Política de Segurança da Informação
O principal propósito desta política é de estabelecer, de forma estratégica e voltada ao negócio, a base para que a Swap Meios de Pagamentos Instituições de Pagamentos (“Swap” ou “Companhia”) possa manter a confidencialidade, integridade e disponibilidade de seus serviços, tecnologias e ativos de informação.
Também como objetivo desta política está a necessidade de fornecer a conscientização e orientação para o desenvolvimento e a manutenção de controles que serão operados e geridos por pessoas, processos e tecnologia, para assim, construir um ambiente seguro, e que todos os Swappers possuam uma visão orientada à riscos, para que a Swap adote iniciativas que possam prevenir, detectar, responder e recuperar de possíveis riscos cibernéticos.
Segurança da Informação é, primariamente, garantir que pessoas, tecnologias, dados e informações estejam propriamente protegidos e seguros. Para que seja possível dar base à esta ideologia, alguns princípios devem ser constituídos e preservados dentro da companhia, sendo eles:
• Confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
• Isolamento e proteção de ativos de informação críticos e de valor para a companhia;
• Identificação, análise, tratamento e gerenciamento de riscos.
Estes princípios são implementados e mantidos pela Swap através de três bases: pessoas, processos e tecnologias. Estas três bases devem estar cientes, adaptadas ou configuradas com o entendimento do que é a segurança da informação e como são as suas medidas e direções voltadas ao negócio.
São considerados críticos quaisquer dados ou informações que sejam dados pessoais, dados pessoais sensíveis, dados financeiros e dados de cartões, além de dados confidenciais acerca de tecnologias, negócios e estratégias da Swap.
Estes dados devem estar devidamente protegidos e com controle de acesso adequado. Todos os dados e informações devem conter uma classificação de acordo com a necessidade de uso e compartilhamento, conforme a seguir:
• Confidencial: Apenas pessoas explicitamente autorizadas devem ter acesso à este tipo de informação;
• Uso Interno: Apenas Swappers e ou partes terceirizadas que sejam explicitamente autorizadas devem ter acesso à este tipo de Informação;
• Público: As informações neste tipo de documento são públicas para o mundo.
O risco é inerente ao negócio e está presente em todos os momentos dentro da companhia, e por isso, é de extrema importância que os times internos possam entender, identificar e analisar cenários de riscos para que a Swap possa mitigá-los.
A partir da identificação, todos os riscos devem ser avaliados e passar por um processo de agregação de valor, de forma quantitativa e qualitativa. Faz-se necessário transparência e clareza para que a companhia entenda qual a criticidade de um risco.
Todos os Swappers devem possuir seus acessos e credenciais únicas e intransferíveis, que não devem ser compartilhados em nenhum momento com qualquer pessoa. Estes acessos serão base para qualquer ferramenta que os Swappers venham a utilizar dentro da Swap e todas as suas ações devem ser autenticadas para o uso das tecnologias e ferramentas disponibilizadas oficialmente pela Swap como descrito na Política de Gestão de Acessos Físicos e Lógicos.
É importante ressaltar que a Swap segue o princípio de menor privilégio em todos os seus sistemas que são gerenciados pelo time de Segurança da Informação.
A Swap possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o seu ambiente produtivo e ativos de informação.
O time de Segurança da Informação deverá possuir uma base de segurança cibernética estrategicamente implementada em cada camada dos ambientes. Essas proteções são imprescindíveis para manter a Swap mais segura e menos suscetível a incidentes e ataques.
Todos os sistemas construídos e oferecidos pela Swap, assim como as ferramentas utilizadas para a operacionalização dos times internos, devem possuir, minimamente, os logs de registros de cada ação efetuada pelos usuários dentro destes sistemas e ferramentas. Assim, a Swap garante que exista a possibilidade da audibilidade, fornecendo trilhas de auditorias para investigações necessárias.
Todo e qualquer incidente identificado deverá passar pelo processo de resposta à incidentes definido pela Swap. Dentro deste processo, o responsável pela resposta de cada incidente deverá de forma primária identificar se um incidente é ou não um incidente de segurança da informação.
O time de Segurança da Informação deverá ser comunicado e envolvido em qualquer incidente ocorrido e caso seja constatado que se trata de um incidente de segurança da informação, este time deverá tomar a frente e a responsabilidade pela resolução do incidente ocorrido.
A segurança da informação da Swap deve ser estrategicamente repassada a todos os Swappers. Para criar um ambiente mais seguro e no qual o comportamento natural seja a visão de segurança da informação e uma orientação à gestão de riscos, a Swap deve se comprometer em sempre repassar os conhecimentos para disseminação da cultura de segurança cibernética na companhia, incluindo:
• Implementação de programas de conscientização e de avaliação periódica;
• Prestação de informações a usuários finais sobre precauções na utilização de produtos, operações no dia-a-dia e serviços oferecidos, seja no ambiente corporativo ou pessoal;
• O comprometimento da liderança da Swap com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.
A Swap respeita a privacidade dos titulares e origem dos dados e garante a disponibilidade, integridade e confidencialidade dos dados em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado, a finalidade e a gravidade dos riscos.
A Swap é uma companhia que tem como compromisso estar em conformidade com todos os órgãos legislativos, reguladores e certificadores, além de manter o comprometimento e transparência com os clientes sobre suas responsabilidades.
O principal propósito desta política é de estabelecer, de forma estratégica e voltada ao negócio, a base para que a Swap Meios de Pagamentos Instituições de Pagamentos (“Swap” ou “Companhia”) possa manter a confidencialidade, integridade e disponibilidade de seus serviços, tecnologias e ativos de informação.
