Segurança da Informação e Cibernética

Política de Segurança da Informação e Segurança Cibernética

 

Conheça os processos e controles estabelecidos pelo Banco Andbank, para proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança da Informação e Segurança Cibernética.

Os princípios e diretrizes de Segurança da Informação e Segurança Cibernética estabelecidos nesta política possuem aderência da Alta Administração do Grupo Andbank.

 

Responsabilidades e objetivos da Segurança da Informação e Cibernética

 

Segurança da Informação

 

O departamento de Segurança da Informação do Grupo Andbank é responsável por estabelecer, por meio da definição de políticas, normas, procedimentos e controles, a integridade, disponibilidade e confidencialidade das informações contidas nos ambientes da organização, objetivando a minimização de possíveis impactos e vulnerabilidades e reduzir a ocorrência de incidentes de segurança da informação que afetem os negócios do Grupo.

A disciplina concentra esforços contínuos para proteção dos ativos de informação, auxiliando a instituição a cumprir sua missão e valores, sendo nossos principais objetivos:

  • Confidencialidade, referente à privacidade das informações pessoais ou corporativas, incluindo as questões de copyright e proteção da propriedade intelectual.
  • Integridade, referente à confiabilidade dos dados. Considera-se perda de integridade evidente, em casos de falha em um disco rígido de qualquer equipamento, ou sútil, em casos de alteração de caracteres em um arquivo.
  • Disponibilidade, referente à funcionalidade completa de um sistema e seus componentes.

 

Segurança Cibernética

 

O departamento de Segurança da Informação do Grupo Andbank é responsável por identificar, proteger, detectar, responder e se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações. Os objetivos principais, tem por identificar:

  • Incidentes cibernéticos, decorrente de todo e qualquer evento não esperado que gere algum tipo de instabilidade, quebra de política ou que possa causar danos ao Grupo Andbank.
  • Ativos tecnológicos críticos, referente a qualquer dispositivo físico ou digital, equipamento ou outro componente do ambiente que suporte atividades relacionadas à informação.

 

Princípios de Segurança da Informação

 

Organização da segurança

 

Essa estrutura organizacional permite a realização de revisões independentes das vulnerabilidades e riscos que afetem o Grupo Andbank, bem como dos controles implantados para reduzir tais vulnerabilidades e riscos. Há também controles específicos para manter a segurança dos ativos acessados ou gerenciados por terceiros, e nos casos em que o tratamento da informação tenha sido cedido a outra organização.

 

Confidencialidade e integridade da informação

 

Todos os nossos colaboradores que têm acesso a informações sensíveis, críticas e privilegiadas, em especial àquelas protegidas pelo sigilo bancário, são responsáveis por proteger essas informações de acordo com as políticas e normas vigentes. A violação dos procedimentos de segurança poderá acarretar em ações disciplinares podendo, dependendo do caso, resultar em rescisão de contrato de trabalho e indenizações por perdas e danos.

 

Responsabilidade do uso de senhas

 

As senhas são únicas, pessoais e intransferíveis e tornam o portador da senha responsável por todas as ações praticadas com a mesma, inclusive se utilizadas por terceiros. O compartilhamento de senhas, em quaisquer hipóteses, é expressamente proibido.

 

Gestão dos ativos e classificação das informações

 

O Grupo Andbank utiliza três categorias para efeitos de classificação da informação:

  • Uso Público;
  • Uso Interno; e
  • Confidencial.

Todos os dados e informações são classificados em função de sua sensibilidade, criticidade e destinação. Os dados e informações somente são mantidos em sistemas protegidos.

 

Proteção de dados

 

Toda informação de propriedade do Grupo Andbank é protegida de forma a garantir sua confidencialidade, integridade e disponibilidade, independentemente da forma apresentada ou do meio pelo qual é compartilhada ou armazenada (meios físicos e eletrônicos).

 

Segurança física

 

Os sistemas de informação do Grupo Andbank estão localizados em zonas de acesso restrito, protegidos com mecanismos de controle que impeçam a entrada de pessoal não autorizado. Do mesmo modo, esses sistemas são protegidos contra ameaças como: incêndios, inundações, sabotagens ou interrupções no fornecimento de energia elétrica.

