O objetivo deste artefato é definir as regras aplicáveis com base na estrutura da MONET FINANCE LTDA., pessoa jurídica de direito privado, devidamente inscrita no CNPJ/MF sob o nº 63.860.420/0001-63, com sede na Rua Pais Leme, 215 Conj 1713 - Bairro: Pinheiros, São Paulo - SP CEP 05424150., doravante denominado “MONET”; e assegurar que todos tenham acesso e conheçam o Plano de Segurança da Informação e Risco Cibernético.

DA PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO

Objetivos 

A Política de Segurança da Informação ("PSI") visa preservar a confidencialidade, integridade e disponibilidade das informações, descrevendo a conduta adequada para o seu manuseio, controle, proteção, descarte e compromisso, preservando as informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os colaboradores da MONET. 

Regulamentação 

Resolução CMN, no 4.658/2018 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. 

Diretrizes 

As diretrizes de Segurança da MONET têm os seguintes objetivos principais:

- garantir a confidencialidade, integridade e disponibilidade das informações dos seus clientes e proteger os dados e os sistemas da informação, contra acessos indevidos, pessoas e alterações não autorizadas; 

- assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de segurança da informação; 

- definir controles que permitam a proteção das informações de acordo com seu grau de classificação; 

- criar e manter atualizados mecanismos de proteção contra arquivos maliciosos; 

- avaliar e propor controles que visem oferecer segurança no desenvolvimento de sistemas; 

- zelar para que os colaboradores estejam cientes do Termo de Ciência de Segurança da Informação ao iniciar as atividades na instituição; 

- assegurar que a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no país ou no exterior,

- contemple as políticas, estratégias e estruturas necessárias para o adequado gerenciamento dos riscos quanto à terceirização de serviços; 

- comunicar imediatamente à área de Segurança da Informação, bem como ao Compliance, qualquer violação desta PSI e/ou das demais normas e procedimentos de segurança da informação, a fim de se aplicar as medidas de remediação e penalidades previstas; 

- monitorar constantemente o ambiente tecnológico, avaliando e implementando medidas técnicas e melhoria de processos relacionados à disciplina de Segurança. 

Papéis e Responsabilidades da MONET 

Compete ao Colaborador: 

- cumprir as regras estabelecidas na PSI, normas e procedimentos de segurança da informação, bem como as demais leis, regulamentos e normas aplicáveis pelos órgãos reguladores; 

- proteger as informações contra acessos indevidos, divulgação não autorizados e descarte de forma segura; 

- zelar para que os recursos tecnológicos sejam utilizados de forma eficaz, dentro das finalidades corporativas e de conhecimento pela MONET; 

- não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (elevadores, táxi e quaisquer outros meios de transporte, restaurantes, etc.) ou com terceiros não autorizados; 

- não compartilhar ou divulgar credenciais de acesso ou equipamentos sem a autorização explícita da área de Segurança da Informação. As senhas são de responsabilidade do usuário, sendo individual e intransferível, sendo substituídas de forma periódica; 

- estar atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da área de Segurança da Informação sempre que estiver com dúvidas; 

- solicitar quaisquer acessos ou perfis necessários às atividades profissionais por meio de ferramenta de chamados, contendo as aprovações do gestor imediato; 

- não criar, adquirir ou realizar uso de softwares não homologados e não instalados pela 

área de Tecnologia; 

- comunicar à área de Segurança da informação quaisquer riscos de segurança da informação existentes na área de atuação. 

Compete à Gestão da área de Segurança: 

- determinar as diretrizes de Segurança da Informação; 

- aprovar e revisar periodicamente PSI; 

- apresentação de assuntos relevantes à Diretoria quando cabível. 

Compete às Gerências da MONET: 

- reforçar junto às equipes o cumprimento das diretrizes de Segurança da Informação, bem como servir como replicador das boas práticas e controles; 

- propor ajustes e ferramentas à área de Segurança da Informação que auxilie nos processos de negócio das áreas; 

- nformar, à área de Segurança da Informação, sobre o encerramento de contratos em que os prestadores de serviços possuam qualquer tipo de acesso físico ou lógico às informações; 

- contribuir nos processos de revisão periódica de acessos ou em outras situações em que forem acionados pela área de Segurança da Informação. 

Compete à área de Segurança da Informação: 

- propor controles e melhorias relacionados ao tema segurança da informação; 

- definir e documentar as políticas e procedimentos relacionados à operacionalização da segurança da informação; 

- monitorar e analisar os alertas e informações relacionadas à segurança das informações; 

- apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços; 

- testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais 

- disseminar a cultura de Segurança junto às demais áreas da Instituição; 

- participar dos projetos em que a área estiver envolvida acompanhando e sugerindo questões relacionadas ao tema da área. 

Compete à área de Gente e Gestão: 

- disponibilizar a política e as normas de Segurança da Informação para todos colaboradores e assegurar que o mesmo esteja ciente das diretrizes, normas e procedimentos internos; 

- informar à área de Segurança da Informação todos os desligamentos, transferências, férias e modificações no quadro de funcional; 

- garantir que os colaboradores tenham ciência e assinem o Termo de Ciência de Segurança da Informação no processo de integração. 

Cabe à área de Infra de Tecnologia da Informação (TI): 

- realizar as cópias de segurança do ambiente tecnológico;

- configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta PSI e normas adicionais;

- planejar, implantar, fornecer e monitorar a capacidade de armazenamento, processamento e transmissão necessárias para ambiente computacional. 

