Linhas Gerais da Política de Segurança Cibernética
Resolução CMN nº 4893/2021
Standard Chartered Representações Brasil
1. INTRODUÇÃO
O Standard Chartered Representações Brasil é um escritório de representação do Standard Chartered PLC (Grupo) e está alinhado com as diretrizes do Grupo que estabelece divulgar ao público sua Política de Segurança Cibernética.
Este é um resumo contendo as linhas gerais da Política de Segurança Cibernética do Standard Chartered Representações Brasil, em cumprimento à Resolução nº 4.893 do Banco Central do Brasil (“BACEN”), de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
2. VIGÊNCIA
Esta Política é revisada anualmente ou, quando necessário, caso haja alguma mudança nas normas do Grupo, alteração de diretrizes de segurança da informação, objetivos de negócio ou se requerido por legislação ou pelo regulador local.
3. OBJETIVO
A Política de Segurança da Informação e Cibernética estabelece as regras, procedimentos e controles de segurança adotadas pelo Grupo para tratar dos requisitos de privacidade, integridade e disponibilidade das informações, seu uso e do funcionamento da infraestrutura de tecnologia.
A informação é um dos principais ativos de negócio com alto valor para o Grupo e, consequentemente, necessita ser adequadamente protegida. A matriz de políticas de segurança estabelecidas pelo Grupo tem por objetivo proteger a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizando os riscos de danos.
4. PRINCÍPIOS
A proteção e privacidade dos dados de clientes refletem os valores do Grupo e reafirmam nosso compromisso com a melhoria contínua na eficácia dos processos de proteção de dados. A Política de Segurança da Informação e Cibernética é caracterizada pela preservação dos princípios a seguir.
Confidencialidade: é a garantia de que a informação é acessível somente a pessoas com acesso autorizado.
Integridade: é a salvaguarda da exatidão da informação e dos métodos de processamento.
Disponibilidade: é a garantia que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.
Segregação: É o acesso restrito e controlado dos usuários à uma determinada informação.
Os documentos da Política de Segurança da Informação e Cibernética e a Estrutura de Tipo de Risco estabelecem a abordagem geral de gerenciamento de risco dentro do Grupo.
O risco da Política de Segurança da Informação e Cibernética é definido como o risco para o grupo de ativos, operações e indivíduos devido ao potencial risco de acesso não autorizado, uso, divulgação, interrupção, modificação, ou destruição dos ativos de informação e/ou sistemas de informação.
4.1 Gestão de Risco
O Grupo atribui responsabilidades na Política de Segurança da Informação e Cibernética e na Estrutura de Tipo de Risco de uma forma consistente com as Três Linhas de Modelo de Defesa prescritas pela estrutura de gerenciamento de riscos do Grupo.
A Política de Segurança da Informação e Cibernética e a Estrutura de Tipo de Risco é construída sobre uma abordagem baseada no risco, ou seja, os planos e processos de gestão de risco, atividades e as atribuições de recursos são determinadas e priorizadas de acordo com o nível de risco;
A Política de Segurança da Informação e Cibernética e a Estrutura de Tipo de Risco considera processos e ferramentas que são voltados para o futuro. Eles devem ser repetíveis, sustentáveis e antecipar as necessidades futuras.
Todas as partes do Grupo, incluindo as empresas, darão a devida atenção à gestão do risco da Política de Informação e Segurança Cibernética como base para suas escolhas estratégicas e/ou tomada de decisões.
- Diretrizes da Política de Segurança da Informação e Cibernética
A Diretoria e executivos se comprometem a conduzir uma cultura de excelência em segurança e uma sólida governança de eficácia no controle, devendo observar as seguintes diretrizes:
- As empresas do Grupo são responsáveis pela identificação e gestão dos riscos da Informação e Segurança Cibernética.
- Incorporar segurança e resiliência por projeto, automatizando processos para impulsionar a eficiência sempre que possível.
- Incorporar segurança em cada etapa da jornada do cliente para proteger os ativos de informações do Grupo e de nossos clientes, apoiando a infraestrutura tecnológica e serviços.