 

Gestão e operação de equipes, sistemas, redes e comunicações

 

São definidas formalmente as responsabilidades e procedimentos documentados para garantir a correta configuração, administração, operação e monitoramento dos sistemas de informação e comunicação do Grupo Andbank. Para tanto, são estabelecidas normativas correspondentes e são adotadas as melhores práticas globais.

 

Utilização de internet e correio eletrônico

 

A utilização da internet por nossos colaboradores deve ter como finalidade profissional, não sendo permitido o acesso à sites com conteúdo não pertinente às atividades profissionais.

Nossos colaboradores tem uma conta de e-mail em seu nome sendo esta, de sua inteira responsabilidade, devendo ser utilizada de acordo com as normas de conduta ética e de segurança do Andbank, sendo sua utilização estritamente profissional.

 

Como Nossos Sites e Aplicativos Não Devem Ser Utilizados

Fique atento às seguintes práticas que vão contra as nossas condições de uso:

 

  • Praticar qualquer ato ilícito, violar direitos do Grupo Andbank ou de terceiros e violar a legislação vigente;
  • Envio ou transmissão de qualquer conteúdo erótico, pornográfico, obsceno, calunioso, difamatório, de violência física ou moral, com apologia ao crime, uso de drogas, consumo de bebidas alcoólicas ou produtos para fumo, bem como que promova ou incite o ódio, atividades ilegais, o preconceito ou qualquer outra forma de discriminação por qualquer motivo;
  • Usar qualquer sistema ou aplicação automatizada para realizar consultas, acessos ou qualquer outra operação massificada, para qualquer finalidade, sem autorização do Grupo Andbank;
  • Praticar atos que prejudiquem qualquer Site, Aplicativo e equipamento do Grupo Andbank e de outros Usuários e terceiros, incluindo por meio de softwares maliciosos, como vírus de computador e equivalentes.

 

Utilização de software

 

As estações de trabalho são providas de softwares adequados à realização das tarefas do colaborador, tais como sistema operacional, redator de texto, confecção de apresentações, planilha eletrônica, leitor de e-mail e navegador de internet. Qualquer software adicional deverá ser autorizado pelo gestor do colaborador, consonante com as políticas internas da organização e instalado apenas pela área de tecnologia da informação, sendo terminantemente proibida qualquer instalação de softwares não autorizados ou por conta própria do colaborador.

 

Controle de acessos

 

O acesso por parte do pessoal interno ou externo aos sistemas de informação do Grupo Andbank, bem como às informações que tratam ou armazenam, será regulado sobre as seguintes bases:

• Princípio de necessidade de uso: o acesso aos sistemas e ativos de informação é concedido para auxiliar as atividades profissionais dos usuários.

• Princípio de mínimo acesso: o acesso à informação será suficiente e não excessivo para a realização de tais atividades.

• Princípio de autorização prévia: todos os acessos às informações serão realizados após uma autorização prévia, direta ou delegada, do proprietário do ativo de negócio.

 

Propriedade Intelectual

 

Os seguintes itens pertencem ao Grupo Andbank e somente podem ser usados com sua prévia e expressa autorização:

  • Todos os softwares, aplicativos ou funcionalidades criados, produzidos ou contratados pelo Grupo Andbank para os Sites e Aplicativos, assim como sua identidade visual e conteúdo;
  • Os nomes das empresas, marcas, patentes, nomes de domínio, slogans, propagandas ou qualquer sinal utilizado para distinguir o que é do Grupo Andbank inseridos nos Sites e Aplicativos;
  • No caso de conteúdos que você enviar ou transmitir pelos Sites e Aplicativos, você autoriza o Grupo Andbank a utilizar os direitos intelectuais sobre eles em caráter irrevogável, sem qualquer restrição ou limitação de qualquer natureza.Você também garante que os conteúdos por você enviados não infringem direitos de terceiros.

