Política
Segurança da Informação e Cibernética
1. Objetivo
Estabelecer diretrizes que permitam à Zoop proteger seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação e Cibernética.2. Referências
A presente Política foi elaborada com base na (i) Resolução do Banco Central do Brasil nº 85/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil; (ii) Resolução BCB nº 198/2022, que dispõe sobre o requerimento mínimo de Patrimônio de Referência de Instituição de Pagamento não integrante de conglomerado prudencial, e sobre a metodologia de apuração desses requerimentos e a respectiva estrutura de gerenciamento contínuo de riscos; (iii) ABNT NBR ISO 27001, norma padrão e a referência Internacional para a gestão da Segurança da informação; e (i) Política de Consequências da Zoop.3. Abrangência
Todos os colaboradores, parceiros e prestadores de serviço terceirizados.4. Definições
4.1. Siglas
Bacen ou BC: Banco Central do BrasilSIEM: Gerenciamento e Correlação de Eventos de Segurança
CLT: Consolidação das Leis do Trabalho
CMN: Conselho Monetário Nacional
PCI: Payment Card Industry
Comex: Comitê da Diretoria Executiva
5. Diretrizes
5.1. Estrutura da Área
Alinhado com as estratégias internas de Tecnologia da Informação e com as melhores práticas de Segurança da Informação, foram analisados os diversos padrões que poderiam atender às necessidades de proteção das informações da empresa.Foram eleitas as normas NBR ISO IEC 27001 e 27002, bem como os padrões PCI e requerimentos Bacen, com o objetivo de implementar não apenas os controles tecnológicos, mas também os controles de processo, garantindo assim a governança na implementação do Sistema de Gestão da Segurança da Informação da Zoop.
A estrutura organizacional montada reflete a seleção de controles da gestão de segurança e é baseada no resultado da Avaliação de Riscos, nas orientações dos acionistas, no diagnóstico realizado, nos aspectos culturais da Zoop e na legislação pertinente.
A equipe de Segurança da Informação é uma gerência alocada na estrutura de Tecnologia da Zoop, sob a nomenclatura Security, conforme apresentado no organograma a seguir.
5.1.1. Implementação e Operação da Área de Segurança da Informação
Com base no Sistema de Gestão da Segurança da Informação, a Zoop:- Formula um plano de tratamento de risco que identifica a ação apropriada a ser adotada pela direção, os recursos e as responsabilidades e prioridades para o gerenciamento dos riscos relacionados com a segurança da informação;
- Implementa o plano para o tratamento de pontos de auditoria que estejam sob responsabilidade da área, para atender aos objetivos de controle identificados;
- Implementa os controles selecionados para atender aos objetivos de controle;
- Define como medir a eficácia dos controles ou grupos de controle selecionados e específica como essas medidas são usadas para avaliar a eficácia dos controles, visando produzir resultados comparáveis e reproduzíveis;
- Define o escopo, os limites da área e os processos envolvidos, em termos das características do negócio, da organização, da localização, dos ativos e da tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo de controles
- Implementa tecnologias para identificar tentativas e violações de segurança da informação, bem-sucedidas ou não, além de incidentes de segurança da informação;
- Contribui com tecnologias e processos para detectar eventos de segurança da informação e assim prevenir os incidentes de segurança da informação pelo uso dos indicadores;
- Realiza, a cada seis meses, a análise crítica da eficácia dos controles, por meio do Comitê de Segurança da Informação, para garantir que o escopo permanece adequado e que melhorias no processo de gestão de segurança são identificadas e implementadas;
- Gerencia as operações de Segurança da Informação;
- Gerencia os recursos de tecnologia sob sua custódia; e
- Implementa Políticas, Padrões e Procedimentos e outros controles que sejam capazes de permitir a pronta detecção de eventos de segurança da informação e a resposta a incidentes de segurança da informação.