- Assegurar que os ativos do Grupo, Ativos de Informação, Sistemas de Informação e Infraestrutura Tecnológica, sejam identificados, classificados pelo impacto de uma perda de Confidencialidade, Integridade e Disponibilidade e atribuído a um proprietário responsável.
- Assegurar que os ativos de Informação estejam em conformidade com a Política e os padrões do Grupo.
- Incorporar processos para identificar e gerenciar os pontos fracos de controle e garantir que a varredura de horizonte ocorra para identificar as ameaças emergentes e as lacunas de controle.
- Assegurar que os colaboradores sejam adequadamente treinados para usarem com segurança os Ativos, Sistemas e a Infraestrutura de Tecnologia da Informação e monitorar seu uso para detectar e relatar possíveis incidentes de segurança.
- Terceiros que utilizam ou processam ativos de informação, sistemas ou infraestrutura tecnológica do grupo devem cumprir a Política e as Normas.
- Incidentes que afetam os Ativos de Informação, Sistemas de Informação, Aplicativos ou Infraestrutura de Tecnologia do Grupo são identificados e gerenciados com uma mentalidade centrada no cliente.
- As lições aprendidas com os incidentes de Informação e Segurança Cibernética e as mitigações de risco passadas são incorporadas aos planos de gerenciamento de riscos futuros.
5. RESPONSABILIDADES
5.1 Exigências aplicáveis aos colaboradores:
- Manter a segurança (Confidencialidade, Integridade e Disponibilidade) dos Ativos de Informação que manuseiam e a segurança dos Equipamentos de TI e Dispositivos Móveis sob sua custódia e/ou Sistemas confiados aos seus cuidados.
- Concluir todos os treinamentos obrigatórios de segurança cibernética.
- Cumprir os requisitos de mesa limpa.
- O uso dos Ativos e Sistemas de Informações do Grupo deve estar de acordo com a Estrutura de Risco de Conduta do Grupo e quaisquer controles adicionais, conforme definido pelo Proprietário dos Ativos/Sistemas de Informações.
- Relatar todos os incidentes de informação e segurança cibernética que identificarem o mais rápido possível ao Helpdesk de TI ou ao Centro de Cyber Defesa.
- Não processar informações do grupo classificadas como internas, confidenciais ou restritas em sistemas que não sejam aprovados para uso em todo o Grupo;
- Classificar e rotular as informações do grupo quando são criadas e/ou usadas por meio do emprego dos níveis de classificação das informações do Grupo e as informações do grupo são retidas ou destruídas em alinhamento com a política de gerenciamento de registros do grupo.
- Proteger as informações do grupo de acordo com seus níveis de classificação, sempre que forem transmitidas pelas redes.
- Proteger as informações do grupo usadas para autenticação nos sistemas. Por exemplo: Senha, PIN, fatores extras de autenticação.
5.2 Exigências aplicáveis aos líderes:
- Os Líderes devem assegurar que seus colaboradores completem o treinamento obrigatório de Segurança da Informação e Cibernética.
- Os Líderes devem assegurar que seu pessoal cumpra com os requisitos de mesa limpa.
- Os Líderes devem assegurar que seus funcionários tenham acesso aos sistemas que precisam apenas para realizar seu papel e que o acesso seja revogado quando não for mais necessário.
- Os Líderes devem assegurar que seu pessoal cumpra a Estrutura de Risco de Conduta do Grupo ao processar e manuseio de informações de grupo e utilização de sistemas.
6. POLÍTICAS ESPECÍFICAS DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
Como parte de sua estratégica de segurança cibernética, o Grupo adota as seguintes políticas específicas:
6.1 Malware
A política Anti-Malware exige que controles anti-malware adequados sejam implementados para proteger todos os Ativos de Informação, Sistemas de Informação e Infraestrutura Tecnológica que compõem a rede do grupo.
6.2 Segurança nas Aplicações
A Política de Segurança nas aplicações define os requisitos mínimos de segurança para todas as Aplicações do Grupo.
