebidos ou salvos na rede interna, acessos à internet e procedimentos nos sistemasinternos.

 

Gestão de Acessos

  • Será realizada pela área de segurança da informação a auditoria dos acessos realizados a rede e aos sistemas internos, através das trilhas geradas e permissões parametrizadas, dos colaboradores verificando sua compatibilidade com Perfis de Acesso Padrão ou autorizações prévias dadas.

 

Back Up

  • Todos os arquivos e bancos de dados, assim como os arquivos de execução dos sistemas internos sofrem procedimento de backup diário pela área de Tecnologia da Informação.

 

Antivírus

  • A organização conta com um sistema antivírus atualizado e que analisa todas as estações de
    trabalho em periodicidade semanal.

 

15.PLANO DE CONTINGÊNCIA

 

O Andbank possui um plano de contingência com o objetivo de responder a qualquer situação de anormalidade adotando procedimentos alternativos que permitam com que as atividades da empresa continuem sendo executadas o mais próximo do rotineiro, sempre salvaguardando a vida dos colaboradores, a propriedade física da organização e toda a informação disponível, sejam físicas ou lógicas.O plano deve ser de conhecimento de todos os colaboradores da organização

 

16.TESTES DE SEGURANÇA

 

A área de segurança da informação realiza testes com relação aos usuários conectados na rede e suas permissões dentro do padrão pré-determinado ou de exceções a este devidamente autorizações. Também são realizados testes de atualização de softwares e sistemas assim como das medidas constantes no Plano de Contingência ou em normativos que tratem de ações correlatas. Os resultados podem ser reportados em comitês internos ou em processos de auditoria, sempre que solicitados.

 

17.RESPONSABILIDADES

 

Os procedimentos aqui descritos são de responsabilidade de todos na organização sendo que ações em não conformidade ao aqui exposto estarão sujeitas à penalidades que podem ser desde advertências formais até o cancelamento do vínculo trabalhista, dependendo de suagravidade.

 

Resumidamente, estão atribuídas as seguintes responsabilidades:

 

Tecnologia da Informação – Infra-Estrutura e Gestão de Software:
Instalação e manutenção dos sistemas telefônicos e estações de trabalho, incluindo sua instalação e configuração do sistema operacional, anti-vírus e softwares / aplicativos e sistemas internos;

  • Criação, manutenção, bloqueio e cancelamento de usuários na rede, servidor de correio eletrônico e sistemas internos bem como a parametrização de suas permissões;
  • Monitoramento, junto com a área de segurança da informação, do uso de todos os recursos de tecnologia da organização, e
  • Mapeamento e revisão, junto com a área de segurança da informação, dos Perfis de Acesso Padrão.

 

Segurança da Informação – Função atribuída à Gerencia de Risco:

  • Mapeamento e revisão, junto com a área de TI, do Perfil de Acesso Padrão;
  • Aprovação das solicitações de exceções para criação ou alteração de perfis de acesso fora do padrão determinado pelo Perfil de Acesso Padrão;
  • Monitoramento do acesso e execução de rotinas realizado pelos usuários da organização;
  • Monitoramento da criação, alteração, bloqueio e exclusão de usuários e perfisde acesso;
  • Monitoramento dos sistemas de segurança implantados;
  • Monitoramento da gestão de continuidade do negócio;
  • Realizar alterações no Plano de Contingência e demais políticas internas que disciplinem sobre o mesmo assunto na organização.

 

Gestores das áreas internas da organização:

  • Solicitar o acesso à rede e demais sistemas para o colaborador, seu bloqueio em férias e o cancelamento, processo esse que também pode ser realizado pela área de recursos humanos;
  • Solicitar, à área de segurança da informação, parâmetros diferentes do Perfil de Acesso Padrão, se necessário, para o colaborador;
  • Solicitar, à área de segurança da informação, alterações nas permissões padronizadas dos postos de trabalho de seus colaboradores, constantes no Perfil de AcessoPadrão;
  • Promover e garantir a adesão de todos seus colaboradores às políticas de segurança da informação.

 

Usuários em geral:

 

  • Seguir as políticas de segurança da informação e incentivar outros colaboradores a fazê-lo;
  • Zelar por todos os equipamentos colocados à sua disposição para sua atividade profissional;
  • Bloquear sua estação de trabalho quando ausentar-se e não divulgar suas senhas e demais informações confidenciais à outras pessoas;
  • Informar a área de tecnologia da informação qualquer problema ocorrido em sua estação de trabalho, sistema telefônico e sistemas internos;