Compete ao Compliance: 

- aplicar as penas previstas na Matriz de Penalidades, após deliberação do Comitê de Compliance em casos onde necessitarem desta ação; 

- avaliar as ações de remediação previstas para os casos de não conformidade a PSI e suas normas; 

- receber e analisar os eventos de riscos de segurança da informação, sugerindo ações de remediação. 

Compete à área Jurídica: 

- requerer a inserção de cláusulas que obriguem o cumprimento desta PSI e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao  departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da MONET e preservando sua confidencialidade. 

Normas 

As informações geradas e os ambientes tecnológicos utilizados por seus respectivos usuários são de exclusiva propriedade da MONET, sendo vedada a sua utilização para fins pessoais ou quaisquer outros, que não os estabelecidos nos termos das normas e procedimentos. 

Mais detalhes de normas e procedimentos vinculados às atividades e processos, estão disponibilizados no portal da Intranet. 

Descumprimento da PSI 

Na hipótese de violação desta PSI ou das normas de segurança da informação, a Diretoria, com o apoio das áreas de Segurança da Informação, Compliance e Recursos Humanos, determinarão as sanções administrativas que serão aplicadas ao infrator, sendo que: os colaboradores estão sujeitos às sanções descritas na Matriz de Consequência, de acordo com o grau de infração. Para os prestadores de serviços, pode acarretar na aplicação rescisória imediata do respectivo contrato estabelecido violado. 

Controle 

Esta Política entra em vigor a partir da data de sua publicação e deve ser revisada e aprovada pela Diretoria com periodicidade anual. Se, no decorrer do período, houver mudança no ambiente regulatório ou na estrutura de gestão de riscos, o documento deverá contemplar a alteração. Esta Política deverá ser amplamente divulgada dentro da MONET e disponibilizada a todos os integrantes e stakeholders do processo. 

Revisão 

Esta política de Plano de Continuidade de Negócios é revisada anualmente pelo Comitê Interno da MONET. 

 

POLÍTICA DE RISCO CIBERNÉTICO

Objetivo

Essa Política tem como objetivo estabelecer diretrizes, responsabilidades e respostas sobre os principais aspectos relacionados à segurança cibernética e segurança da informação, preservando a confidencialidade, integridade, disponibilidade e conformidade de todas as informações sob a Gestão da MONET. Esclarecer e definir os princípios fundamentais que formam a base da Política de Segurança Cibernética e da Informação, tendo em vista, nortear a elaboração de normas, processos e procedimentos, conforme dispõe a Resolução 4.658/18 do Banco Central do Brasil. 

Abrangência 

Este artefato é aprovado nos âmbitos da MONET aplicando a todas as áreas de negócios. 

Diretrizes Gerais 

A informação do ponto de vista de negócios é um ativo essencial da MONET desta forma deve ser adequadamente protegida, em um ecossistema de negócios cada vez mais interconectado. 

Cabe ressalvar que a segurança cibernética e segurança da informação trata da proteção das informações contra diversos tipos de vulnerabilidades, buscando entregar técnicas, métodos e tecnologia para minimizar a exposição da MONET à riscos, garantindo que todas as informações sejam devidamente preservadas, sendo pilares dessa Política a: confidencialidade, integridade, disponibilidade e conformidade.

A MONET, através da sua área de Tecnologia, adequadamente alinhada com os objetivos de negócios, estabelece neste artefato, regras, processos e procedimentos o qual devem ser seguidos, aplicados, de forma sempre a proteger as informações da MONET, de seus clientes, fornecedores e parceiros de negócios.

Recursos 

Todos os recursos, tangíveis e/ou intangíveis, pertencentes a serviço ou responsabilidade da MONET. Podem ser considerados recursos: Pessoas, Ambientes Físicos, Tecnologias, Serviços Contratados em Cloud, Sistemas e Processos. 

Ameaça 

Toda interrupção e violação de perímetro de segurança digital de um incidente, resultando em alto impacto nos objetivos da MONET. Observação para o âmbito da violação e monitoramento de perímetro de segurança e riscos, toda ameaça pode ocorrer interna ou externamente ao ambiente de negócios da MONET, de forma intencional ou não intencional. 

Melhores Práticas de Security 

Melhores práticas de segurança da informação, bem como as recomendações contidas em normas técnicas como: ISO/IEC 27001, ISO/IEC 31000, OWASP (www.owasp.org), NIST (www.nist.gov), ISACA (www.isaca.com.br), SANS (www.sans.org) e outras internacionalmente reconhecidas. 

Funcionários MONET e Outros 

Entende-se como Colaborador qualquer pessoa que trabalhe para a MONET, quer seja: Funcionário com registro em carteira de trabalho, terceiro, estagiário, aprendiz ou trainee. 

Controles 

Toda a medida, procedimento e processos que assegure formas de tratamento de riscos, incluindo a redução, eliminação, transferência ou minimizar o impacto no negócio. A correta implantação e manutenção adequada de controles materializa a segurança de dados digitais e segurança da informação. 

Procedimentos e processos devem ser interpretados como controles: políticas, processos, estruturas organizacionais, técnicas padrões, software, hardware e outros. 

Gestor 

Colaborador que exerce cargo de liderança, como: presidente, vice-presidente, diretor, gerente, coordenador, líder ou chefe de seção. 

