Política
Diretoria de Riscos e
Controles Internos
Confidencialidade:
Este é um documento interno. Contém informações confidenciais e de propriedade da Frente Corretora de Câmbio Ltda. cujo conteúdo não poderá ser distribuído, publicado, divulgado ou copiado, mesmo que parcialmente, sem o prévio consentimento e aprovação da Frente Corretora de Câmbio Ltda.
Publicado em 20 julho de 2018
06.01.0001.001
Sumário
1. Responsável 2. Aprovações
3. Público Alvo e Objetivo
4. Padrões e procedimentos de Segurança da Informação
5. Gestão de Segurança sobre Infraestrutura, Software de Base, Configuração e Utilitários 6. Requisitos de Segurança aplicáveis aos Programas Aplicativos
7. Inventário de Bens de Informação 8. Antivírus
9. Software de Automação de Escritório 10. Regras de Uso
1.
Responsável
Controles Internos
A elaboração, manutenção e a
disponibilização desta Política são de responsabilidade do Chefe de Controles Internos da Frente Corretora de Câmbio.
Todos os colaboradores da Frente Corretora
de Câmbio são responsáveis pela
assimilação, incorporação no seu dia-a-dia e na manutenção da Segurança da Informação em todos os processos, tanto nas suas
próprias atividades como no relacionamento com outros Colaboradores e com agentes externos à Frente Corretora de Câmbio.
2.
Aprovações
Comitê Diretivo em julho de
2018
3.
Público alvo e
objetivo
Essa Politica contém os requisitos e procedimentos necessários à manutenção da efetividade da Segurança da Informação na Frente Corretora de Câmbio. É direcionada às pessoas que elaboram, tem responsabilidades nos processos e possuem acesso a informações sensíveis de clientes e parceiros.
• Início ou Prosseguimento de Relação de Negócio com Clientes (mercado primário);
• Início ou Prosseguimento de Relação de Negócio com outras Instituições Financeiras (mercado
Esta Política deve ser conhecida e
cumprida por TODOS (Pessoas Físicas e Jurídicas) em qualquer localidade que a
Frente Corretora de Câmbio se
estabeleça, ou seja representada (no Brasil ou no Exterior) que:
• São seus funcionários; • Operam em seu nome;
• Realizam atividades em seu nome; • A representam.
4.
Padrões e
procedimentos de
Segurança da
Informação
Controle de Acesso Lógico
O acesso aos dados referentes aos Processos e Produtos da Frente Corretora de Câmbio será concedido aos usuários somente com base nas suas necessidades funcionais e após a liberação, de autorização dada pelos Gestores das Áreas e
Processos, que detêm, por força das suas responsabilidades, o papel de Proprietário das Informações.
Esta autorização será feita através de documento de Autorização ou e-mail, no qual constarão obrigatoriamente todos dados de identificação do usuário e suas
necessidades devidamente discriminada entre acesso para entrada, alteração, exclusão e consulta.
Todos os acessos ao ambiente de Rede, software de apoio, Sistemas e Dados na Frente Corretora
de Câmbio somente será feito após liberação
Autorização de Acesso
As salas destinadas às operações de TI são destinadas ao armazenamento de
servidores (Centrais de processamento de dados – CPDs) consideradas áreas de alta segurança e devem ter o seu acesso restrito.
Apenas os funcionários da área de TI e colaboradores registrados mediante contrato deverão possuir acesso autônomo.
O acesso às salas deverá ser monitorado por sistema de câmera de vídeo e devidamente gravado.
Todo pessoal autorizado deverá assinar termo de responsabilidade e termo de confidencialidade. O acesso a estas áreas deverá ser registrado em planilha, contendo data e hora de entrada, data e hora de saída, motivo do acesso (tarefas executadas), registro de entrada e saída de material e assinatura. A planilha de controle deverá ficar dentro da sala em local de fácil acesso.
É terminantemente proibida a entrada de pessoal não autorizado nas áreas de armazenamento de servidores, mesmo acompanhado de pessoal autorizado, salvo caso de colaboradores que necessitem executar alguma tarefa extraordinária.
Colaboradores que porventura necessitem executar serviços extraordinários dentro das salas de servidores deverão ser registrados mediante preenchimento de OS e devem permanecer sob supervisão constante de pessoal autorizado.
4.
