POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Transcrição

1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 12/5/2017 INFORMAÇÃO PÚBLICA

2 ÍNDICE 1 OBJETIVO ABRANGÊNCIA CONCEITOS ESTRUTURA NORMATIVA DIRETRIZES RESPONSABILIDADES AÇÕES EM CASOS DE NÃO CONFORMIDADE DEFINIÇÕES DOCUMENTOS DE REFERÊNCIA INFORMAÇÕES DE CONTROLE INFORMAÇÃO INTERNA

3 1 OBJETIVO Estabelecer os conceitos e diretrizes de segurança da informação, visando proteger as informações da organização, dos clientes e do público em geral. 2 ABRANGÊNCIA A presente Política de Segurança da Informação (Política) aplica-se a todos os funcionários, estagiários, prestadores de serviços da B3 S.A. Brasil, Bolsa, Balcão (Companhia) e suas entidades controladas. 3 CONCEITOS A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos: Confidencialidade: Garante que a informação seja acessível somente pelas pessoas autorizadas, pelo período necessário; Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas sempre que se fizer necessária; e Integridade: Garante que a informação esteja completa e íntegra e que não tenha sido modificada ou destruída de maneira não autorizada ou acidental durante o seu ciclo de vida. 4 ESTRUTURA NORMATIVA A estrutura normativa da Segurança da Informação da Companhia é composta por um conjunto de documentos, relacionados a seguir. Política: define a estrutura, as diretrizes e os papeis referentes à segurança da informação; Normas: estabelecem regras, definidas de acordo com as diretrizes da Política, a serem seguidas em diversas situações em que a informação é 3 INFORMAÇÃO INTERNA

4 tratada; e Procedimentos: instrumentam as regras dispostas nas Normas, permitindo a direta aplicação nas atividades da Companhia. 5 DIRETRIZES A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da Companhia. Tais diretrizes devem nortear a elaboração das Normas e dos Procedimentos. Aspectos gerais As informações (em formato físico ou lógico) e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da Companhia, não podendo ser interpretados como de uso pessoal; Todos os funcionários, estagiários e prestadores de serviços devem ter ciência de que o uso das informações e dos sistemas de informação é monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da Política e das Normas de Segurança da Informação, podendo estas servir como evidência para a aplicação de sanções, como medidas disciplinares, processos administrativos e/ou judiciais; Todo processo, sempre que possível, deve garantir a segregação de funções por meio da participação de mais de uma pessoa ou equipe. Tratamento da informação Para assegurar a proteção adequada às informações, deve existir um método de classificação da informação de acordo com o grau de confidencialidade e criticidade para o negócio da Companhia; As informações devem ser atribuídas a um responsável, formalmente designado como responsável pela autorização de acesso às informações sob 4 INFORMAÇÃO INTERNA

5 a sua responsabilidade; Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da Companhia em todo o seu período de utilização, que compreende: geração, manuseio, armazenamento, transporte e descarte; A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada. Gestão de acessos e identidades O acesso às informações e aos ambientes tecnológicos da Companhia deve ser controlado de acordo com sua classificação, de forma a garantir acesso apenas às pessoas autorizadas; Os acessos aos funcionários, estagiários e prestadores de serviços devem ser solicitados somente com relação às informações necessárias ao desempenho de suas atividades. Gestão de incidentes de segurança da informação Em casos de violação desta Política e/ou das Normas de Segurança da Informação, o Comitê Gestor de Segurança da Informação ( CGSI ) realizará deliberações somente nos incidentes classificados com alta criticidade. Os demais casos não classificados com alta criticidade serão tratados pelo fluxo normal de resposta a incidentes. Após deliberações, o CGSI recomendará ao Diretor Executivo uma ação disciplinar a ser tomada. PARTES EXTERNAS Os contratos entre a Companhia e empresas prestadoras de serviços com acesso às informações, aos sistemas e/ou ao ambiente tecnológico da Companhia devem conter cláusulas que garantam a confidencialidade entre as partes e que assegurem minimamente que os profissionais sob sua 5 INFORMAÇÃO INTERNA