IDS 

Intrusion Detection System ou Sistema de Detecção de Intrusão, ferramenta com ampla implementação, tendo em vista, que todo o ambiente de sistemas da MONET tem seu monitoramento de perímetro realizado via Nuvem AWS. 

IPS 

Intrusion Prevention System ou Sistema de Prevenção de Intrusão é uma ferramenta que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. 

Informação 

Qualquer conjunto organizado de dados que possua algum propósito e valor para a MONET, seus clientes, parceiros e colaboradores. A informação pode ser de propriedade da empresa, estar sob sua custódia ou sob custódia de terceiros, como por exemplo, informações armazenadas em nuvem. 

Princípios de “Least Privilege" e "Need to Know" Estes princípios devem reger a autorização de qualquer acesso a sistemas e informações. Segundo eles, deve ser concedido apenas o nível mínimo de acesso (Least Privilege) a quem realmente tenha a necessidade de acesso (Need to Know). 

Política de Segurança Cibernética e da Informação Estrutura de documentos formada pela Política, normas e padrões de segurança cibernética e segurança da informação com time adequado realizando o monitoramento de end-points, perímetros e dados dentro da nuvem. 

Risco Qualquer evento que possa afetar a capacidade da MONET de atingir seus objetivos e sua estratégia de negócios ou, conforme a ISO 31000, o efeito da incerteza nos objetivos. 

Segurança da Informação (SI) Segurança da Informação é a proteção das informações, sendo caracterizada pela preservação de: 

- confidencialidade: garantia de que a informação somente será acessada por pessoas efetivamente autorizadas; 

- integridade: garantia de que o conteúdo da mensagem não será alterado ou violado indevidamente, ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção e validade. 

- disponibilidade: garantia de que os Colaboradores autorizados obtenham acesso à informação e aos sistemas correspondentes sempre que necessários, nos períodos e ambientes aprovados pela empresa; 

- conformidade: Garantia de que controles de segurança da informação, devidamente estabelecidos, estão sendo executados conforme esperado e produzindo resultados efetivos no cumprimento de seus objetivos.

- Segurança Cibernética Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado. Também conhecida como Segurança de TI, visa proteger somente assuntos relacionados ao digital.

- Recursos Críticos Recursos essenciais para o funcionamento da operação da MONET e que possuem informações críticas ou sensíveis. 

- Baselines Requisitos, recomendações e melhores práticas de configurações de segurança da informação para os ativos, devidamente revisada com roadmap de adequações em tempo de execução. 

- Nuvem (Cloud) Infraestrutura, plataforma, aplicação ou serviço localizado na internet. A nuvem pode ser pública com acesso a todos, privada, com acesso restrito ou híbrido, com parte restrita e parte irrestrita. 

 

Diretrizes Específicas 

Aquisição, Desenvolvimento e Manutenção de Tecnologia da Informação. 

Aquisições, desenvolvimento, contratações e a manutenções de Tecnologia da Informação devem ser centralizadas e gerenciadas pela área de Tecnologia da Informação; 

Responsáveis pela aquisição de produtos ou serviços de Tecnologia da Informação, assim como o desenvolvimento e manutenção de ativos tecnológicos, devem:

- garantir a adoção e manutenção dos requisitos previamente definidos nos baselines, padrões e normas de segurança da informação; 

- garantir a validação de requisitos de Segurança da Informação na análise crítica de novas soluções ou para aquelas que sofreram alterações significativas; 

- garantir o atendimento aos requisitos de segurança necessários para assegurar a confidencialidade, integridade, disponibilidade e conformidade de sistemas e informações; 

- garantir que novas soluções sejam devidamente documentadas, assim como mantida documentação para entendimento e rastreabilidade das ações realizadas; 

Os Recursos de Tecnologia da Informação utilizados pela MONET devem ser inventariados, controlados e colocados à disposição de acordo com as regras de acesso vigentes e boas práticas de segurança da informação. 

Na contratação de serviços, os contratos firmados entre as partes e a MONET devem conter cláusulas de confidencialidade, responsabilidade pela proteção da informação, não divulgação e descarte das informações. Outras cláusulas específicas de Segurança da Informação podem ser requeridas de acordo com o contexto do serviço contratado. 

O sigilo necessário com as informações da MONET deve perdurar mesmo após o encerramento da prestação de serviços. Este ponto deve ser previsto no estabelecimento de contratos. 

A veracidade das informações contidas em contratos deve ser verificada. 

Devem ser seguidas as boas práticas de segurança da informação no ciclo de desenvolvimento de sistemas da empresa. 

Classificação da Informação 

As informações devem ser atribuídas a um proprietário formalmente designado. 

Toda a informação deve ser classificada, de acordo com seu valor, grau de sigilo, criticidade e sensibilidade perante o negócio, de forma que sejam adotados os mecanismos de proteção adequados, balanceando custo e complexidade do controle. 

Informações sem classificação explícita devem ser consideradas como 'Interno", não sendo permitido o seu repasse ou divulgação para qualquer pessoa que não seja da MONET, exceto informações públicas e de mercado, devidamente autorizadas. 

Todos os colaboradores devem tratar as informações da MONET de acordo com seu nível de classificação de forma a protegê-las contra atos ou acessos indevidos ou divulgação não autorizada, mantendo sua confidencialidade, integridade e disponibilidade. 

Comportamento Seguro 

Os recursos e as informações de propriedade ou sob custódia da MONET devem ser utilizados de acordo com os interesses da organização, para prestação dos seus serviços, atendendo aos requisitos e respeitando as regras estabelecidas. 