A definição dos requisitos de segurança é uma parte crítica do desenvolvimento de uma Aplicação, a fim de evitar a insegurança nas soluções desde a concepção até a produção. As aplicações do Grupo são desenvolvidas e implantadas com uma integração antecipada dos requisitos de segurança para serem menos suscetíveis a vulnerabilidades de segurança.
6.3 Serviços de Cloud
Esta Política de Segurança define os requisitos de controle para a seleção, uso e encerramento do Cloud Serviços no Grupo.
Os Serviços de Cloud constituem um modelo que permite o acesso por demanda a um leque de recursos computacionais, tais como redes, servidores, armazenamento, aplicações e serviços. Os recursos computacionais podem ser rapidamente provisionados e liberados com base na demanda, e os requisitos de segurança do Grupo devem ser empregados sempre que houver recursos em Cloud envolvidos.
6.4 Criptografia
O objetivo desta política é proteger a confidencialidade e a integridade dos dados durante o armazenamento através de controles criptográficos, bem como durante a transmissão e confirmar a identidade do originador das transações ou comunicações.
Os dados são protegidos usando técnicas de criptografia/descriptografia. Tais técnicas garantem que os dados só possam ser lidos pelo(s) usuário(s) autorizado(s) com base na necessidade de conhecimento. A força das soluções criptográficas depende em grande parte de seu projeto, construção e do tamanho de suas chaves.
6.5 Prevenção de Vazamento de Dados
Esta Política de Segurança define os requisitos de controle para o estabelecimento e manutenção da prevenção de vazamento de dados [“DLP”] no Grupo.
As informações do Grupo são seu ativo mais valioso depois das pessoas. As soluções DLP oferecem uma capacidade multifacetada que fornece uma visão da localização, fluxo e uso das Informações do Grupo. Isso aumenta significativamente a capacidade do Grupo de avaliar e gerenciar os riscos de suas informações críticas. O planejamento e a preparação cuidadosos, a comunicação e o treinamento de conscientização são fundamentais para o programa DLP do Grupo.
6.6 Ativos
Esta Política de Segurança estabelece que cada Unidade de Negócios deve manter um inventário atualizado dos Ativos de Informação e Sistemas de Informação.
Os responsáveis por sistemas de informação devem assegurar que as normas do Grupo aplicáveis a seus sistemas de informação sejam aplicadas.
O acesso aos ativos de informações confidenciais, incluindo dados pessoais, coletadas e armazenadas pelo Grupo é restrito aos profissionais autorizados ao uso direto dessas informações, e necessário à prestação de seus serviços, sendo limitado o uso para outras tarefas, devendo respeitar, ainda, o disposto na Norma de Classificação da Informação Crítica e metodologias estabelecidas pelo Grupo.
6.7 Armazenamento de dados e backup
Esta Política de Segurança define os requisitos de controle a serem seguidos durante a seleção, implementação e operação dos dispositivos de Armazenamento de Dados e Backup usados para armazenar as Informações do Grupo, cujo componente é vital armazenar e gerenciar os dados de maneira eficiente e segura.
A Política estabelece que os dispositivos de armazenamento e backup devem ser configurados com segurança para proteger as informações do grupo em todos os momentos e os backups devem ser feitos de uma maneira que permita a continuidade e recuperação dos negócios em situação de emergência.
Com efeito, a Política deve ser seguida em conjunto com os requisitos de retenção e destruição de registros, conforme definido na Política de Gerenciamento de Registros de Grupo.
6.8 Gerenciamento de certificados digitais
Esta Política de Segurança define os requisitos de controle dos Certificados Digitais para o estabelecimento de conectividade, autenticação, assinatura de código e assinatura digital no Grupo.
O objetivo de uma infraestrutura de chave pública [“PKI”]) é a troca de confiança, entre as partes que não conhece uns aos outros. A PKI se baseia no conceito de ter confiança nas entidades porque elas são confiadas por uma entidade que é confiável.
6.9 Gerenciamento de Identidade e Acesso
Esta Política de Segurança define os requisitos de Gerenciamento de Identidade e Acesso [“IAM”] para os Ativos de Informação, Sistemas de Informação e Infraestrutura de Tecnologia de propriedade do Grupo e utilizados pelo Grupo.