6 responsabilidade cumpram a Política e as Normas de Segurança da Informação. 6 RESPONSABILIDADES De forma geral, cabe a todos os funcionários, estagiários e prestadores de serviços: Cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação da Companhia; Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela Companhia; Assegurar que os recursos tecnológicos, as informações e sistemas a sua disposição sejam utilizados apenas para as finalidades aprovadas pela Companhia; Cumprir as leis e as normas que regulamentam a propriedade intelectual; Não discutir assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (como, por exemplo, aviões, transporte, restaurantes, encontros sociais, etc.) incluindo a emissão de comentários e opiniões em blogs e redes sociais; Não compartilhar informações confidenciais de qualquer tipo com pessoas não autorizadas; Comunicar imediatamente à área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos. Área de gestão de segurança da informação Cabe à área de Gestão de Segurança da Informação: 6 INFORMAÇÃO INTERNA

7 Prover todas as informações de gestão de Segurança da Informação solicitadas pelo CGSI ou pela Diretoria Executiva; Prover ampla divulgação da Política e das Normas de Segurança da Informação para todos os funcionários, estagiários e prestadores de serviços; Promover ações de conscientização sobre Segurança da Informação para os funcionários, estagiários e prestadores de serviços; Propor projetos e iniciativas relacionados ao aperfeiçoamento da segurança da informação da Companhia; Estabelecer procedimentos relacionados à instrumentação da segurança da informação da Companhia. 7 AÇÕES EM CASOS DE NÃO CONFORMIDADE As regras que estabelecem o controle e o tratamento de situações de não conformidade relativas à Política e às Normas de Segurança da Informação da Companhiadevem ser tratadas conforme a Política de Gestão de Riscos Corporativos vigente. Na ocorrência de violação da presente Política ou das Normas de Segurança da Informação, a Diretoria Executiva poderá adotar, com o apoio das Diretorias Jurídica e de Recursos Humanos, sanções administrativas e/ou legais, que poderão culminar com o desligamento e eventuais processos criminais, se aplicáveis. 8 DEFINIÇÕES Ativos de Informação: conjunto de informações, armazenado de modo que possa ser identificado e reconhecido como valioso para a Companhia. Informação: resultado do processamento e organização de dados (eletrônicos ou físicos) ou registros de um sistema. É composta por dados, mas um 7 INFORMAÇÃO INTERNA

8 conjunto de dados não necessariamente é considerado uma informação. Sistemas de informação: de maneira geral, são sistemas computacionais utilizados pela Companhia para suportar suas operações. Segregação de funções: consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário, estagiário ou prestador de serviço detenha poderes e atribuições em desacordo com este princípio. Comitê Gestor de Segurança da Informação: grupo multidisciplinar composto por membros das Diretorias Executivas da Companhiacom o objetivo de avaliar a estratégia e diretrizes de segurança da informação seguidas pela Companhia. 9 DOCUMENTOS DE REFERÊNCIA Código de Conduta; Política de Gestão de Riscos Corporativos; e Série ISO INFORMAÇÕES DE CONTROLE Vigência: a partir de maio de ª Versão: 16/02/2009 Responsáveis pelo documento: Responsável Elaboração Revisão Área Gerência de Segurança da Informação Diretoria de Projetos e Governança de TI Diretoria de Controles Internos, Compliance e Risco Corporativo Comitê Gestor de Segurança da Informação 8 INFORMAÇÃO INTERNA

9 Aprovação Conselho de Administração Registro de alterações: Versão Data Modificação 1 16/02/2009 Versão Original /08/2009 Primeira revisão da Política /12/2010 Inclusão da abrangência da Política, atualização das nomenclaturas das áreas e revisão na aplicação da Política. 2 08/03/ /05/ /05/2014 Ampliação das diretrizes, substituição de glossário por definições, remoção de regras da Política. Revisão geral, foco nas diretrizes corporativas para a Segurança da Informação. Inclusão dos conceitos e gestão de incidentes, simplificação das diretrizes e responsabilidades. 5 12/05/2017 Adequação para B3 S.A. Brasil, Bolsa, Balcão 9 INFORMAÇÃO INTERNA