Politica de Segurança Cibernética
1. OBJETIVO
Definir diretrizes públicas para proteção dos sistemas e serviços da Blu que se encontram em espaço cibernético (internet).
2. ABRANGÊNCIA
Esta política aplica-se a todos os colaboradores, bem como às empresas que fazem parte do Grupo Blu.
3. NORMAS E CERTIFICAÇÕES
〿AUDITORIA 〿LEIS e REGULAMENTAÇÕES (Bacen)
☐ISO ☐PCI
☐NENHUMA DAS NORMAS
4. DOCUMENTOS DE REFERÊNCIA
Código de Ética e Conduta da Blu
Política de segurança da informação da Blu
Política de privacidade da Blu
Lei N° 13.709/2018 (LGPD)
Resolução nº 85 do Banco Central (08/04/2021)
PCI-DSS Requirements and Security Assessment Procedures (v3.2.1)
ABNT NBR ISO/IEC 27001:2013
ABNT NBR ISO/IEC 27701:2019
5. DISPOSIÇÕES GERAIS
Todo normativo que esteja fora do prazo de vigência é considerado obsoleto até sua atualização.
Os colaboradores envolvidos no processo em questão estão cientes de que as diretrizes definidas neste documento poderão ser auditadas. Portanto, recomenda-se não salvar cópias dos normativos na área de trabalho/diretórios da rede ou imprimi-los. O colaborador deve sempre acessar o Sharepoint > Publico > Normativos Blu.
6. DEFINIÇÕES
Auditoria: processo que visa avaliar a conformidade das ações de seus colaboradores, estagiários, terceiros, fornecedores e parceiros em relação ao estabelecido nesta política e na legislação aplicável.
Confidencialidade: é a propriedade da informação pela qual deve garantir que a informação não estará disponível ou será divulgada a indivíduos, entidades ou processos sem autorização.
Conformidade: processo de garantia do cumprimento de um requisito com aspectos legais e regulatórios relacionados aos princípios éticos e de conduta estabelecidos pela Blu.
Dados: parte inicial de uma informação que permite chegar a elementos completos.
Disponibilidade: é a propriedade da informação pela qual deve garantir que a informação estará acessível e utilizável a quem se destina para atendimento aos requisitos de negócio da Blu ou sob demanda por uma entidade autorizadora, ou seja, estejam disponíveis a todos os usuários autorizados a tratá-las.
Informação: é o resultado do processamento, manipulação e organização de dados, de tal forma que represente conhecimento do sistema que a recebe.
Integridade: é a propriedade da informação pela qual deve garantir que a informação é confiável, ou seja, garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
Risco: a possibilidade de um determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a Blu.
Segurança da informação: é o conjunto de ações e controles com o objetivo de garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações.
Vulnerabilidade: bug, ponto fraco, brecha ou falha existente num determinado sistema ou recurso computacional, que pode ser explorada, causando prejuízo ao sistema ou recurso em questão. Também pode ser um conjunto de fatores internos ou causa potencial de incidente indesejado que podem resultar em risco para um sistema ou organização.
7. DIRETRIZES
A fim de proteger as informações presentes nos nossos sistemas, ambientes tecnológicos, processos e demais ativos de informação, a Blu implementa controles de segurança de acordo com as melhores práticas de mercado, como ISO 27001, ISO 27701, PCI DSS, resoluções e circulares do BACEN, entre outras.
Atento às diretrizes e regulamentações do mercado o qual está inserido e, portanto, em aderência ao PCI-DSS (Payment Card Industry Data Security Standards - Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), a Blu não armazena os dados completos de portador de cartão de pagamento em seus sistemas.
Informações sensíveis como dados pessoais dos clientes e colaboradores, dados de transações financeiras e demais informações relevantes para o negócio da Blu são protegidas de acesso indevido e alteração indevida através da implementação de eficientes controles de acesso lógico e físico. Entre os controles, estão incluídos: gestão de vulnerabilidades tecnológicas, controle de acesso a sistemas, autenticação segura e adequada nos sistemas, implementação de hardening nos ativos tecnológicos, controles criptográficos em dados sensíveis, no transito dos dados do ambiente de computação em nuvem, uso de tecnologias para proteção a ataques (detecção e prevenção de intrusão), uso de solução antimalware, mecanismos para a prevenção da perda de informações, controles que visem a rastreabilidade de informações sensíveis, configuração de trilhas de auditoria, contingenciamento de sistemas, realização de testes e varreduras periódicas para detecção de vulnerabilidades nos ambientes. Deste modo, será possível prevenir, detectar e reduzir vulnerabilidades e incidentes relacionados aos ambientes cibernéticos da Blu.