5.2. Papéis e Responsabilidades
Os papeis e reponsabilidades relacionados a esta Política estão estabelecidas abaixo.5.2.1. Segurança da Informação
5.2.1.1. Defensive Security Team
Responsável pelo monitoramento de ameaças e comportamentos anômalos, bem como acesso aos dados. Investiga, analisa e responde a incidentes cibernéticos no ambiente Zoop. Gerencia o SOC (Security Operations Center), que monitora o ambiente 24x7x365 e analisa os alertas e as informações de segurança, distribuindo para as equipes apropriadas. Define, documenta e distribui procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam abordadas de modo eficiente.5.2.1.2. Integration Team
Assegura que os requisitos de segurança necessários para proteger a missão e os processos comerciais da organização sejam adequadamente abordados em todos os aspectos da arquitetura sistêmica, incluindo modelos de referência, arquiteturas de segmento e de solução conforme as melhores práticas de segurança.5.2.1.3. It Corp Team
Responsável por todo apoio ao usuário final, desde o suporte técnico até orientações para o uso das ferramentas utilizadas na Zoop.5.2.1.4. Identity & Access Management
Responsável pelo ciclo de vida dos acessos de todos os colaboradores e terceiros, bem como pelo cumprimento das melhores práticas. Administra as contas dos usuários, incluindo adições, exclusões e modificações. Controla o acesso aos sistemas e dados por meio de perfis apropriados.5.2.1.5. ADVISORY TEAM
Conduz avaliações de normativas e técnicas quanto aos controles de segurança em âmbito corporativo, gerencia os riscos associados à segurança da informação, pontos de auditorias, projetos de compliance e adequação às leis e gerencia os indicadores de segurança, promovendo a melhoria contínua do processo e conscientização. Define, documenta e distribui políticas e procedimentos de segurança.5.2.2. Administradores(as) e Colaboradores(as)
É dever dos administradores(as) e colaboradores(as) da Zoop:- i. Observar e zelar pelo cumprimento da presente Política, estando ciente formalmente das diretrizes estabelecidas e, quando assim se fizer necessário, acionar o responsável pela área de segurança da informação para consultas sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas;
- Cumprir as leis e normas que regulamentem os aspectos de propriedade intelectual e uso de dados, como zelar pela proteção dos dados confidenciais (dados pessoais, sensíveis, financeiros – inclusive dados de cartão, estratégicos ou protegidos por lei) da Zoop ou dados que estiverem sob sua responsabilidade durante o seu tratamento;
- Reportar à equipe de Segurança da Informação de forma tempestiva qualquer evento suspeito que possa comprometer o ambiente da Zoop ou que configure uma violação à Política de Segurança da Informação e Cibernética;
- Sugerir, recomendar e verificar a implementação das melhores práticas de segurança em todos os processos de sua responsabilidade;
- Utilizar responsavelmente e para fins de trabalho, de forma profissional, ética e legal os ativos de tecnologia da informação;
- Proteger as informações contra acesso, modificação, destruição ou divulgação não autorizada;
- Compreender o papel da segurança da informação em suas atividades diárias e participar dos programas de conscientização.
5.2.3. Diretor Responsável por Segurança da Informação
É dever do Diretor responsável por Segurança da Informação:- Cumprir e zelar pelo cumprimento das diretrizes desta Política alinhada à Resolução do Banco Central do Brasil Nº 85/2021, bem como demais normativos internos correlatos e suas respectivas atualizações; e
- Atender e cumprir as demandas dos órgãos reguladores relacionadas à Segurança da Informação.
5.2.4. Compliance e Segurança da Informação
É dever da área de Compliance e Segurança da Informação, em conjunto, realizar a atualização dos normativos internos relacionados à Segurança da Informação, assegurando a sua conformidade com as leis e regulamentações aplicáveis.5.2.5. Comitê Executivo e Comitê de Segurança da Informação
É dever do Comitê da Diretoria Executiva (COMEX) e do Comitê de Segurança da Informação da Zoop garantir a proteção dos dados de cartão e a conformidade com o Programa PCI DSS, fornecendo os recursos necessários para essa adequação.Nos casos em que haja necessidade de contato com autoridades por irregularidades relacionadas à Segurança da Informação (por exemplo, no caso de suspeita de que a lei foi violada), haverá primeiramente exposição dos fatos ao Comitê de Segurança da Informação e posterior deliberação do Comitê de Compliance/Comitê da Diretoria Executiva da instituição, que, em conjunto com o time jurídico e de compliance, definirão os responsáveis por esta comunicação e a forma como ela será feita, com base na Política de Consequências da Zoop.
