Segurança da Informação e Cibernética

Política de Segurança da Informação e Segurança Cibernética

 

Conheça os processos e controles estabelecidos pelo Banco Andbank, para proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança da Informação e Segurança Cibernética.

Os princípios e diretrizes de Segurança da Informação e Segurança Cibernética estabelecidos nesta política possuem aderência da Alta Administração do Grupo Andbank.

 

Responsabilidades e objetivos da Segurança da Informação e Cibernética

 

Segurança da Informação

 

O departamento de Segurança da Informação do Grupo Andbank é responsável por estabelecer, por meio da definição de políticas, normas, procedimentos e controles, a integridade, disponibilidade e confidencialidade das informações contidas nos ambientes da organização, objetivando a minimização de possíveis impactos e vulnerabilidades e reduzir a ocorrência de incidentes de segurança da informação que afetem os negócios do Grupo.

A disciplina concentra esforços contínuos para proteção dos ativos de informação, auxiliando a instituição a cumprir sua missão e valores, sendo nossos principais objetivos:

• Confidencialidade, referente à privacidade das informações pessoais ou corporativas, incluindo as questões de copyright e proteção da propriedade intelectual.

• Integridade, referente à confiabilidade dos dados. Considera-se perda de integridade evidente, em casos de falha em um disco rígido de qualquer equipamento, ou sútil, em casos de alteração de caracteres em um arquivo.

• Disponibilidade, referente à funcionalidade completa de um sistema e seus componentes.

 

Segurança Cibernética

 

O departamento de Segurança da Informação do Grupo Andbank é responsável por identificar, proteger, detectar, responder e se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações. Os objetivos principais, tem por identificar:

• Incidentes cibernéticos, decorrente de todo e qualquer evento não esperado que gere algum tipo de instabilidade, quebra de política ou que possa causar danos ao Grupo Andbank.

• Ataque cibernético, referente a exploração por parte de um agente malicioso que tem por objetivo, aproveitar de pontos fracos com a intenção de alcançar um impacto negativo no alvo. Os invasores podem ter como alvo, os clientes, fornecedores e parceiros de negócios do Grupo Andbank, para causar impacto significante para a instituição.

• Ativos tecnológicos, referente a qualquer dispositivo físico ou digital, equipamento ou outro componente do ambiente que suporte atividades relacionadas à informação.

 

Princípios de Segurança da Informação

 

Organização da segurança

 

Essa estrutura organizativa permitirá e promoverá a realização de revisões independentes das vulnerabilidades e riscos que afetem o Grupo Andbank, bem como dos controles implantados para reduzir tais vulnerabilidades e riscos. Deverão ser realizados também controles específicos para manter a segurança dos ativos acessados ou gerenciados por terceiros, e nos casos em que o tratamento da informação tenha sido cedido a outra organização.

 

Confidencialidade e integridade da informação

 

Todos os colaboradores que têm acesso a informações sensíveis, críticas e privilegiadas, em especial àquelas protegidas pelo sigilo bancário, serão responsáveis por proteger essas informações de acordo com as políticas e normas vigentes. A violação dos procedimentos de segurança poderá acarretar em ações disciplinares podendo, dependendo do caso, resultar em rescisão de contrato de trabalho e indenizações por perdas e danos.

 

Responsabilidade do uso de senhas

 

As senhas são únicas, pessoais e intransferíveis e tornam o portador da senha responsável por todas as ações praticadas com a mesma, inclusive se utilizadas por terceiros. O compartilhamento de senhas com outros colaboradores é expressamente proibido.

 

Gestão dos ativos e classificação das informações

 

O Grupo Andbank utiliza três categorias para efeitos de classificação da informação:

• Uso Público;

• Uso Interno; e

• Confidencial.

Todos os dados e informações são classificadas, em função de sua sensibilidade e da informação que contiverem, assim como, do uso ao qual estejam destinados. Os dados e informações serão mantidos em sistemas protegidos quanto ao seu uso, a quem pode acessá-los e à sua sensibilidade ou valor para o Grupo Andbank.