Desta forma o objetivo da segurança cibernética da Blu é garantir o tratamento adequado dos dados e proteger os mesmos, por meio de ferramentas, tais como: WAF – Web Aplicativo Firewall, SIEM - Security Information Events Management, NGFW – Next Generation Firewall, Antimalware e EDR - Endpoint Detection and Response, dentre outras, com o intuito de realizar a prevenção, mitigação e recuperação frente aos ataques cibernéticos.
Alguns procedimentos foram criados com o intuito de aumentar a eficácia dos controles executados na organização, a fim de diminuir a possibilidade de incidentes, nos quais são:
- Gestão de vulnerabilidades;
- Hardenings;
- Monitoramento de logs;
- Procedimento de Perímetro;
- Governança de acessos;
- Tratamento dos eventos de Threat Intelligence;
- Monitoramentos;
- Gestão de Alarmes;
- Gestão de Mudanças.
Além disso, a Blu utiliza os melhores serviços de infraestrutura disponíveis no mercado a fim de garantir alta disponibilidade dos nossos recursos tecnológicos.
A Blu garante que todas as responsabilidades pela segurança da informação nos ambientes contratados por ela, estejam claramente definidas e que os fornecedores contratados são competentes e capazes de cumprir com as atribuições de segurança da informação da Blu.
Além disso, todo fornecedor que capturar, transmitir ou armazenar informações consideradas sensíveis pela Blu deve assinar um contrato de confidencialidade para garantir que estas informações, na prestação de serviços, não serão divulgadas.
Todos os sistemas desenvolvidos pela Blu possuem orientação à segurança do código. Testes regulares são realizados em nossos sistemas para garantir que possuem um nível adequado de segurança.
Para garantir que os colaboradores da Blu possuem conhecimento sobre as melhores práticas de segurança, todos passam por treinamentos regulares para conscientização e aculturamento deste tema.
De maneira a se precaver ou tentar evitar incidentes de segurança e fraudes na utilização de produtos e serviços financeiros, a Blu pode, a qualquer tempo, compartilhar informações sobre segurança ou boas práticas de segurança com seus clientes e fornecedores.
A fim de garantir a eficiência dos controles e o adequado nível de segurança de nossos processos e sistemas, a Blu realiza, em intervalos regulares, análises de riscos de segurança da informação e auditoria nos principais processos. As oportunidades de melhorias encontradas nestas análises fazem parte do insumo utilizado na melhoria contínua dos controles relacionados à segurança da Blu.
Sempre que necessário, a Blu efetua também análise dos controles de segurança de seus fornecedores e parceiros mente protegida.
Os serviços da Blu possuem uma forte base de conhecimento para o gerenciamento e resposta a incidentes de segurança da informação, além de contar com monitoramento constante dos principais serviços e ativos de tecnologia. Desta forma todos os incidentes são registrados pelos times SGSI e NOC, fazendo assim em todos os casos a análise de cada incidente, no que se refere aos impactos que o incidente poderá ter causado à organização e/ou aos clientes. Além disso, todo incidente relevante para a organização deve ser comunicado ao Banco Central, contendo, porém não se limitando às seguintes informações:
⦁ Resumo do incidente;⦁ Ativos impactados;
⦁ Análise da causa raiz;
⦁ Impacto ocorrido;
⦁ Procedimentos / cenários de incidentes criados com relação ao incidente relevante.
Entretanto, caso alguém identifique um incidente ou um potencial incidente de segurança em algum dos serviços ou ativos da Blu, pode entrar em contato conosco através do e-mail: csirt@useblu.com.br - os incidentes que são notificados para a Blu são investigados e classificados. Uma vez confirmados pela Blu, os incidentes serão tratados de acordo com os procedimentos internos existentes.
A equipe de segurança da informação e demais colaboradores da Blu estão sempre focados em manter a proteção dos serviços e dados de seus clientes, parceiros comerciais e da própria empresa. Para garantir disponibilidade dos serviços críticos é necessário seguir os cenários e procedimentos estabelecidos. Em casos de incidentes como os relacionados a indisponibilidade, especialmente dos serviços críticos, é aconselhável criar, manter e testar cópias de segurança, para que seja possível reestabelecer o ambiente dentro do tempo adequado para cada processo / serviço.
AUDITORIA / LEIS e REGULAMENTAÇÕES (Bacen) / PCI: Revisão Anual
ISO e demais normativos: Revisão a cada 2 (dois) anos.
Diretoria Responsável: Tecnologia da Informação