Também como objetivo desta política está a necessidade de fornecer a conscientização e orientação para o desenvolvimento e a manutenção de controles que serão operados e geridos por pessoas, processos e tecnologia, para assim, construir um ambiente seguro, e que todos os Swappers possuam uma visão orientada à riscos, para que a Swap adote iniciativas que possam prevenir, detectar, responder e recuperar de possíveis riscos cibernéticos.
2. Princípios de Segurança da Informação
Segurança da Informação é, primariamente, garantir que pessoas, tecnologias, dados e informações estejam propriamente protegidos e seguros. Para que seja possível dar base à esta ideologia, alguns princípios devem ser constituídos e preservados dentro da companhia, sendo eles:
• Confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
• Isolamento e proteção de ativos de informação críticos e de valor para a companhia;
• Identificação, análise, tratamento e gerenciamento de riscos.
Estes princípios são implementados e mantidos pela Swap através de três bases: pessoas, processos e tecnologias. Estas três bases devem estar cientes, adaptadas ou configuradas com o entendimento do que é a segurança da informação e como são as suas medidas e direções voltadas ao negócio.
3. Dados e informações críticas
São considerados críticos quaisquer dados ou informações que sejam dados pessoais, dados pessoais sensíveis, dados financeiros e dados de cartões, além de dados confidenciais acerca de tecnologias, negócios e estratégias da Swap.
Estes dados devem estar devidamente protegidos e com controle de acesso adequado. Todos os dados e informações devem conter uma classificação de acordo com a necessidade de uso e compartilhamento, conforme a seguir:
• Confidencial: Apenas pessoas explicitamente autorizadas devem ter acesso à este tipo de informação;
• Uso Interno: Apenas Swappers e ou partes terceirizadas que sejam explicitamente autorizadas devem ter acesso à este tipo de Informação;
• Público: As informações neste tipo de documento são públicas para o mundo.
4. Gerenciamento de riscos
O risco é inerente ao negócio e está presente em todos os momentos dentro da companhia, e por isso, é de extrema importância que os times internos possam entender, identificar e analisar cenários de riscos para que a Swap possa mitigá-los.
A partir da identificação, todos os riscos devem ser avaliados e passar por um processo de agregação de valor, de forma quantitativa e qualitativa. Faz-se necessário transparência e clareza para que a companhia entenda qual a criticidade de um risco.
5. Acessos e princípio de menor privilégio
Todos os Swappers devem possuir seus acessos e credenciais únicas e intransferíveis, que não devem ser compartilhados em nenhum momento com qualquer pessoa. Estes acessos serão base para qualquer ferramenta que os Swappers venham a utilizar dentro da Swap e todas as suas ações devem ser autenticadas para o uso das tecnologias e ferramentas disponibilizadas oficialmente pela Swap como descrito na Política de Gestão de Acessos Físicos e Lógicos.
É importante ressaltar que a Swap segue o princípio de menor privilégio em todos os seus sistemas que são gerenciados pelo time de Segurança da Informação.
6. Arquitetura de segurança
A Swap possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o seu ambiente produtivo e ativos de informação.
O time de Segurança da Informação deverá possuir uma base de segurança cibernética estrategicamente implementada em cada camada dos ambientes. Essas proteções são imprescindíveis para manter a Swap mais segura e menos suscetível a incidentes e ataques.
7. Monitoramento, logs e auditorias
Todos os sistemas construídos e oferecidos pela Swap, assim como as ferramentas utilizadas para a operacionalização dos times internos, devem possuir, minimamente, os logs de registros de cada ação efetuada pelos usuários dentro destes sistemas e ferramentas. Assim, a Swap garante que exista a possibilidade da audibilidade, fornecendo trilhas de auditorias para investigações necessárias.
8. Incidentes de Segurança da Informação
Todo e qualquer incidente identificado deverá passar pelo processo de resposta à incidentes definido pela Swap. Dentro deste processo, o responsável pela resposta de cada incidente deverá de forma primária identificar se um incidente é ou não um incidente de segurança da informação.
O time de Segurança da Informação deverá ser comunicado e envolvido em qualquer incidente ocorrido e caso seja constatado que se trata de um incidente de segurança da informação, este time deverá tomar a frente e a responsabilidade pela resolução do incidente ocorrido.
9. Conscientização da Segurança da Informação
A segurança da informação da Swap deve ser estrategicamente repassada a todos os Swappers. Para criar um ambiente mais seguro e no qual o comportamento natural seja a visão de segurança da informação e uma orientação à gestão de riscos, a Swap deve se comprometer em sempre repassar os conhecimentos para disseminação da cultura de segurança cibernética na companhia, incluindo:
• Implementação de programas de conscientização e de avaliação periódica;
• Prestação de informações a usuários finais sobre precauções na utilização de produtos, operações no dia-a-dia e serviços oferecidos, seja no ambiente corporativo ou pessoal;
• O comprometimento da liderança da Swap com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.
10. Proteção da Informação
A Swap respeita a privacidade dos titulares e origem dos dados e garante a disponibilidade, integridade e confidencialidade dos dados em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado, a finalidade e a gravidade dos riscos.
11. Conformidade com leis, regulações, contratos e certificações
A Swap é uma companhia que tem como compromisso estar em conformidade com todos os órgãos legislativos, reguladores e certificadores, além de manter o comprometimento e transparência com os clientes sobre suas responsabilidades.
