Política de Segurança Cibernética

1. OBJETIVO

Esta Política dispõe sobre diretrizes de proteção, manutenção da privacidade, integridade, disponibilidade e confidencialidade das informações da sua propriedade, além de prevenir, detectar e reduzir as vulnerabilidades e incidentes que tenha relação com o ambiente cibernético, definindo as regras que representam, a nível estratégico, os princípios da Conta Azul IP focados no objetivo de segurança da informação.

2. REFERÊNCIAS

• Lei 12.865/2013,  arts. 9º, incisos IX e XIV, 14 e 15 – dispõe sobre os arranjos de pagamento e as instituições de pagamento integrantes do Sistema de Pagamentos Brasileiro (SPB);
• Lei 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) – dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.;
• Resolução BCB nº. 85/2021 – Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil; 
• NBR ISO 27001;
• Código de Conduta.

3. ABRANGÊNCIA

Esta Política contém informações indispensáveis para todos os Funcionários da Conta Azul Instituição de Pagamento e demais profissionais com vínculo de trabalho com a empresa, isto é, estagiários, aprendizes, terceiros, parceiros, que são usuários das informações.

4. DIVULGAÇÃO E CONSCIENTIZAÇÃO

As políticas institucionais, normas e demais documentos oficiais da Conta Azul IP são amplamente divulgadas em nossa intranet, imersões, treinamentos, comunicadores e divulgações institucionais realizadas periodicamente.

5. PRINCÍPIO DA SEGURANÇA CIBERNÉTICA

A Conta Azul acredita que os ativos de informação são os bens mais relevantes, com isso, deve-se tratá-los com responsabilidade. 

O fundamento da Conta Azul IP está no princípio direto à segurança da informação, cujos objetivos constituem a preservação da propriedade da informação, com sua confidencialidade, integridade e disponibilidade, autorizando o uso e compartilhamento de forma controlada, com o monitoramento e tratamento de incidentes oriundos de ataques cibernéticos ou uso indevido.

Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas.

Integridade: garantir que as informações sejam íntegras, sem modificações indevidas – acidentais ou propositais.

Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.

Informações Confidenciais

O acesso às informações confidenciais, sendo esses também dados pessoais, coletados e arquivados pela Conta Azul IP, deve ser restrito aos profissionais autorizados ao uso direto dessas informações, é necessário a prestação de seus serviços, sendo limitado o uso para outras atividades, devendo ser respeitado ainda, o disposto na norma de classificação da informação.

As informações confidenciais devem ser reveladas nas seguintes hipóteses:

• Quando for obrigado a revelá-las através de formalidade legal, ato de autoridade, ordem ou mandado judicial;
• Aos prestadores de serviços autorizados pela Conta Azul IP;
• Aos órgãos reguladores do mercado financeiro;
• Para outras instituições financeiras, desde que dentro dos parâmetros legais.
  
  

Estrutura de Gerenciamento de Segurança Cibernética

O objetivo do gerenciamento de controles de segurança é assegurar que os procedimentos operacionais sejam elaborados, implantados ou modificados de acordo com os objetivos estabelecidos nesta política.

Gestão de Acesso às Informações

A Conta Azul possui diretrizes de Gestão de Acesso para garantir a preservação e integridade de componentes, processos e informações.

6. VIGÊNCIA E VALIDADE

Esta Política é revisada anualmente ou sempre que houver mudanças na regulamentação do órgão regulador, bem como, nas diretrizes e negócios da organização.