Independente dos meios onde a informação esteja armazenada, ou seja, transmitida, cada colaborador deve assumir um comportamento seguro e proativo impedindo seu vazamento para pessoas ou meios externos da MONET. 

Aos Colaboradores, sem autorização prévia, é vetado emitir opiniões em nome da MONET ou utilizar informações privadas da MONET em: e-mails, sites, redes sociais, publicações impressas, fóruns de discussão, serviços da Internet e outros ambientes públicos, em face da possibilidade de divulgação inadvertida. 

O uso da marca, nome ou citação da MONET deve cumprir os requisitos de autorização por direito de imagem e propriedade. 

Os colaboradores são responsáveis por manter as informações da MONET em locais seguros. Isso se aplica a informações impressas, escritas em quadros ou em outras mídias físicas, que não devem ser deixadas desprotegidas em salas de reuniões, mesas ou qualquer local dentro e fora da empresa. 

O descarte de informações internas, restritas ou confidenciais, contidas em qualquer meio, quer seja impresso, eletrônico, magnético, ou sob qualquer outra forma, deve ser feito de forma segura, garantindo a destruição dos dados de forma que não possam ser novamente recuperados. 

O uso de recursos tecnológicos para gravação, foto e filmagem de qualquer reunião ou evento corporativo não é permitido sem prévia autorização e consentimento de todos os participantes. 

Conformidade 

O cumprimento e aderência às leis, regulamentações, Política de Segurança Cibernética e da Informação, normas, obrigações contratuais, e padrões de segurança, são obrigatórios e devem ser garantidos por todos os Colaboradores da MONET. 

Responsáveis por recursos críticos da MONET devem garantir a retenção de evidências da execução de seus controles para fornecimento em casos de auditorias ou necessidade do atendimento a regulamentações. 

Conscientização e Divulgação de Segurança Cibernética e da Informação 

A Política de Segurança Cibernética e da Informação, normas e padrões de segurança devem ser amplamente divulgadas no processo de admissão e integração de novos Colaboradores, tanto pela equipe de Recursos Humanos quanto pelos Gestores. 

Programas de conscientização, divulgação e reciclagem do conhecimento da Política de Segurança Cibernética e da Informação devem ser estabelecidos e praticados regularmente para garantir que todos os colaboradores e terceiros conheçam as diretrizes e responsabilidades relacionadas à segurança das informações. 

Continuidade de Negócios 

Deve-se estabelecer, documentar, implantar e manter processos, procedimentos e controles para assegurar o nível requerido de continuidade para os serviços e processos de negócio da MONEW, durante situações adversas. O modelo a ser adotado para a Gestão de Continuidade de Negócios deverá ser baseado na Norma ISO 22301. 

Segurança Física 

Os equipamentos e instalações de processamento de informação críticas ou sensíveis, bem como as próprias informações sensíveis, deverão ser mantidos em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais. As áreas seguras da MONET devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. 

O acesso de qualquer pessoa às instalações da MONET somente deverá ser feito mediante autorização por Colaboradores responsáveis por esse controle e mediante identificação do visitante. Nenhum visitante tem a autorização de circular pelas dependências da MONET sem estar acompanhado por um colaborador MONET. 

As recepções e áreas de maior criticidade devem estar sob proteção de um circuito interno de câmeras de vídeo, instaladas em locais estratégicos. As imagens obtidas devem ser preservadas com segurança. 

Acesso Lógico 

O processo de gestão dos acessos a qualquer sistema da MONET quer seja interno ou em nuvem, deve ser conduzido pela área de TI, exceções deverão ser tratadas junto a alta direção. 

O acesso a qualquer sistema tecnológico da MONET deve ser autenticado, ou seja, protegido por credenciais de acesso, certificados, tokens ou qualquer outro método seguro de identificação e autenticação. 

Acessos a informações e a sistemas da MONET devem ser permitidos apenas após dois ou mais níveis de autorização, sendo o primeiro do gestor do colaborador solicitante e o segundo do responsável pela informação ou sistema. 

Os acessos de colaboradores e terceiros devem ser desativados assim que desligados ou encerrados contratos de prestação de serviços. viii.As credenciais de acesso a sistemas e informações, compostas por usuário e senha, são concedidas pela MONET aos Colaboradores e Terceiros para uso em atividades relacionadas a seu trabalho, pelo tempo em que perdurar seu vínculo com a empresa. 

É proibido transferir, compartilhar, emprestar ou revelar a senha das credenciais de acesso concedidas pela empresa a outros colaboradores, assim como é proibido o uso de credenciais de outros colaboradores. 

Todos os perfis de usuários e acessos a informações ou sistemas de média e alta criticidade devem ser revisados periodicamente pelo respectivo responsável, seguindo os critérios de segregação da função e observando o princípio de mínimo acesso (least privilege) e necessidade de conhecimento (need to know). 

Gestão de risco de Segurança da Informação 

A Gestão de Riscos de Segurança da Informação deve ser realizada através de um processo estruturado que contemple a identificação, análise, avaliação, priorização, comunicação, tratamento e monitoração dos riscos que podem afetar negativamente os negócios da organização. 

O processo de gestão de riscos deve contemplar novos ativos, sistemas ou processos, quer sejam eles internos, em nuvem ou conduzidos por parceiros. 

Incidentes de Segurança da Informação 

São considerados incidentes de segurança da informação quaisquer eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de Sl: confidencialidade, integridade, disponibilidade e conformidade, colocando o negócio em risco.