 

Proteção de dados

 

Toda informação de propriedade do Grupo Andbank será protegida de forma a não comprometer a sua confidencialidade, integridade ou disponibilidade, independentemente da forma apresentada ou do meio pelo qual é compartilhada ou armazenada.

 

Segurança física

 

Os sistemas de informação do Grupo Andbank estarão localizados em zonas de acesso restrito, protegidos com mecanismos de controle que impeçam a entrada de pessoal não autorizado. Do mesmo modo, esses sistemas serão protegidos contra outros tipos de ameaças como incêndios, inundações, sabotagens ou cortes no fornecimento elétrica.

 

Gestão e operação de equipes, sistemas, redes e comunicações

 

São definidas formalmente as responsabilidades e procedimentos documentados para garantir a correta configuração, administração, operação e monitoramento dos sistemas de informação e comunicação do Grupo Andbank. Para tanto, é estabelecida a correspondente normativa e adotadas as melhores práticas em matéria de segurança.

 

Utilização de internet e correio eletrônico

 

A utilização da internet deve ter como finalidade profissional não sendo permitido o acesso à sites com conteúdo não pertinente às atividades profissionais.

O colaborador tem uma conta de e-mail em seu nome sendo esta, de sua inteira responsabilidade e deverá ser administrada de acordo com a normas éticas e de segurança do Andbank, sendo sua utilização estritamente profissional e, portanto, as informações constantes nela de propriedade do Andbank.

 

Utilização de software

 

As estações de trabalho serão providas de softwares adequados à realização das tarefas do colaborador, tais como sistema operacional, redator de texto, confecção de apresentações, planilha eletrônica, leitor de e-mail e navegador de internet. Qualquer software adicional deverá ser autorizado pelo gestor do colaborador, consonante com as políticas internas da organização e instalado apenas pela área de tecnologia da informação, sendo terminantemente proibida qualquer instalação de softwares não autorizados ou por conta própria do colaborador.

 

Controle de acessos

 

O acesso por parte do pessoal interno ou externo aos sistemas de informação do Grupo Andbank, bem como às informações que tratam ou armazenam, será regulado sobre as seguintes bases:

• Princípio de necessidade de uso: o acesso aos sistemas e ativos de informação é concedido para auxiliar as atividades profissionais dos usuários.

• Princípio de mínimo acesso: o acesso à informação será suficiente e não excessivo para a realização de tais atividades.

• Princípio de autorização prévia: todos os acessos às informações serão realizados após uma autorização prévia, direta ou delegada, do proprietário do ativo de negócio.

 

Sobre as credenciais de acesso

 

As contas de acesso a todos os sistemas de informação do Grupo Andbank permitem identificar inequivocamente o usuário final, que será responsável pelas ações realizadas nos sistemas através das contas de usuário que lhe estiverem atribuídas. Portanto, os usuários são responsáveis pela confidencialidade de suas senhas de acesso aos sistemas de informação, que se consideram secretas. É proibida a comunicação desse tipo de informação a quaisquer terceiros.

 

Conscientização em Segurança da Informação

 

O Grupo Andbank aplicará programas de conscientização e/ou treinamentos sobre a Política de Segurança da Informação e Cibernética, e o uso correto dos sistemas de informação, com o propósito de minimizar os possíveis riscos de segurança.

 

Resposta, tratamento de incidentes de Segurança Cibernética e continuidade de negócios

 

Gestão de incidentes de segurança

 

A gestão de incidentes de segurança, bem como qualquer potencial falha de segurança nas redes do Grupo Andbank ou seus serviços será investigada pela Tecnologia da informação e o departamento de Riscos e de Segurança da Informação. O Grupo Andbank implementará paulatinamente diferentes medidas de técnicas de controle, supervisão e bloqueio de informações/documentações, com o objetivo de permitir minimizar as potenciais falhas de segurança.