Todos os Comitês mencionados acima têm suas diretrizes estabelecidas nos seus respectivos Regimentos Internos, disponível para conhecimento dos colaboradores da Zoop no repositório corporativo de normativos internos.
Os materiais de apresentação aos Comitês, assim como as pautas correspondentes, devem ser repassados à equipe de Governança Societária (gerência jurídica e de compliance) com antecedência para organização das reuniões e para a distribuição do material aos integrantes e eventuais convidados.
5.3. Ativos de Segurança da Informação
Para garantir a segurança das informações, os seguintes pilares devem ser respeitados e considerados em toda tomada de decisão:- Confidencialidade – garantia de que as informações são acessadas somente por aqueles expressamente autorizados.
- Integridade – garantia de que as informações serão mantidas íntegras durante o ciclo de criação, processamento e descarte.
- Disponibilidade – garantia de que as informações estejam disponíveis sempre que necessário para o andamento de processos de negócio.
Independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.
Todo ativo de informação de propriedade da Zoop deve ter um responsável devidamente classificado de acordo com os critérios estabelecidos e adequadamente protegido de quaisquer riscos ou ameaças que possam comprometer o negócio.
5.4. Diretrizes Gerais
Com relação à segurança cibernética, a Zoop dispõe das seguintes diretrizes gerais:- Proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;
- Adequada classificação das informações e garantia da continuidade do processamento destas, conforme os critérios e princípios indicados nos normativos específicos;
- Garantia que os sistemas e dados sob nossa responsabilidade estão devidamente protegidos e estão sendo utilizados apenas para o cumprimento das nossas atribuições;
- Zelo pela integridade da infraestrutura tecnológica na qual são armazenados, processados e tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados restritos e confidenciais;
- Manutenção e gerenciamento de softwares antivírus, firewall e demais softwares de segurança instalados e atualizados e manutenção dos programas de computador instalados no ambiente; e
- Atendimento às leis e normas que regulamentam as atividades realizadas pela Zoop.
- Em vistas ao cumprimento das diretrizes acima elencadas, a Zoop possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.
- Com relação às medidas de segurança, a Zoop adota procedimentos e controles para reduzir a vulnerabilidade à incidentes e para atender aos objetivos de segurança cibernética. Dentre eles:
- Autenticação, criptografia, prevenção e a detecção de intrusão;
- Prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades. proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade, controles de acesso e de segmentação da rede de computadores e armazenamento de cópias de segurança dos dados e das informações, conforme normativos vigentes;
- Aplica os procedimentos e controles citados anteriormente, inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Zoop;
- Possui controles específicos, incluindo os voltados para a rastreabilidade da informação, que buscam garantir a segurança das informações sensíveis.
- Controla, monitora, restringe o acesso aos ativos de informação à menor permissão e privilégios possíveis;
- Contribui para a mitigação dos riscos de negócio e cibernéticos conforme a Política de Gerenciamento de Risco Operacional;
- Realiza o registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Zoop, que abrangem inclusive informações recebidas de empresas prestadoras de serviços a terceiros;
- Elabora inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança considerados nos testes de continuidade de serviços prestados e os testa anualmente para garantir a eficácia dos processos, além de produzir anualmente um relatório de resposta a incidentes no ambiente tecnológico da Zoop, o qual deve ser apresentado e aprovado pela Diretoria Estatutária até 31 de março de cada ano, em acordo com a Resolução 85 do Banco Central;
- Classifica os incidentes de segurança conforme sua relevância de acordo com a classificação das informações envolvidas e o impacto na continuidade dos negócios da Zoop;
- Realiza a avaliação periódica de empresas prestadoras de serviço que efetuam o tratamento de informações relevantes à Zoop e que oferecem serviços de processamento e armazenamento de dados e de computação em nuvem. A avaliação tem como objetivo acompanhar o nível de maturidade de seus controles de segurança para a prevenção e o devido tratamento dos incidentes;
- Possui critérios para classificação da relevância dos serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior;
- Adota processo de gestão de continuidade de negócios, conforme a Política Corporativa de Continuidade de Negócios;
- Estabelece regras e padrões para assegurar que a informação receba o nível adequado de proteção quanto à sua relevância. Toda informação possui um proprietário, é obrigatoriamente classificada e recebe os devidos controles que garantam a confidencialidade desta, condizendo com as boas práticas de mercado e regulamentações vigentes;
- Realiza ações para prevenir, identificar, registrar e responder incidentes e crises de segurança que envolvam o ambiente tecnológico da Zoop e que possam ocasionar o comprometimento dos pilares de segurança da informação ou trazer risco reputacional, financeiro ou operacional;
- Adota mecanismos para disseminação da cultura de segurança da informação e cibernética na empresa, incluindo a implementação de programa de treinamentos obrigatórios para colaboradores, a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos e o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança da informação e cibernética; e
- Adota iniciativas para compartilhamento de informações sobre os incidentes relevantes através de filiação em fóruns de discussão e pelo compartilhamento da plataforma de SIEM.