Violações ou tentativas de violação desta Política, de normas ou de controles de segurança da informação, intencionais ou não, são considerados incidentes de segurança.

Colaboradores devem informar imediatamente à segurança da informação todas as violações à Política de segurança da informação, normas, padrões incidentes ou anomalias que possam indicar a possibilidade de incidentes, sobre os quais venham a tomar conhecimento. 

A identificação de incidentes de segurança pode ocasionar o bloqueio imediato dos acessos dos colaboradores envolvidos até que sejam concluídas as investigações necessárias. 

Monitoração 

Todas as ações de colaboradores e visitantes, realizadas nas dependências da MONET ou remotamente, abrangendo o acesso físico e a utilização de recursos de tecnologia da informação e comunicação do grupo, podem ser monitoradas. ii.A área de TI é responsável por garantir a privacidade dos registros oriundos da monitoração do acesso e uso de sistemas e serviços de Tecnologia da Informação. 

Ao acessarem sistemas e recursos tecnológicos da MONET, colaboradores e visitantes concordam que suas ações podem ser monitoradas. 

Os registros obtidos através de monitoramento poderão ser utilizados em processos de investigação de incidentes e suspeitas de violação de leis e de Normas do Grupo, bem como, em processos judiciais e trabalhistas, a critério da MONET. 

Privacidade 

Deve-se assegurar a privacidade e a proteção, conforme previsto pela legislação e regulamentação pertinente, todas as informações pessoais de clientes,

colaboradores, parceiros de negócio e outras que venham a ser armazenadas, processadas ou colocadas sob custódia da MONET. 

Propriedade Intelectual 

A MONET é proprietária ou custodiante responsável por toda a informação criada, armazenada, transmitida, transportada, processada ou descartada pelos seus recursos ou por aqueles contratados pela MONET em nuvem ou prestados por terceiros devidamente autorizados. 

É vetada aos Colaboradores a violação da propriedade intelectual do grupo ou de terceiros, quer seja por meio da utilização indevida de imagens, textos, softwares, marcas ou pela cópia indevida de originais ou conversão do formato destes. 

Utilização de Recursos de Tecnologia da Informação 

Para utilização de qualquer recurso de tecnologia da informação é necessária a aprovação prévia do gestor do colaborador/terceiro e do proprietário da informação, sistema ou recurso. 

Não é permitida aos Colaboradores e Terceiros a instalação de qualquer software ou a alteração de parâmetros de configuração de computadores da MONET. Estas devem ser realizadas por equipes de TI autorizadas, após processos de homologação e obtenção do licenciamento adequado. Softwares instalados indevidamente poderão ser automaticamente excluídos, sem prévio aviso. 

É proibido o armazenamento, transmissão, processamento e impressão de conteúdo que contenha pedofilia, pornografia, erotismo, violência, terrorismo, racismo, intolerância, e outros conteúdos proibidos por leis, moral, ética e normas da MONET. 

As informações internas, restritas e confidenciais ou sensíveis da MONET não devem ser copiadas, sincronizadas ou replicadas em serviços em nuvem, exceto situações analisadas e aprovadas pela alta direção. 

Informações da MONET ou sob sua custódia e responsabilidade, somente podem ser transportadas ou processadas em meios previamente aprovados pela alta direção, a exemplo e-mail pessoal, Internet, pendrive, redes sociais, CD/DVD, papel, computador pessoal dentre outros meios. 

O acesso de celulares, smartphones, tablets e qualquer outro dispositivo a serviços e informações da MONET deve ser permitido apenas após o atendimento integral dos requisitos de segurança da MONET definidos nas normas para esta categoria de dispositivos. 

Documentos eletrônicos de uso da MONET devem ser armazenados em repositórios centralizados da rede (servidores de arquivos) com as devidas proteções de segurança, dentre elas: controle de acesso e backup. Documentos eletrônicos do grupo não devem ser armazenados em estações de trabalho. 

Os colaboradores devem zelar pela segurança de ativos da empresa colocados sob sua responsabilidade, como dispositivos móveis e notebooks. ix.O uso de recursos de criptografia deve ser autorizado pela área de TI e estar de acordo com os padrões definidos para a MONET. 

Segurança em Redes 

Devem existir controles tecnológicos para proteger o acesso entre redes (incluindo Internet, redes públicas, extranets, acesso remoto, wireless e as diferentes redes de usuários). 

Equipamentos com diferentes requerimentos de segurança devem ser segregados em redes diferentes. 

Além do controle de acesso entre as redes, deve ser protegida a informação em trânsito, seguindo os requerimentos da Classificação da Informação. 

O acesso remoto somente será permitido para situações onde for indispensável e esteja documentado e com mecanismos de autenticação de dois fatores. 

Os níveis de segurança (confidencialidade, integridade e disponibilidade) esperados dos serviços de comunicações, devem ser estabelecidos nos contratos firmados com os fornecedores desses serviços. 

Deve ser implementado controle tecnológico de Firewall para a proteção das redes mais críticas. 

Controles criptográficos devem ser solicitados, estabelecidos e/ou desenvolvidos, para garantir os níveis de confidencialidade das informações trafegadas, segundo a sua classificação (definido pelo proprietário da informação). 

Registros de Auditoria 

Todas as ações de usuários, sistemas e qualquer evento de Segurança da Informação devem gerar trilhas de auditoria (logs), que deverão ser mantidas por um período mínimo de 5 anos, em local centralizado e protegido contra acessos não autorizados. 