Padrões e
procedimentos de
Segurança da
Informação
Todos os acessos ao ambiente de Rede, software de apoio, Sistemas e Dados na Frente Corretora
de Câmbio somente será feito após liberação
Padronização de Identificação de Usuários e regras de Senhas
Todo usuário da Rede Corporativa da Frente Corretora de Câmbio será identificado (nome do usuário para acesso à rede e identificação no Webmail corporativo com o seguinte formato de nomenclatura:
nome.sobrenome@Frentecorretora.com.br). A identificação será feita pelo primeiro nome. Havendo outro colaborador já cadastrado será adicionada a inicial do último sobrenome (não considerados os complementos que indicam filho, júnior, etc). Podem ser criadas contas para funcionário contratado (terceiros), mas estas deverão possuir prazo de expiração (validade) igual ou inferior à data de término de seu contrato. A expiração pode ser obtida através de solicitação do Compliance.
4.
Padrões e
procedimentos de
Segurança da
Informação
Todos os acessos ao ambiente de Rede, software de apoio, Sistemas e Dados na Frente Corretora
de Câmbio somente será feito após liberação
O software de Rede corporativa, os Sistemas aplicativos e utilitários terão acesso liberado somente com o fornecimento desta identificação e a composição de senha, pessoal, intransferível e que deve seguir os seguintes parâmetros de segurança:
• As senhas devem ter no mínimo 6 caracteres; • Toda senha deverá expirar em até 90 dias; • É proibido repetir as últimas 6 senhas;
• Contas recém-criadas ou com senhas reiniciadas deverão solicitar ao usuário a alteração da senha no primeiro logon;
• Tempo mínimo de validade de uma senha é de 1 dia;
• Bloquear senha após 3 tentativas mal sucedidas consecutivas;
• As senhas devem ter ao menos um numeral e utilizar caracteres especiais; • É proibido incluir a senha em processos automáticos de conexão;
• Não podem ser divulgadas;
• Devem ser alteradas sempre que houver suspeita de que alguém tenha visto a digitação da senha ou que tenha sido descoberta.
• O desbloqueio só poderá ser realizado pelo Administrador.
Todos os acessos ao ambiente de Rede, software de apoio, Sistemas e Dados na Frente Corretora
de Câmbio somente será feito após liberação
pelo departamento de Compliance.
4.
Padrões e
procedimentos de
Segurança da
Segurança em Pessoas – Práticas de Segurança sobre Prestadores de Serviços
Os colaboradores Prestadores de Serviço somente podem ter acesso a informações e a infraestrutura corporativas se aderirem a contratos de prestação de serviços com cláusulas de confidencialidade de informação validadas por Compliance e pela área de Tecnologia da Informação e aprovadas pela Diretoria.
As Requisições de acesso devem ser aprovadas em conjunto pela área requisitante e Tecnologia da Informação.
Todos os acessos ao ambiente de Rede, software de apoio, Sistemas e Dados na Frente Corretora
de Câmbio somente será feito após liberação
pelo departamento de Compliance.
4.
Padrões e
procedimentos de
Segurança da
Concessão de Acesso a Usuários, Registro, Manutenção e Verificação Periódica
Em função da amplitude dos acessos dos colaboradores que implementam e mantém a infraestrutura de tecnologia, sua contratação deve ser formalizada considerando a validação de perfil e idoneidade comprovados, e formalizado o seu direito de acesso e comprometimento com o sigilo de informações declarado em documento próprio, que autorize o monitoramento integral de suas atividades e comunicação, além de aceitar a responsabilidade sobre as ações que perpetrar no exercício das suas funções.
As funções de segurança exercidas pelos responsáveis pela Infraestrutura (Software e Hardware) são sujeitas a geração de Logs de atividades que serão armazenados de forma protegida e terão revisão independente pelo Gerente de TI.
5.
Gestão de Segurança
sobre Infraestrutura,
Software de Base,
Configuração e
Utilitários
Em função da amplitude dos acessos dos colaboradores que implementam e
mantém a infraestrutura de tecnologia, sua contratação deve ser formalizada
considerando a validação de perfil e idoneidade comprovados, e formalizado o seu direito de acesso e comprometimento com o sigilo de informações declarado em documento próprio, que autorize o
monitoramento integral de suas atividades e comunicação, além de aceitar a
responsabilidade sobre as ações que perpetrar no exercício das suas funções
Cuidados de Segurança na Comunicação de dados e voz
As mesas de operações, por tratarem diretamente com clientes e agentes autônomos, por isso sujeitas à necessidade de validação de termos dos negócios fechados, devem ter suas linhas telefônicas gravadas.
