Versão: 1.0
Data: março/2023
Proprietário: Área de Segurança da Informação
1. Objetivo
Expor as principais diretrizes da Política de Segurança Cibernética de acordo com o porte, o perfil de risco e o modelo de negócio da Cumbuca, de forma a orientar a gestão de nossos sistemas de informação, assegurando a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
2. Visão geral
A Cumbuca atua na produção e fornecimento de serviços de pagamento e organização financeira. Para tal fim, se faz necessário o estabelecimento de canais seguros de comunicação entre os usuários dos serviços da Cumbuca e os sistemas de informação da Cumbuca, tais como: funções de controle efetivas e a implementação desta Política de Segurança Cibernética.
3. Escopo
Este documento se aplica a todos os interessados na forma e procedimentos adotados pela Cumbuca para proteger seus dados e sistemas de informação.
4. Regras e normas aplicáveis
- Lei n.13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
- Lei n 12.965/2014 (Marco Civil da Internet);
- Resolução CMN nº 4.893, de 26 de fevereiro de 2021;
- Resolução do Banco Central nº 85, de abril de 2022;
- Normas e procedimentos internos que são periodicamente revisados e aprovados pelas alçadas competentes e com a devida publicidade.
5. Diretrizes
5.1. Possuímos uma área dedicada para a proteção cibernética, para garantir a segurança do nosso ambiente.
5.2. Garantimos que os dados tratados por nós serão gerenciados de maneira segura, certificando de que apenas entidades autorizadas possuam acesso às informações e com os menores privilégios.
5.3. Nossos colaboradores são treinados periodicamente para que fiquem seguros no ambiente digital, mantendo sempre uma cultura que dissemina conceitos de segurança.
5.4. Os dados geridos pela Cumbuca são tratados em conformidade com a Lei Geral de Proteção de Dados e de acordo com o Marco Civil da Internet.
5.5. Temos processos definidos para garantir o ciclo de desenvolvimento seguro da informação.
5.6. Garantimos a proteção das máquinas dos nossos servidores e dos colaboradores, que protegem contra malwares e outros tipos de ataques.
5.7. Possuímos métodos para garantir a integridade dos nossos dados.
5.8. Gerenciamos e monitoramos os recursos dentro de nossa infraestrutura que sejam relevantes para o funcionamento de nosso sistema.
5.9. Gerenciamos todos os acessos internos e externos, sejam de colaboradores ou parceiros.
5.10. Classificamos a relevância de cada informação.
5.11. Monitoramos e buscamos manter a melhor infraestrutura possível para nosso negócio.
5.12. Todos os parceiros são previamente analisados para garantir que são capacitados, atendem e respeitam as regulamentações e legislações aplicáveis, principalmente no tocante ao tema de Segurança Cibernética.
5.13. Gerenciamos e prevenimos ocorrência de incidentes.
5.14. Possuímos um plano de continuidade de negócio.
5.15. Fazemos um controle das tecnologias utilizadas para garantir que são seguras.
5.16. Estamos sempre em busca de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético e nossos sistemas.
5.17. Possuímos processos internos para evitar a divulgação de dados não autorizados.
6. Manutenção desta política
6.1. Esta política será revisada, no mínimo, uma vez por ano, ou de acordo com as atualizações de procedimentos, leis e regulamentações aplicáveis.