 

Sobre as credenciais de acesso

 

As contas de acesso a todos os sistemas de informação do Grupo Andbank permitem identificar inequivocamente o usuário final, que será responsável pelas ações realizadas nos sistemas através das contas de usuário que lhe estiverem atribuídas. Portanto, os usuários são responsáveis pela confidencialidade de suas senhas de acesso aos sistemas de informação, que se consideram secretas. É proibida a comunicação desse tipo de informação a quaisquer terceiros.

Pontos de atenção:

  • Sempre bloquear sua estação de trabalho ou notebook, quando não estiver próximo a ele.
  • Não anote senhas em papéis, blocos de rascunhos ou arquivos. Guarde-as mentalmente.
  • Cuidado ao digitar sua senha em outros computadores. Softwares maliciosos podem registrar as informações digitadas.

 

Conscientização em Segurança da Informação

 

O Grupo Andbank aplica programas de conscientização e/ou treinamentos sobre a Política de Segurança da Informação e Cibernética, e o uso correto dos sistemas de informação, com o propósito de minimizar os possíveis riscos de segurança.

 

Resposta, tratamento de incidentes de Segurança Cibernética e continuidade de negócios

 

Gestão de incidentes de segurança

 

A gestão de incidentes de segurança, bem como qualquer potencial falha de segurança nas redes do Grupo Andbank ou seus serviços será investigada pela Tecnologia da informação e o departamento de Riscos e de Segurança da Informação. O Grupo Andbank implementará paulatinamente diferentes medidas de técnicas de controle, supervisão e bloqueio de informações/documentações, com o objetivo de permitir minimizar as potenciais falhas de segurança.

 

Continuidade do negócio

 

Todas e cada uma das Equipes Diretivas que fazem parte do Grupo Andbank estabelecerão um Plano de Continuidade de Negócios (PCN) que permita o prosseguimento de suas atividades críticas em caso de incidentes ou desastres graves.

Em consonância com o mencionado anteriormente, cada Equipe Diretiva deverá estabelecer um plano anual de testes para cada um dos Planos de Continuidade de Negócios que tenham elaborado.

 

Práticas de Segurança

 

Procedimentos de composição, guarda e troca de senha de acesso

 

Recomenda-se a adoção de regras simples para minimizar o problema, mas a regra fundamental é a conscientização quanto ao uso e manutenção das senhas. Recomendamos seguir os seguintes passos para manter a segurança do acesso aos sistemas do Grupo Andbank:

  • Nunca utilize como senhas: nomes pessoais, sobrenomes, apelidos, datas de aniversário, números de telefone, nome de filhos, placas de carro etc. Essas informações serão as primeiras a serem utilizadas num eventual acesso indevido.
  • Tenha criatividade, utilize senhas compostas por letras, números e símbolos, de forma que não possam ser pronunciáveis.
  • Suas senhas devem ser seguras, complexas e de difícil adivinhação.
  • Altere regularmente sua senha.
  • Sua senha é pessoal e intransferível, não deve ser fornecida a ninguém a não ser o usuário proprietário da informação.
  • Nunca informe suas senhas a ninguém, mesmo que a pessoa se identifique como funcionário do banco ou do provedor de acesso.

 

As senhas de acesso à rede e aos sistemas do Grupo Andbank seguem as melhores práticas do setor e recomendações dos órgãos reguladores, considerando fatores como: tamanho mínimo de caracteres, tempo máximo de expiração,  quantidade máxima de tentativas de acesso antes do bloqueio,  duração do bloqueio,  histórico mínimo de senhas já utilizadas, complexidade, criptografia, entre outros.

 

Riscos envolvidos no uso da Internet e segurança em computadores e dispositivos móveis

 

Sites da Internet podem utilizar diversas formas de coleta de informações de usuários, a exemplo do preenchimento de formulários pelo próprio usuário e do uso de cookies e demais tecnologias que possibilitem o armazenamento de registro de navegação. Dessa forma, informações podem ser capturadas por meio do computador ou dispositivo móvel utilizado, antes, durante ou após a utilização dos Sistemas Eletrônicos de Negociação para envio de informações e/ou ordens de operações.