Não deve haver nenhuma modificação na integridade das trilhas de auditoria (logs), ou seja, não pode haver usuários com permissão de alteração. 

Todo acesso de consulta, cópia ou tentativa de modificação e exclusão das trilhas de auditoria (logs) devem ser registradas. 

As falhas nos registros das trilhas de auditoria (logs) devem ser registradas, analisadas e devem ser tomadas providências para corrigir o erro de forma imediata. 

Backups, arquivamento e restaurações 

A área de TI deve determinar os recursos requeridos para cumprir com os requerimentos mínimos de respaldo dos ativos de informação, conforme definido pelos proprietários da informação. 

A área de TI deverá estabelecer um plano de backup para cumprir com esses requisitos e deverá estabelecer mecanismos para a correta execução das rotinas de backup. 

Diariamente devem ser validados os resultados da realização dos backups, sendo que as falhas deverão ser reportadas como incidente de segurança. 

O processo de backup e restauração para todos os sistemas deve ser testado em intervalos regulares, com o objetivo de assegurar que estejam em conformidade com os requerimentos dos donos da informação e com as exigências do plano de continuidade do negócio da companhia. 

O tempo necessário para que a informação seja mantida deverá estar de acordo com as necessidades do negócio e deve levar em consideração as exigências das leis vigentes. 

Análise de Vulnerabilidades Técnicas 

Periodicamente devem ser realizados testes de vulnerabilidades técnicas dos equipamentos críticos da infraestrutura. 

Após os levantamentos, as comparações e identificações dos riscos devem ser executadas, possibilitando o tratamento dos riscos de acordo com seus níveis. 

Nos casos em que não for possível a eliminação total da vulnerabilidade, deve ser apresentada aceitação do risco ou a determinação de falso positivo. 

Verificações ou auditorias regulares devem verificar a conformidade com as exigências técnicas dos sistemas e das redes. 

As auditorias realizadas por terceiros devem identificar claramente as interações com os sistemas em operação. vi.As auditorias técnicas dos sistemas e das redes devem respeitar as práticas estabelecida e devem ser realizadas de acordo com as recomendações da organização. Estas auditorias devem ser realizadas por fornecedores reconhecidos e competentes. 

Prevenção, Detecção de Intrusão 

Todos os recursos do sistema de informação expostos à Internet devem ser acompanhados e protegidos por um IDS/IPS. 

Sempre que o IDS/IPS detecta ou responde a uma tentativa externa mal-intencionada suficientemente grave para ameaçar os recursos do sistema de informações protegidas, uma análise estruturada e procedimento de resposta deve ser acionado. 

Proteção contra códigos maliciosos 

Deverão ser implementados controles tecnológicos para a proteção dos equipamentos de processamento de informação que executem algum tipo de software (tanto de usuário final como servidores) para a prevenção, detecção, correção e erradicação de códigos executáveis maliciosos. ii.Deve ser verificada a atualização das ferramentas de proteção baseadas em assinaturas, para que estejam nas últimas atualizações disponíveis. 

Troca de Informações 

A transmissão digital de informações através de canais de comunicação não-seguros deve ser protegida de acordo com o nível da classificação da informação, especialmente analisando a necessidade de utilização de criptografia para a proteção da informação. 

A transmissão física de informações digitais deve ser protegida segundo a classificação da informação. Rótulos, lacres, assinaturas e criptografia devem ser considerados. 

O estabelecimento de comunicações entre redes protegidas com parceiros (Extranets) deve ser protegido por mecanismos criptográficos, ou outros mecanismos similares para proteger a confidencialidade e integridade da informação. iv.As áreas de negócio devem sempre utilizar os canais de comunicação seguro (STCP, VPN, SSH, etc.) para envio e recebimento de informações confidenciais entre parceiros e fornecedores, quando possível. Quando não for possível utilizar esse canal a informação deve ser protegida com criptografia ou senha forte, para evitar vazamento das informações. 

Controles Criptográficos 

Deverão ser utilizados controles criptográficos para proteger as informações segundo os requerimentos da sua classificação. 

Somente algoritmos de criptografia aprovados pela área de TI podem ser utilizados nas soluções e sistemas adotados pela MONET. 

O gerenciamento das chaves de criptografia deve prever mecanismos para o armazenamento seguro, geração segura da chave e destruição da chave. 

Deverá existir um mecanismo de recuperação da informação caso seja perdida uma chave de criptografia. 

As chaves de criptografia devem ser trocadas periodicamente, dependendo da sua frequência de utilização. 

Caso seja comprometida uma chave criptográfica, deve ser revogada imediatamente. Se for uma chave para criptografia de arquivos, deve ser trocada. vii.Mecanismos de autenticação e auditoria devem ser estabelecidos para garantir a segurança do acesso às chaves. 

Aquisição, Desenvolvimento e Manutenção Segura de Sistemas 

Sistemas da informação desenvolvidos ou adquiridos devem contar com atributos e funcionalidades de segurança que protejam adequadamente as informações. Os requerimentos devem ser identificados e documentados na fase de concepção do sistema, para assegurar que as demandas de segurança sejam atendidas. 

Deve haver controles que previnam erros de operação, perda, ou vazamento de informações. Todo sistema deve ser documentado, tornando sua implantação e operação independente de conhecimentos informais 

Devem ser estabelecidos controles criptográficos para proteger a confidencialidade, autenticidade ou integridade das informações. Faz-se necessária a documentação do uso de chaves, quando necessário. 