O Gerenciamento de Identidade e Acesso fornece acesso controlado permitindo que Funcionários, Clientes e Fornecedores realizem seus negócios enquanto protegem os Ativos de Informação, Sistemas de Informação e Infraestrutura de Tecnologia da Informação do Grupo contra acesso não autorizado e inadequado.
6.10 Classificação da Informação
Esta Política de Segurança define os requisitos de controle para todos os Sistemas de Informação e Informação dentro do Grupo.
A Classificação da Informação é a aplicação de ‘etiquetas’ aos Ativos, Sistemas de Informação e Informação que permitem ao Grupo identificar suas informações mais importantes que, por sua vez, determinam quais controles são implantados.
A classificação das informações é importante, pois constitui a base central para determinar os controles necessário para proteger as informações no nível correto. A classificação não só garante que estamos fornecendo o mais alto nível de proteção para as informações que precisam de proteção, mas também garante que os recursos sejam priorizados com base no nível de classificação.
6.11 Tratamento da Informação
Esta Política de Segurança define os requisitos de controle para todos os Sistemas de Informação e Informação dentro do Grupo.
O tratamento de informações é a criação, aquisição, envio, recebimento, armazenamento, processamento e destruição de todas as informações, sejam elas em formato físico ou eletrônico. É tratada por pessoas, Sistemas de Informação, processos, fornecedores e controles devem ser aplicados de acordo com cada um deles.
6.12 Conscientização e Treinamento em Segurança da Informação
O cibercrime é um dos riscos de crescimento mais rápido em todo o mundo e os funcionários estão enfrentando cada vez mais sofisticados ataques de fraudadores que procuram usar técnicas de engenharia social para extrair dados do Grupo que pode ser usado para ganho externo. Além disso, é amplamente aceito e reconhecido que uma maioria de violações são o resultado de erro humano. Isto faz com que a Conscientização e Treinamento de Segurança seja transversal a todos os funcionários, Clientes, trabalhadores não-empregados e terceiros.
6.13 Segurança de dispositivos móveis
Esta Política de Segurança define os requisitos de controle para a seleção, aplicação e configuração de Dispositivos móveis e controles de armazenamento portátil no Grupo.
O objetivo desta Política de Segurança é garantir que os Dispositivos Móveis e Dispositivos Portáteis de Armazenamento não comprometam a segurança das Informações armazenadas ou processadas por eles e impeçam o acesso não autorizado às Informações no caso de serem perdidas ou roubadas.
6.14 Gerenciamento de segurança de rede
Esta Política de Segurança define os requisitos de controle para estabelecer e manter uma infraestrutura de rede segura.
Um dos principais componentes da segurança da rede é a segmentação da rede. A segmentação de rede é o isolamento do tráfego em compartimentos gerenciáveis distintos, o que reduz a quantidade de exposição caso um ataque seja bem-sucedido e os ativos sejam comprometidos. A segmentação também permite um gerenciamento aprimorado de acesso à rede.
6.15 Gerenciamento de Dados de Cartões de Pagamento
Esta Política de Segurança define os requisitos de controle para os Sistemas de Informação e Infraestrutura tecnológica que processa dados de cartões de pagamento.
O Grupo é um banco emissor e adquirente e, portanto, é imperativo que controles de segurança rigorosos sejam implementados. Os controles de segurança que não são exigidos ou implantados de forma adequada permitiriam vulnerabilidades nos sistemas de cartão de pagamento que poderiam ser exploradas por criminosos.
6.16 Gerenciamento de configuração segura
Esta Política de Segurança define os requisitos mínimos de controle para a Configuração e Gerenciamento Seguro de Sistemas de Informação e Infraestrutura de Tecnologia.
O gerenciamento seguro da configuração é importante, pois essas configurações fornecem um controle chave na proteção das informações em trânsito e enquanto estão sendo armazenadas no ambiente do Grupo. Aplicar as configurações corretas reduz a probabilidade de acesso não autorizado a esses sistemas de informação e infraestruturas de tecnologia.