 

Continuidade do negócio

 

Todas e cada uma das Equipes Diretivas que fazem parte do Grupo Andbank estabelecerão um Plano de Continuidade de Negócios (PCN) que permita o prosseguimento de suas atividades críticas em caso de incidentes ou desastres graves.

Em consonância com o mencionado anteriormente, cada Equipe Diretiva deverá estabelecer um plano anual de testes para cada um dos Planos de Continuidade de Negócios que tenham elaborado.

 

Práticas de Segurança

 

Procedimentos de composição, guarda e troca de senha de acesso

 

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização quanto ao uso e manutenção das senhas.

A senha é pessoal e intransferível, não deve ser fornecida a ninguém a não ser o usuário proprietário da informação.

Senha tem data para expiração: Adota-se um padrão definido onde a senha possui prazo de validade de 90 dias, obrigando o usuário a renovar sua senha.

As senhas de acesso à rede e aos sistemas internos seguem, pelo menos, os seguintes parâmetros:

 

(i) Tamanho mínimo: 6 caracteres

(ii) Tempo máximo de expiração: 90 dias

(iii) Quantidade máxima de tentativas antes do bloqueio: 5;

(iv) Duração do bloqueio: desbloqueio pelo administrador;

(v) Histórico mínimo de senhas utilizadas:

(vi) Complexidade: ativada;

(vii) Criptografia: ativada.

 

Riscos envolvidos no uso da Internet e métodos de prevenção, segurança em computadores e dispositivos móveis

 

Sites da Internet podem utilizar diversas formas de coleta de informações de usuários, a exemplo do preenchimento de formulários pelo próprio usuário e do uso de cookies e demais tecnologias que possibilitem o armazenamento de registro de navegação. Dessa forma, informações podem ser capturadas por meio do computador ou dispositivo móvel utilizado, antes, durante ou após a utilização dos Sistemas Eletrônicos de Negociação para envio de informações e/ou ordens de operações.

Os cookies podem coletar, armazenar, tratar, processar e utilizar diversas informações que integram os registros de navegação, tais quais:

 

(i) localização geográfica;

(ii) sistema operacional, navegador e versões utilizados pelo cliente;

(iii) resolução de tela;

(iv) informações em linguagem Java (linguagem de programação);

(v) reprodutor de flash instalado;

(vi) endereço IP do cliente, data e hora de uso;

(vii) Código IMEI do aparelho celular pelo qual o cliente acessou os Sistemas Eletrônicos de Negociação;

(viii) informações referentes às quantidades de cliques e tentativas de uso do Sistema Eletrônico de Negociação, bem como de páginas acessadas pelo cliente.

 

Em decorrência do acima exposto, o cliente deverá acessar o Sistema Homebroker somente por intermédio de computadores ou dispositivos móveis de procedência idônea e confiáveis, não utilizando computadores ou dispositivos móveis de terceiros ou de uso público.

Além disso, o cliente deve utilizar apenas equipamentos que contenham software antivírus atualizado, não executando programas desconhecidos nos computadores ou dispositivos móveis utilizados para acesso aos Sistemas Eletrônicos de Negociação, principalmente quando encaminhados por e-mail, nem efetuar downloads de programas via Internet. Dessa forma, o cliente poderá evitar a instalação fraudulenta de programas externos de captura de informações.

Ressalta-se que o cliente poderá ser responsabilizado civil e criminalmente pela prática de atos que provoquem a interrupção do site do Banco Andbank Brasil S.A, ou atos que importem em prejuízo à segurança do site do Banco Andbank Brasil S.A e/ou dos sistemas eletrônicos dos demais clientes, inclusive a transmissão, através do Sistema Homebroker, de quaisquer vírus ou outros arquivos que possam vir a danificar e/ou causar prejuízos ao hardware ou ao software do Sistema Homebroker e/ou dos demais clientes.

O Banco Andbank Brasil S.A garante a privacidade de seus clientes. As informações sensíveis dos clientes com acesso ao Sistema Homebroker, tais como código B3, senha de identificação eletrônica, dados cadastrais, carteira e operações são protegidas por criptografia forte, através do protocolo SSL com chave criptográfica de 256 bits. Este sistema de criptografia é utilizado em todo o mundo, pelos maiores sites e melhores instituições.