5.5. Comprometimento da Alta Direção
O comprometimento da Alta Administração com a efetividade e a melhoria contínua desta Política, dos procedimentos e dos controles relacionados à segurança da informação e cibernética são percebidos através da constante transformação e aprimoramento da governança em ações relativas aos pilares mencionados anteriormente e pela disponibilização de recursos compatíveis com a complexidade da Zoop, avaliação e aprovação de Políticas, Normas e Procedimentos, dentre outras iniciativas.5.6. Treinamento e Conscientização
O Programa de Treinamento e Conscientização em Segurança da Informação é estabelecido e gerenciado pela equipe de Advisory. Um cronograma anual é estabelecido com os tópicos relevantes a serem abordados e podem ser adotados diferentes formatos de treinamento e conscientização, como por exemplo:- Online através da plataforma de conscientização vigente;
- Online e ao vivo através da plataforma de comunicação vigente, permitindo a interação com os participantes;
- Testes de phishing encaminhados ao e-mail dos Zoopers;
- Treinamentos específicos para atender a necessidade de um grupo de Zoopers; e
- Comunicados com dicas e materiais de conscientização divulgados aos Zoopers por meio dos canais oficiais de comunicação.
5.7. Registros e Informações
As informações relacionadas aos incidentes de segurança da informação e cibernética são de caráter confidencial, não devendo, em hipótese alguma, serem disponibilizadas às partes envolvidas.Todos os documentos referentes à investigação, incluindo coleta de evidências, devem ser arquivados pelo prazo mínimo de 10 (dez) anos.
5.8. Normativos de Segurança da Informação
A equipe de Segurança da Informação mantém suas Políticas, Normas, Procedimentos e outras informações relevantes documentadas formalmente no repositório corporativo de normativos internos.É papel do responsável pelo documento realizar a atualização do normativo pelo menos 1 (uma) vez ao ano, seguindo a diretriz corporativa de atualização de documentos estabelecida pelo time de compliance.
Os documentos devem seguir a nomenclatura especificada abaixo:
POL – Políticas: devem ser classificados como Políticas todos os documentos que contêm diretrizes abrangentes e regras a respeito de um tema, considerando, principalmente, o teor regulatório e/ou legal envolvido. As Políticas devem ser aprovadas pelos Comitês Corporativos ligados aos seus respectivos temas, com envolvimento da diretoria na deliberação e a formalização da sua aprovação em ata de reunião.
NOR – Normas: devem ser classificados como Normas todos os documentos que contêm diretrizes e regras detalhadas sobre um determinado processo, sendo esses normativos normalmente associados com alguma Política previamente criada pela área. As Normas devem ser aprovadas pela Diretoria ou pela Gerência da área responsável pelo documento, a depender do caso, sem necessidade de que passem pelos Comitês Corporativos.
PROD – Procedimentos: devem ser classificados como Procedimento todos os documentos que contêm instruções detalhadas sobre determinado processo. Os Procedimentos devem ser aprovados pela Gerência ou Coordenação da área responsável pelos documentos, devendo ser posteriormente enviados para ciência da Diretoria.