6.17 Descomissionamento e Destruição Seguros
Esta Política de Segurança, que faz parte da Política de Segurança da Informação e Cibernética do Grupo, define os requisitos de controle para o descomissionamento seguro das informações do grupo Sistemas e/ou destruição de informações do Grupo que existem dentro de dispositivos eletrônicos de armazenamento e em formatos não-eletrônicos [papel].
6.18 Tratamento seguro dos dados de produção
Esta Política de Segurança define os requisitos mínimos de controle para o manuseio seguro dos Ativos de Informação do Grupo ao serem utilizados para fins de teste.
O uso de dados de Produção dentro de um ambiente que não seja de Produção, se necessário, oferece garantia ao Negócio e aos Líderes de Teste que o Sistema de Informação que está sendo testado está processando Informação e funcionalidade conforme pretendido.
6.19 Segurança nas Interações com Terceiros
Esta Política de Segurança estabelece as informações mínimas e requisitos de segurança cibernética a serem cumpridos enquanto envolvem Terceiros que devem ter acesso às Informações do Grupo durante o fornecimento do contrato de serviços para o Grupo.
Esta Política é importante porque a conformidade de Terceiros com nossos controles de segurança reduz o risco de incidentes de segurança e ajuda a garantir que o Grupo mantenha a confiança de todas as partes interessadas relevantes. Também ajuda a identificar as áreas onde essas partes não atendem aos nossos requisitos, para que as avaliações de risco apropriadas possam ser realizadas.
6.20 Registro de logs e Monitoramento de Segurança
O registro e monitoramento é um dos principais aspectos da Política de Segurança da Informação e Cibernética, pois suporta tanto mecanismos de prevenção quanto de detecção. Quando definido e implantado de forma eficaz, pode evitar questões e problemas ou limitar os danos no caso de ocorrência de ameaça perigosa ou maliciosa.
A Política também garante que a retenção precisa seja aplicada para garantir que os dados históricos estejam disponíveis quando necessário.
6.21 Gerenciamento de patches de segurança
O gerenciamento de patches de segurança envolve a identificação, avaliação, priorização, teste e implantação de patches de segurança.
Esta Política de Segurança define os controles necessários para vulnerabilidades de Patches de Segurança em Sistemas de Informação e Infraestrutura de Tecnologia do Grupo.
6.22 Terminal de Autoatendimento
Esta Política de Segurança define os requisitos de controle para proteger os Terminais de Autoatendimento.
Os terminais de autoatendimento permitem que os clientes realizem transações financeiras, como retiradas e depósitos de dinheiro, consultas, transferências e pagamentos de contas. Proteger esses terminais de autoatendimento é importante porque eles são vulneráveis a uma ampla variedade de ataques, desde roubo de identidade e fraude de cartão até adulteração de máquinas para retirada de dinheiro diretamente.
Os Terminais de Autoatendimento realizam operações comerciais críticas e são a face externa para a prestação de serviços aos nossos clientes. Como tal, é vital que as operações possam ser realizadas com segurança e sem interrupção não planejada e tempo de inatividade.
6.23 Gerenciamento de máquinas autônomas
Esta Política de Segurança define os requisitos de controle para todos os Sistemas de Informação e Infraestrutura de Tecnologia dentro do Grupo que não estão conectados à rede do Grupo e são, portanto, denominados ‘Máquinas Autônomas’.
Máquinas Autônomas são usadas para várias funções dentro do Grupo e o uso e tipo de externo a conectividade determinará o nível de risco que a Máquina apresenta ao Grupo em termos do tipo de dados que entram e saem da Máquina.
6.24 Armazenamento de dados não estruturados
Esta Política de Segurança define os requisitos de controle para Armazenamento de Dados Não Estruturados.
Armazenamento de dados não estruturados é o armazenamento de informações, ou dados, em que a localização e a nomenclatura dos arquivos são determinadas manualmente. Um elemento de armazenamento é o ‘contêiner’ para dados não estruturados que está sujeito a controles de acesso com proprietários atribuídos individualmente.