Sistemas devem ser protegidos contra alteração indevida, evitando a exposição de dados sensíveis. Devem ser estabelecidos controles para monitorar e corrigir as vulnerabilidades e falhas desses. 

O acesso ao código fonte das aplicações deve ser protegido, seguindo as características definidas pela classificação da informação. 

Somente colaboradores autorizados devem ter acesso ao código-fonte, com os correspondentes controles de versão. 

As instalações de desenvolvimento, teste e produção devem ser separadas. Deve haver segregação entre estes ambientes para evitar que dados de um ambiente sejam utilizados em outro. 

Dados reais de produção não serão utilizados para testar aplicativos. 

Dados privados de usuários não serão utilizados para testar aplicativos. 

Deverá ser assinado um termo de confidencialidade assim como assinadas as políticas de segurança por parte de terceiros que façam desenvolvimento de sistemas para a MONET. 

O desenvolvimento de sistemas por parte de terceiros deverá ser controlado e auditado por pessoal técnico da MONET. 

xii.O desenvolvimento de sistemas deverá seguir as boas práticas de mercado quanto ao desenvolvimento seguro. 

xiii. Toda manutenção em sistemas deve: 

considerar os requerimentos de segurança antes, durante e depois da manutenção; 

garantir a integridade e a conformidade das especificações funcionais iniciais; 

respeitar a consistência e a homogeneidade do nível de segurança estabelecido inicialmente no desenvolvimento da aplicação; 

respeitar, ao efetuar as modificações, os resultados da análise inicial do risco realizada na fase de projeto; 

garantir a origem e a integridade das entregas para o ambiente de produção; f. Preservar a confidencialidade dos contextos operacionais; 

g. preservar a segurança dos sistemas ou da rede, assegurando que nenhuma intervenção forneça a oportunidade de sabotagens de forma inesperada ou de ações maliciosas; 

h. respeitar as obrigações legais e contratuais com relação à confidencialidade das informações processadas pelos sistemas. 

Serviço de Nuvem 

A possibilidade de utilização de uma solução de hospedagem externa, e, mais especificamente, uma solução 'cloud computing', depende do nível de sensibilidade dos dados e dos processos em questão. Esta escolha deve ser feita com base em uma análise de risco. 

Toda e qualquer contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deverá ser previamente comunicada ao Banco Central do Brasil. 

Os serviços para processamentos de dados e ou armazenamento em nuvem, sejam eles software como serviço (SaaS) ou armazenamento de base de dados devem possuir acesso seguro através de interfaces HTTPS bem como a autenticação segura e em ambientes segregados. 

Os acessos devem ser controlados por meio de logins e senhas individuais, previamente fornecidos, de acordo com a atividade de cada colaborador/terceiro ou administrador, possuindo também tais acessos e ações registrados em trilhas de auditorias.

Gestão de Incidentes de Segurança 

Qualquer evento relacionado a um suposto ou comprovado ataque à segurança de um sistema operacional deve ser resolvido de acordo com um processo de gerenciamento de incidentes. 

Os procedimentos envolvidos devem descrever o processo de gerenciamento de incidente, o processo de investigação e o processo de recolhimento de provas. O processo de gerenciamento de incidente deve: 

permitir a detecção, o mais cedo possível, e a capacidade de responder com a máxima eficácia para limitar os danos causados pelo incidente; 

limitar as zonas de vulnerabilidade pela remediação de anomalias identificadas em algum ou todos os sistemas operacionais potencialmente afetados; 

reter informações relevantes para posteriores investigações e coleta de provas; 

compilar um registro de incidentes de segurança e estatísticas para uso na previsão de possíveis incidentes futuros; 

Identificar pontos de contato apropriados para o nível de severidade do ataque iii.Uma vez que um incidente mal-intencionado for resolvido, uma análise deve ser feita para identificar a origem do ataque e iniciar procedimentos administrativos ou judiciais apropriados. 

Gestão de Fornecedores 

O gerenciamento de fornecedores deverá considerar a avaliação de risco e classificação dos fornecedores (estratégico, tático, operacional). 

A intervalos regulares o desempenho dos fornecedores críticos deve ser medido quanto ao cumprimento das metas acordadas e os resultados avaliados. Os resultados devem ser discutidos com o fornecedor para identificar as necessidades e oportunidades de melhoria. 

Cada fornecedor deverá ter um gestor designado que acompanha o seu desempenho, tornando-o responsável pela qualidade dos serviços fornecidos. 

Atualizações desta e demais políticas 

Esta Política está sujeita a revisões anuais, podendo ser revisada em periodicidade menor, caso necessário, em decorrência de alterações na regulamentação e/ou legislação aplicável ou, ainda, para refletir alterações nos procedimentos internos da organização. ii.Esta e demais políticas passarão pelo seguinte procedimento de elaboração e revisão: 

- gestor responsável pela alteração solicitada e/ou inclusão de novo procedimento na política; 

- avaliação e aprovação do Diretor responsável por esta Política. 4.28 A versão atualizada desta Política será publicada na Internet e Intranet e deverá ser lida por todos os colaboradores. 

Aplicabilidade 

O Gestor imediato ou a alta direção deve ser consultado sempre que existir alguma dúvida referente à aplicabilidade da Política de Segurança Cibernética e da Informação e demais documentos que a compõem. 

Cabe à área de TI avaliar os riscos de ações não previstas na Política de Segurança Cibernética e da Informação, se necessário levando o assunto à alta direção.