As gravações digitais são objeto de proteção de acesso somente a Diretores,
Compliance e à Gerência de TI sendo armazenados criptografados e para seu acesso nos casos de necessidade de esclarecimentos, será solicitado por escrito e aprovado pelo Diretor Operacional.
O acesso será feito em equipamento isolado e não poderão ser extraídos conteúdos destes.
Os colaboradores internos têm permissão para acessar o sistema de gravação para escutar somente as gravações de seus respectivos ramais mediante previa aprovação da área de Compliance.
5.
Gestão de Segurança
sobre Infraestrutura,
Software de Base,
Configuração e
Utilitários
Gestão de Segurança da Informação e Plano de Contingência
A responsabilidade final de todo Gestor de Processo ou Produto da Frente Corretora de Câmbio inclui a total responsabilidade sobre os sistemas e especialmente os Dados referentes a este processo ou produto.
Esta responsabilidade inclui o direito exclusivo de autorizar a usuários da sua ou de outras áreas o acesso a Sistemas e Dados referente ao mesmo e também a
responsabilidade pela parte correspondente no Plano de Continuidade de Negócios. Esta responsabilidade implica na necessidade de informar à Área de Compliance sobre mudanças importantes nos Sistemas, bases de Dados, pessoas chave no
processamento do processo ou produto e outras informações que já estejam consideradas no Plano de Continuidade de Negócios e seus componentes.
5.
Gestão de Segurança
sobre Infraestrutura,
Software de Base,
Configuração e
Utilitários
Registro, Proteção e Revisão de Registro de Eventos (Logs)
Os Sistemas, Utilitários como Gerenciador de Banco de Dados e outras Ferramentas de gestão de rede, especialmente as que acessam dados em Produção, geram Registro de operações sensíveis feitas pelo Suporte / Gestão de Infra, e é
fundamental que este Log seja mantido protegido de alteração e deleção. Deverá ser feita revisão periódica dos mesmos, quer diretamente, quer usando rotina de
extração de operações pontuais com software de extração e análise de dados.
Regras para Manuseio, Troca e Armazenamento de Dados
Não será permitido aos usuários extraírem diretamente informações, sem que seja formalizado um pedido, e aprovado pelo Gestor do Processo, Produto ou Setor,
devidamente justificado pelas necessidades funcionais do requisitante. Para garantir que esta restrição seja efetiva, serão bloqueados os dispositivos de leitura e gravação USB e a capacidade de gravação de Unidades de CD e DVD. Exceções será avaliada pelo gestor de TI e Compliance.
5.
Gestão de Segurança
sobre Infraestrutura,
Software de Base,
Configuração e
Utilitários
Controles de Mudanças, Ambientes (Desenvolvimento,
Homologação e Produção) e Implementação.
Os Sistemas aplicativos devem ser mantidos em Ambientes de Rede diferentes para Testes de Homologação (congelado) e de Produção, devidamente segregados e protegidos, com acessos concedidos dependendo dos papéis e direitos de acesso
diferenciados para movimentação entre ambientes, formalização de autorização destes direitos, log de acessos e ações.
Será formalizado um Processo de homologação e controles de versão, roll back e integração com o Plano de Continuidade de Negócios, sendo, também requerido que sejam mantidos Manuais de Sistemas, para fins de garantia de entendimento de suas funcionalidade e garantia de que possam ser mantidos e entendidos adequadamente.
Rotinas Não-Estruturadas
Sempre que necessário, as Rotinas que acessem / alterem Bancos de Dados e outros arquivos de Informações, deverão ser mantidos requisitos mínimos de controle como, backup, limitação de uso, retenção de fontes, e forte monitoramento de rotinas usadas no Ambiente de Produção, somente possível com as devidas aprovações de Gestor do Produto, Processo ou Área responsável pelo respectivo dado.
6.
Requisitos de
Segurança
aplicáveis aos
Programas
Aplicativos
Os Sistemas Aplicativos deverão conter módulos de Segurança responsável pela autenticação dos usuários que para acessá-lo e utilizá-lo deverão ser cadastrados associados a perfis que reflitam as suas necessidades funcionais, e a partir da aprovação do respectivo Gestor do Produto ou Processo ou Área. Na eventual falta de módulo de Segurança, deverão ser definidos, caso a caso, controles compensatórios suficientes que permitam efetiva validação que tenha sido preservada a necessária segregação de funções no lançamento e manutenção de operações nos sistemas.