Os cookies podem coletar, armazenar, tratar, processar e utilizar diversas informações que integram os registros de navegação, tais quais:

 

(i) localização geográfica;

(ii) sistema operacional, navegador e versões utilizados pelo cliente;

(iii) resolução de tela;

(iv) informações em linguagem Java (linguagem de programação);

(v) reprodutor de flash instalado;

(vi) endereço IP do cliente, data e hora de uso;

(vii) Código IMEI do aparelho celular pelo qual o cliente acessou os Sistemas Eletrônicos de Negociação;

(viii) informações referentes às quantidades de cliques e tentativas de uso do Sistema Eletrônico de Negociação, bem como de páginas acessadas pelo cliente.

 

Em decorrência do acima exposto, o cliente deverá acessar o Sistema Homebroker somente por intermédio de computadores ou dispositivos móveis de procedência idônea e confiáveis, não utilizando computadores ou dispositivos móveis de terceiros ou de uso público.

Além disso, o cliente deve utilizar apenas equipamentos que contenham software antivírus atualizado, não executando programas desconhecidos nos computadores ou dispositivos móveis utilizados para acesso aos Sistemas Eletrônicos de Negociação, principalmente quando encaminhados por e-mail, nem efetuar downloads de programas via Internet. Dessa forma, o cliente poderá evitar a instalação fraudulenta de programas externos de captura de informações.

É muito importante também que seu computador ou dispositivo móvel tenha instalado todas as atualizações recomendadas pelo fabricante. Isso impede que falhas sejam exploradas por agentes maliciosos que podem ter acesso a suas informações ou realizar operações em seu nome.

Ressalta-se que o cliente poderá ser responsabilizado civil e criminalmente pela prática de atos que provoquem a interrupção do site do Banco Andbank Brasil S.A, ou atos que importem em prejuízo à segurança do site do Banco Andbank Brasil S.A e/ou dos sistemas eletrônicos dos demais clientes, inclusive a transmissão, através do Sistema Homebroker, de quaisquer vírus ou outros arquivos que possam vir a danificar e/ou causar prejuízos ao hardware ou ao software do Sistema Homebroker e/ou dos demais clientes.

O Banco Andbank Brasil S.A garante a privacidade de seus clientes. As informações sensíveis dos clientes com acesso ao Sistema Homebroker, tais como código B3, senha de identificação eletrônica, dados cadastrais, carteira e operações são protegidas por criptografia forte. Este sistema de criptografia é utilizado em todo o mundo, pelos maiores sites e melhores instituições.

Ao acessar rede:

 

  • Seja cuidadoso ao usar redes Wi-Fi públicas;
  • Mantenha interfaces de comunicação, como bluetooth, infravermelho e Wi-Fi, desabilitadas e somente as habilite quando for necessário;
  • Configure a conexão bluetooth para que seu dispositivo não seja identificado (ou “descoberto”) por outros dispositivos (em muitos aparelhos esta opção aparece como “Oculto” ou “Invisível”).
  • Certifique-se de estar usando um dispositivo seguro, não faça operações bancárias de computadores, smartphones, tablets ou de qualquer outro dispositivo desconhecido ou público, especialmente em lan houses e cyber cafés.

Responsabilidades do uso de nossos sistemas:

 

Você como Usuário é responsável:

  • por todas as suas ações ou omissões realizadas nos nossos Sites e Aplicativos;
  • pelos conteúdos que você enviou ou transmitiu nos Sites e Aplicativos; e
  • pela reparação de danos causados ao Grupo Andbank, terceiros ou outros Usuários, a partir do seu acesso e uso dos nossos Sites e Aplicativos.

Desta forma, não nos responsabilizamos pelos itens citados acima e também por indisponibilidades e falhas técnicas do sistema dos Sites e Aplicativos. Considere também que conteúdos enviados e/ou transmitidos por Usuários e/ou terceiros não representam a opinião ou a visão do Grupo Andbank.

 

Atualização desta Política

 

Lembramos que a nossa Política de Segurança da Informação e Cibernética  pode ser atualizada a qualquer momento por razões legais, pelo uso de novas tecnologias e funcionalidades e sempre que o Grupo Andbank entender que as alterações são necessárias. Ao continuar a acessar nossos Sites e
Aplicativos após as alterações, que serão publicadas nos Sites e Aplicativos, você concorda com as alterações também.