Outros documentos: Documentos que não se enquadrem nas categorias Políticas, Normas e Procedimentos (por exemplo: formulários, diagramas, etc) devem obedecer à nomenclatura vigente a ser estabelecida pelo time de Advisory, conforme a necessidade.
Os documentos que devem ser divulgados para toda a empresa devem ser encaminhados ao time de Advisory para revisão, que, por sua vez, encaminhará à equipe de Compliance para aprovação e divulgação nas plataformas corporativas utilizadas na ocasião. Já os documentos pertinentes somente à equipe de Segurança da Informação devem ser encaminhados somente ao time de Advisory para revisão e catalogação.
5.9. Gestão de Consequências
Todos os colaboradores, fornecedores, parceiros e clientes que observarem quaisquer desvios em relação às diretrizes desta política deverão relatar o fato através do Canal Ético Zoop, disponível no site da empresa.O descumprimento das diretrizes desta Política resultará na aplicação de medidas de responsabilização dos agentes envolvidos, conforme a respectiva gravidade do descumprimento, podendo estas incluírem a responsabilização administrativa, cível ou penal, processos disciplinares e sanções previstas na Consolidação das Leis do Trabalho (CLT). Para mais informações sobre esse tema, consultar a Política de Consequências da Zoop.
5.10. Cumprimento da Política
Além da avaliação de efetividade desta Política realizado pelo time de Segurança da Informação, os mecanismos de segurança devem ser avaliados periodicamente pela auditoria interna da Zoop e pelas auditorias realizadas por entidades que regulamentem as atividades realizadas pela Zoop.5.11. Contato com Grupos Especiais
Com o objetivo de ampliar o conhecimento sobre as melhores práticas e nos mantermos atualizados com as informações relevantes sobre Segurança da Informação, estabelecemos contato com grupos especializados no tema.Os contatos dos fornecedores de Segurança da Informação podem ser visualizados por meio dos links abaixo:
CERT BR:
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
http://www.cert.br/
CVE Mitre
Registro, classificação e divulgação de vulnerabilidades técnicas
https://cve.mitre.org/
Fornecedores de Segurança da Informação
Link: Fornecedores Zoop
Leis e Regulamentações
Link: Zoop Leis e Regulamentações
5.12. Vigência da Política
Esta Política deverá ser revisada anualmente ou sempre que for necessária sua adequação. É de competência do Comitê de Segurança da Informação e da Diretoria Estatutária da empresa aprovar qualquer alteração desta Política sempre que se fizer necessário.Esta Política entra em vigor na data de sua aprovação pela Diretoria Estatutária e revoga quaisquer documentos em contrário.
6. Registro das alterações
6.1. Alteração 01
Data:25/03/2020Item alterado: -
Descrição resumida da alteração: Elaboração da Política
6.2. Alteração 02
Data: 05/10/2020Item alterado: Todos os itens Descrição resumida da alteração: Revisão da Política em atendimento a regulamentação de Circular BACEN no 3.909/18.
6.3. Alteração 03
Data: 14/10/2021Item alterado: Todos os itens
Descrição resumida da alteração: Alteração da Política para adaptação aos processos atuais e boas práticas
6.4. Alteração 04
Data: 26/12/2022Item alterado: 5.2.5 - 5.4 - 5.8
Descrição resumida da alteração:
5.2.5 – Adaptação do processo de comunicação às autoridades conforme a Política de Consequências
5.4. - Item VIII – inclusão da previsão de apresentação do relatório anual à Diretoria Estatutária até 31 de março de cada ano, em acordo com a Resolução 85 do Banco Central
5.4 - Item X – inclusão da previsão de que empresas que oferecem serviços de processamento e armazenamento de dados e de computação em nuvem também serão avaliadas.
5.8 – Atualização das nomenclaturas, definições e do processo de aprovação de normativos da Zoop
6.5. Alteração 05
Data: 02/01/2024Item alterado: 2 - 5.2.1.2 - 5.2.3
Descrição resumida da alteração:
Atualização regulatória, com a substituição de normativos revogados pelos vigentes do BCB; Atualização de nomenclaturas de times / áreas; Padronização geral de normativos da Zoop.