Desenvolvimento de Aplicativos internamente ou Adquirido no Mercado
Será estabelecido um Processo para alterações de requisitos de segurança para
software houses, através de solicitação formal incluindo a necessidade de utilização de perfis de acesso manutenção da requerida segregação de funções e usados grupos para seu gerenciamento. A definição de cadastramento e manutenção de perfis e grupos será segregada de associação destes perfis aos usuários cadastrados por TI.
Teste de Sistemas
Os Sistemas Aplicativos deverão ser objeto de testes de suas funcionalidade e capacidade de executar as operações previstas, quando criados ou modificados, de acordo com uma rotina padronizada, com planejamento, documentação, tratamento de falhas de testes de sistemas e que foram os responsáveis pelas fases de testes,
devidamente registrados e identificados para garantir a rastreabilidade dos seus resultados.
6.
Requisitos de
Segurança
aplicáveis aos
Programas
Aplicativos
Os Sistemas Aplicativos deverão conter módulos de Segurança responsável pela autenticação dos usuários que para acessá-lo e utilizá-lo deverão ser cadastrados associados a perfis que reflitam as suas necessidades funcionais, e a partir da aprovação do respectivo Gestor do Produto ou Processo ou Área. Na eventual falta de módulo de Segurança, deverão ser definidos, caso a caso, controles compensatórios suficientes que permitam efetiva validação que tenha sido preservada a necessária segregação de funções no lançamento e manutenção de operações nos sistemas.
Desenvolvimento de Aplicativos internamente ou Adquirido no Mercado
7.
Inventário de
Bens de
Informação
Deverão ser realizados, em periodicidade a ser definida e divulgada pelo setor de Tecnologia da Informação, inventário de todos os bens de informação.
Estes itens serão objeto de classificação, pelo seu impacto para os negócios, entre alto, moderado e baixo, o que determinará, dentre outras finalidades a necessidade de controle sobre ela, a necessidade de
armazenamento em áreas de rede (ao invés de gravados em discos locais das estações dos usuários) e relevância para o Plano de Continuidade de Negócios.
8.
Antivírus
Todos os servidores e estações de trabalho serão protegidos pela instalação de software Antivírus sob- responsabilidade da Área de Tecnologia da Informação. A atualização do software será feita nos menores intervalos possíveis dependendo somente do possível impacto na disponibilidade e impacto no processamento para ser definido se será em tempo real ou em períodos definidos e monitorados por TI Não será permitido a nenhum usuário desabilitar o uso ou desinstalar o software Antivírus.
Deve ser objeto de divulgação aos usuários as melhores práticas preventivas relativas a anexos e links de mensagens de e-mail que são fonte de risco de contaminação por vírus.
9.
Software de
Automação de
Escritório
Os Softwares de Automação de Escritório e outros comerciais serão homologados e a lista destes estará disponível aos gestores para consulta e para solicitação de compra dos mesmos que será executada pela área de TI tanto para melhor negociação de preço como para manutenção de controle sobre eles.
Esta área também manterá o controle de licenças de uso destes programas, visando prevenir a violação da legislação de Direitos Autorais, cuja penalização pode ter impacto de alto valor monetário além de prejuízo quase incalculável à imagem da Organização.
Esta responsabilidade não exime os gestores de não realizarem a compra com manutenção de controles sobre Licenças, e aderência à padronização definida.
10.
Regras de Uso
Uso de Software Freeware e / ou Shareware
As áreas da Frente Corretora de Câmbio não poderão receber adquirir ou instalar software sob os regimes de propriedade Freeware ou Shareware sem que haja uma autorização pontual da área de Tecnologia da Informação. Na eventualidade de real necessidade de uso de algum, quando não exista no mercado um software
comercial homologado ou seja economicamente inviável a aquisição de um, poderão ser avaliadas possíveis exceções e se aprovados, somente a área de TI poderá realizar a sua obtenção (por download ou outra forma) e instalação nas estações de trabalho.
Acesso e uso da Internet
O Acesso será definido caso a caso pela área de Tecnologia da Informação e
somente liberado mediante requisição dos Gestores das áreas interessadas com a aprovação da respectiva Diretoria.
Os usuários serão orientados quanto à negação de acesso a sites inadequados à atuação profissional no ambiente da Frente Corretora de Câmbio, além de sites que possam envolver a Corretora em atividades ou manifestações ilegais, racistas, ou contrárias às regras de civilidade.
Os colaboradores manifestarão a concordância com as restrições e monitoramento que a Frente Corretora de Câmbio considerar necessários para cumprimento destas Regras de Acesso através da assinatura do contrato e esclarecimento das penalidades a que estarão sujeitos em caso da violação desta Norma.