Exceções às diretrizes contidas neste documento e nos demais que compõem a Política de Segurança Cibernética e da Informação devem ser autorizadas pela alta direção. 

Responsabilidades 

Todo Colaborador, independente do cargo, função ou local de trabalho, é responsável pela segurança das informações da MONET e deve cumprir as determinações da Política, normas e padrões de segurança da informação. 

Alta Direção 

- Prover recursos para a implementação, manutenção e melhoria da gestão da segurança da informação. 

- Prover comprometimento e apoio à aderência a Política de Segurança Cibernética e da Informação de acordo com os objetivos e estratégias de negócio estabelecidas para organização; 

- Fornecer à área responsável pela Segurança da Informação claro direcionamento, apoio, recomendação e apontar restrições sempre que necessário. 

- Identificar requisitos legais pertinentes à segurança da informação; 

- Garantir a adoção de cláusulas pertinente à segurança das informações nos contratos estabelecidos com a MONET. 

Colaborador 

- Utilizar de modo seguro, responsável, moral e ético, todos os serviços e sistemas de TI; 

- Notificar a área de TI sobre as violações da Política de Segurança Cibernética e da Informação e sobre os incidentes de segurança que venha a tomar conhecimento; 

- Manter o sigilo das informações que tenha obtido acesso enquanto Colaborador da MONET, mesmo após seu desligamento da empresa. 

Gestor 

- Apoiar e incentivar o estabelecimento da Política de Segurança Cibernética e da Informação na MONET. 

- Garantir que seus subordinados tenham acesso e conhecimento desta Política e demais normas e padrões de segurança da informação. 

- Fornecer os recursos financeiros, técnicos e humanos necessários para desenvolver, implantar, manter e aprimorar a segurança das informações da MONET. 

- Avaliar periodicamente o grau de sigilo e segurança necessários para a proteção das informações sob sua responsabilidade e de sua equipe. 

- Designar mais de um responsável para atuação em processos e operações suscetíveis a fraudes e tomando os devidos cuidados para preservar a segregação de funções; 

- Acionar as áreas competentes para a aplicação das penalidades, cabíveis aos Colaboradores que violarem a Política de Segurança Cibernética e da Informação e as normas da MONET.

- Autorizar acessos de seus colaboradores apenas quando forem realmente necessários e segundo os conceitos de need to know e least privilege. 

Área de Infraestrutura 

- Orientar e coordenar as ações de segurança da informação, promovendo a execução de acordo com o que foi estabelecido. 

- Desenvolver e estabelecer programas de conscientização e divulgação da Política de Segurança Cibernética e da Informação. 

- Conduzir o processo de Gestão de Riscos de Segurança da Informação. 

- Conduzir a Gestão de Incidentes de Segurança da Informação, incluindo as investigações para determinação de causas e responsáveis e a comunicação dos fatos ocorridos. 

- Conduzir os processos de monitoração e segurança da informação. 

- Definir controles para tratamento de riscos, vulnerabilidades, ameaças e não conformidades identificadas pelos processos de SI. 

- Propor projetos e iniciativas para melhoria do nível de segurança das informações da MONET. 

- Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software. 

- Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia. 

- Conduzir a gestão dos acessos a sistemas e informações da MONET; 

- Implantar e manter funcionais os controles e padrões de segurança definidos para os ativos de tecnologia. 

- Informar imediatamente a alta direção, sobre violações, falhas, anomalias e outras condições que possam colocar em risco as informações e ativos da MONET. 

- Controlar alterações em ativos de TI e garantir que estas sejam analisadas criticamente e testadas para que não ocorram impactos adversos na operação da empresa ou em sua segurança. 

- Garantir a continuidade dos serviços tecnológicos de forma a atender aos requisitos essenciais do negócio. 

- Garantir que todos os ativos críticos de Tecnologia da Informação devem ser instalados em ambientes especializados conhecidos como Data Centers.

Estes devem conter todas as proteções e contingências necessárias para a sua respectiva proteção. 

- Monitorar o acesso físico de Colaboradores às instalações do GPA. 

- Administrar o controle de acesso físico. 

Recursos Humanos 

- Verificar o histórico de candidatos a emprego, de acordo com a ética e leis vigentes. 

- Garantir que a Política, Normas e Procedimentos da Política de Segurança Cibernética e da Informação sejam divulgados no processo de admissão /integração de novos Colaboradores. 

Fornecedores e Parceiros de Negócios 

- Cumprir as determinações da Política, Normas e Procedimentos publicados pela MONET. 

- Orientar os funcionários da empresa sobre o cumprimento das determinações da Política, Normas e Procedimentos publicados pela MONET. 

Cumprir com o acordo de confidencialidade. 

Penalidades 

O Colaborador que presenciar o descumprimento de alguma das regras acima tem o dever de denunciar tal infração ao Gerente de Infraestrutura. Ademais, o descumprimento das regras e diretrizes impostas neste documento poderá ser considerado falta grave, passível de aplicação de sanções disciplinares. 

Observação: No caso de Colaboradores terceiros, pode ser solicitada às suas respectivas empresas a troca da equipe alocada na MONET, ou ainda, podem ser aplicadas penalidades à empresa tais como, multas, cancelamento do contrato e ações judiciais. 

Referências 

Norma ISO/IEC 27001 e 27002; - Política de Segurança Cibernética e da Informação vigente e publicada nos canais oficiais da MONET.