 

Atualização de segurança nos computadores

 

Firewall: Certifique-se que o seu Firewall está funcionando. O firewall é um importante software que já vem instalado no seu computador, que o protege de hackers que tentam roubar informações muito importantes, como detalhes pessoais e senhas.

Antivírus: É essencial ter um antivírus em qualquer computador. Este importante software protege a sua máquina de invasores que tentam adentrar ao seu sistema por meio de downloads de softwares ou códigos não autorizados.

Anti-Spyware: Instale um anti-spyware. O spyware é um software também malicioso criado para que os invasores espiem todas as suas atividades no seu computador e coletem o maior número possível de informações, sem você sequer suspeitar disso. Se você já tem um bom antivírus, seu computador está bem protegido, mas o spyware nem sempre é detectado por eles. Por isso, na hora de escolher o seu antivírus, veja se há a opção de anti-spyware.

Filtro de E-mails e Spams: Instale um filtro de e-mails e spams. Este tipo de programa foi feito para proteger a sua conta de e-mail para garantir que você não receba mensagens maliciosas e desnecessárias, pois filtra cada e-mail que você recebe.

 

Segurança em dispositivos móveis

 

De forma geral, os cuidados que você deve tomar para proteger seus dispositivos móveis são os mesmos a serem tomados com seu computador pessoal, como mantê-lo sempre atualizado e utilizar mecanismos de segurança.

 

Antes de adquirir seu dispositivo móvel:

 

  • Considere os mecanismos de segurança que são disponibilizadas pelos diferentes modelos e fabricantes e escolha aquele que considerar mais seguro;
  • Caso opte por adquirir um modelo já usado, procure restaurar as configurações originais, ou “de fábrica”, antes de começar a usá-lo;
  • Evite adquirir um dispositivo móvel que tenha sido ilegalmente desbloqueado (jailbreak) ou cujas permissões de acesso tenham sido alteradas. Esta prática, além de ser ilegal, pode violar os termos de garantia e comprometer a segurança e o funcionamento do aparelho.

Ao usar seu dispositivo móvel:

 

  • Se disponível, instale um programa antimalware antes de instalar qualquer tipo de aplicação, principalmente aquelas desenvolvidas por terceiros;
  • Mantenha o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as atualizações aplicadas;
  • Fique atento às notícias veiculadas no site do fabricante, principalmente as relacionadas à segurança;
  • Seja cuidadoso ao instalar aplicações desenvolvidas por terceiros, como complementos, extensões e plug-ins. Procure usar aplicações de fontes confiáveis e que sejam bem avaliadas pelos usuários. Verifique comentários de outros usuários e se as permissões necessárias para a execução são coerentes com a destinação da aplicação
  • Seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocalização, pois isto pode comprometer a sua privacidade.

Ao acessar rede:

 

  • Seja cuidadoso ao usar redes Wi-Fi públicas;
  • Mantenha interfaces de comunicação, como bluetooth, infravermelho e Wi-Fi, desabilitadas e somente as habilite quando for necessário;
  • Configure a conexão bluetooth para que seu dispositivo não seja identificado (ou “descoberto”) por outros dispositivos (em muitos aparelhos esta opção aparece como “Oculto” ou “Invisível”).

Proteja seu dispositivo móvel e os dados nele armazenados:

 

  • Mantenha as informações sensíveis sempre em formato criptografado;
  • Faça backups periódicos dos dados nele gravados;
  • Mantenha controle físico sobre ele, principalmente em locais de risco (procure não deixá-lo sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes públicos);
  • Use conexão segura sempre que a comunicação envolver dados confidenciais; não siga links recebidos por meio de mensagens eletrônicas;
  • Cadastre uma senha de acesso que seja bem elaborada e, se possível, configure-o para aceitar senhas complexas (alfanuméricas);