Política de Segurança Cibernética e Resposta a Incidentes

Introdução

Em conformidade à legislação e regulamentação vigente, em especial à Resolução 4.658/2018, do Conselho Monetário Nacional ("CMN"), as normas complementares do Banco Central do Brasil e as melhores práticas de mercado, a Wise Money possui uma Política, cujo resumo segue abaixo, que tem como objetivo consolidar os princípios e diretrizes de segurança cibernética e de contratação de serviços de computação e processamento em nuvem.

 

Estrutura

A estrutura de segurança cibernética está a cargo do Diretor responsável por Tecnologia e envolve os seguintes temas:
Autenticação e Autorização.
Criptografia e Certificados Digitais.
Prevenção e Detecção de Intrusão.
Prevenção ao vazamento de informações.
Gerenciamento de Identidade de Acesso.

 

Divulgação

A Política de Segurança Cibernética na integra é divulgada a todos os funcionários e prestadores de serviços. Qualquer indício de irregularidade no cumprimento das determinações da mesma é alvo de investigação interna.

 

Objetivos da Política de Segurança Cibernética e Resposta a Incidentes

A Política de Segurança Cibernética e Resposta a Incidentes visa garantir a confidencialidade, integridade e disponibilidade de dados e informações, tanto da empresa e funcionários, quanto de clientes. Visa também garantir a proteção dos ativos e o modelo de negócio da empresa contra ações de disrupção por meios cibernéticos.

 

Vigência

A Política de Segurança Cibernética e Resposta a Incidentes tem vigência de um ano, podendo ser renovada caso nenhuma alteração seja necessária.

 

Classificação dos dados e informações

As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Confidencial, Restrita e Pública.

 

Controles e Procedimentos

Os controles e procedimentos estabelecem diretrizes técnicas para a garantia do objetivo desta Política.

 

Os controles e procedimentos descritos nesta Política abordam os seguintes temas:
Autenticação e Autorização.
Criptografia e Certificados Digitais.
Prevenção e Detecção de Intrusão.
Prevenção ao vazamento de informações.
Gerenciamento de Identidade de Acesso.

 

Cópias de segurança de dados e informações

As Cópias de segurança de dados e informações serão realizadas de forma automatizada, com o intuito de preservá-las de possíveis ataques bem sucedidos ou requisições de auditoria. Os detalhes técnicos estão descritos no documento da Política de Segurança Cibernética.

 

Controles e registros de acesso

Todo recurso computacional possuirá controles e registros de acessos automatizado, com a finalidade de possibilitar análises forenses e aprimoramentos na estratégia da Política de Segurança Cibernética e Resposta a Incidentes.

 

Disseminação da cultura de Segurança Cibernética

Todos os funcionários da empresa, clientes e prestadores de serviço serão submetidos a treinamentos e simulações para garantir que as diretrizes desta Política estejam aderentes ao modelo de negócio, além de ajudar na prevenção de ataques bem sucedidos.

 

Resposta a incidentes

É de responsabilidade de toda a área de Tecnologia aplicar as diretrizes estabelecidas para respostas a incidentes e desastres. As diretrizes pretendem estabelecer procedimentos na mitigação e recuperação das consequências de ataques ou desastres.

 

Notificações sobre incidentes relevantes

É responsabilidade da equipe de Segurança da Informação criar relatórios de notificação aos clientes e funcionários sobre incidentes. Os relatórios devem informar sobre o nível de impacto, abrangência e classificação dos dados e informações atingidas, bem como as ações de defesa e recuperação.

 

Parceiros e prestadores de serviços a terceiros

Os parceiros e prestadores de serviços a terceiros estão submetidos a esta Política de Segurança Cibernética tanto quanto qualquer funcionário da empresa. Os prestadores de serviços devem comprometer-se em contrato a frequentar treinamentos e aderir à esta Política de forma integral.