6.25 Identificação e gerenciamento de vulnerabilidade
Esta Política de Segurança define os requisitos de controle para a seleção, aplicação e operação dos controles de Identificação e Gerenciamento de Vulnerabilidade no banco.
A identificação da vulnerabilidade é importante porque ajuda a verificar controles, configurações e patches, e os resultados dessas verificações identificam vulnerabilidades que podem ser avaliadas e gerenciadas, reduzindo assim a exposição do Grupo a ameaças.
6.26 Filtragem da Web
Esta Política de Segurança define os requisitos de controle para implementação e gerenciamento de controles de Filtragem da Web.
A Filtragem da Web é importante porque aumenta o nível de proteção associado à rede do Grupo, garantindo que apenas sites com conteúdo identificado como “seguro” possam ser acessados e melhora indiretamente a produtividade geral, minimizando o abuso da Internet.
6.27 Avaliação de risco
Esta Política de Avaliação de Risco baseado em Cenário de Ameaça fornece orientação e instruções detalhadas de governança para operacionalizar a identificação e relatório de riscos de Segurança da Informação e Cibernética.
O risco de Segurança da Informação e Cibernética é definido como “o risco para os ativos, operações e indivíduos do Grupo devido ao potencial de acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de informação e/ou sistemas de informação”.
A avaliação do risco residual requer a análise do risco inerente, com base em ameaças aos ativos, no contexto do ambiente de controle do Grupo. Esta norma visa produzir uma forma padronizada e repetível de avaliar este Risco Residual, a fim de facilitar o desenvolvimento e manutenção de controles apropriados.
6.28 Privacy by Design
Esta Diretriz fornece mais detalhes sobre referências na Política de Privacidade do Grupo, a “Privacidade por projeto” e “Avaliações de impacto na privacidade” (PIAs). Esta Diretriz é um dos vários documentos disponíveis para ajudar os colaboradores a entender como cumprir as obrigações de Privacidade.
Esta Diretriz deve ser seguida por todos os colaboradores das filiais e subsidiárias do Grupo que processam Dados Pessoais. A Diretriz está alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) como padrão para o Grupo e se baseia em boas práticas reconhecidas da indústria.
6.29 Gerenciamento de dados
Esta Política de Segurança trata das principais obrigações regulatórias do Grupo em relação ao Gerenciamento de Dados, e é mapeada para o subtipo de risco de Gerenciamento de Dados dentro do Tipo de Risco de Conformidade.
O gerenciamento efetivo de dados é uma obrigação reguladora, um capacitador das prioridades estratégicas do Grupo e uma base para construir a confiança do cliente alinhada com nossa promessa de marca de excelência.
Ao gerenciar dados de forma eficaz, o Grupo pode realizar sua ambição de ser uma organização voltada para os dados, que aproveita os dados e as análises para tomar decisões comerciais e servir melhor nosso cliente.
6.30 Contratos
A Política de Contratos de Grupo estabelece a declaração de política obrigatória que deve ser cumprida quando da celebração de contratos em nome do Grupo, e se aplica a todos os Contratos firmados pelo Grupo.
A política também define os requisitos de gerenciamento do risco de força Jurídica, que é um Subtipo de Risco de propriedade de se enquadra na Estrutura do Tipo de Risco Operacional. O Subtipo de Risco de Força Jurídica é definido como o potencial de perda devido à dificuldade em fazer valer os direitos contratuais do Grupo.
6.31 Risco Operacional
O Risco Operacional é uma parte inerente dos negócios do Grupo e é definido como a “Potencial de perda por processos internos inadequados ou falhos, eventos tecnológicos, erro humano ou pelo impacto de eventos externos (incluindo riscos legais)”.
A Estrutura de Risco Operacional define as funções e responsabilidades para a administração de risco operacional em todo o Grupo e os processos para identificar, avaliar, gerenciar, mitigar, monitorar, reportar e escalar os riscos operacionais e tecnológicos, para gerenciar o risco do Grupo.