10.
Regras de Uso
Regras de uso de E-mailDeverá ser feita exclusivamente para objetivos profissionais dos colaboradores, devendo ser evitado o uso em caráter totalmente pessoal especialmente circulação de correntes, mensagens de cunho ilegal ou ofensivo, envio e recebimento de
anexos que possam representem violação de direitos de propriedade intelectual e disseminação de informação não autorizada ou restrita da Corretora.
Padronização de Assinaturas
Será padronizada a forma das Assinaturas de Mensagens de Correio Eletrônico assim como será obrigatória à inserção de mensagem orientando destinatários sobre limitação de responsabilidade da Frente sobre o conteúdo das mensagens. Esta nota será inserida em modelo pela área de Tecnologia da Informação e não poderão ser removidas pelos usuários. Nos termos do Termo de Responsabilidade citado anteriormente.
10.
Regras de Uso
Utilização de Mídias e Ópticas
As mídias armazenamento permanente ou temporário de informações devem ter tratamento seguro para as situações de descarte, retenção, restrições e condições para outros casos, visando proteger a Corretora de exposição não autorizada de informações que tenham sido gravadas nelas, ainda que tenham sido apagadas logicamente.
Tal tratamento seguro inclui o apagamento físico de informações em Midas como Hard Disks que venha a ser enviados para reparo técnico ou outra forma de envio para locais externos.
Utilização de equipamentos Periféricos
Todos os equipamentos periféricos devem ser homologados pela área de Tecnologia da Informação e deverá ser priorizado o uso seguro de impressoras e material
impresso.
No uso cotidiano todos os Usuários devem adotar a opção de time-out nas estações de trabalho, ou seja ativar a Proteção de tela do Windows protegida por senha, de modo que em ausência maior que 10 minutos, seja ativada esta proteção, salvo exceção mesa que possuam terminais de operações.
10.
Regras de Uso
Redes wireless
A corretora possui uma rede sem fio configurada para comodidade e flexibilidade em acessos de natureza específica ou extraordinária.
O acesso a esta rede só será permitido mediante solicitação documentada ao departamento de TI e posterior aprovação por parte da autoridade competente. A rede sem fio da corretora não permite acesso aos recursos de rede local, sua utilização visa exclusivamente o acesso a internet, de forma irrestrita.
O controle de acesso se dará por senha criptografada que deverá ser alterada a cada 30 dias, nunca se repetindo.
Acesso remoto
É de uso exclusivo de funcionários de TI e colaboradores registrados mediante contrato para fins de instalação ou manutenção de sistemas. Deverá ser feito mediante conexões SSH encriptadas ou sessões de conexão remota (VNC, Remote Desktop e similares).
O acesso a esta funcionalidade só será permitido mediante solicitação documentada ao departamento de TI e posterior aprovação por parte da autoridade competente. Os colaboradores autorizados a utilizarem este serviço devem assinar termo de responsabilidade e de confidencialidade para posterior liberação de acesso. No caso de serviços de manutenção permanente, as senhas de acesso devem ser trocadas periodicamente.
10.
Regras de Uso
Backup
O backup dos servidores de aplicações crítica são realizados a quente ( hot backup ) no intervalo diário e replicados em backup site em sua totalidade.
Todos os arquivos dos usuários deveram ser mantidos em drive de rede sendo de responsabilidade do próprio usuário a cópia e guarda do arquivo. A restauração dos arquivos salvos em rede será avaliada mediante solicitação por escrito do usuário ou supervisor.
Processo de Gravação de Voz
A solicitação para a escuta de gravações deve ser formalizada pelas gerencias para a área de Compliance, que por sua vez pode solicitar a área de TI a gravação em meio magnético.
As gravações só poderão ser reproduzidas para os clientes na dependência da corretora em caso de solicitação formal da ouvidoria ou Compliance, e não poderão ser enviadas por e-mail, gravadas em meio magnético a fim de retirada, salvo solicitação dos órgãos reguladores ou de justiça.
11.
Referências
Normativas
Banco Central do Brasil• Resolução 4.658 de 26/04/2018 - Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e
armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
• Resolução 2.554 de 24/09/1998 – Dispõe sobre a implementação e implantação de sistema de Controles Internos.
Importante: os requerimentos legais
devem sempre ser consultados os sítios oficiais, para obtenção da versão mais atualizada em cada momento.
