Política de Segurança da Informação e Segurança Cibernética
Confira a política na íntegra
Os pilares da política de Segurança da Informação e Cibernética do Grupo Inter estão aderentes aos valores da Instituição e presentes no cumprimento da função de todos os colaboradores. As suas premissas são:
Proteger as informações e ativos de tecnologia da informação contra acesso, modificação, destruição ou divulgação não autorizados;
Garantir a continuidade do processamento das informações críticas ao negócio;
Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual e atender às leis e normas que regulamentam as atividades do Grupo Inter e seu mercado de atuação;
Determinar os mecanismos de gestão de riscos cibernéticos.
A área de SEGURANÇA DA INFORMAÇÃO E GOVERNANÇA DE DADOS é responsável por manter, atualizar e divulgar a Política de Segurança da Informação e Cibernética, as normas e procedimentos que dela derivam. Esta Política aplica-se a todos os administradores, colaboradores, terceiros e demais envolvidos nas atividades do Grupo Inter.
Princípios
A nossa visão sobre Segurança da Informação e Cibernética está baseada nos seguintes princípios:
Confidencialidade
Somente o usuário da informação, que esteja devidamente autorizado pelo Gestor da Informação, deve ter acesso às Informações respeitando os critérios de segregação de funções pré definidos;
Integridade
Garantir que informações não sejam alteradas desde a sua criação até seu uso. Eventuais alterações, supressões e/ou adições devem ser autorizadas pelo Gestor da Informação;
Disponibilidade
Deve garantir que as Informações estejam sempre disponíveis para o Usuário da Informação;
Autenticidade
Garante a identidade de quem está enviando a Informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não pode se esquivar da autoria da mensagem (irretratabilidade)
Abrangência em Sistemas e Ativos Computacionais
As premissas definidas em política são aplicáveis a todos os ambientes computacionais de processamento de dados do Grupo Inter, estendendo, mas não se limitando a todos os servidores, bases de dados, sistemas operacionais, hardware, software, dispositivos de redes, telefonia, dispositivos móveis, além de ambientes de terceiros que de forma física ou lógica estejam integrados ou conectados nos ambientes do Grupo Inter e seu parque tecnológico.
O Grupo Inter pauta suas ações em boas práticas do mercado nacional e internacional, são elas:
- ISO 27002 – Políticas para segurança da informação;
- ISO 27701 – Gestão da Privacidade da Informação;
- CIS – Center for Internet Security.
Responsabilidades
Nossos controles internos de segurança da informação são atribuídos nas seguintes dimensões:
- Inventário e Controle de Ativos de Hardware;
- Inventário e Controle de Ativos de Software;
- Gerenciamento contínuo de vulnerabilidades;
- Uso controlado de privilégios administrativos;
- Configurações seguras para hardware e software;
- Manutenção, monitoramento e análise de Logs de Auditoria;
- Proteções de e-mail e navegador da web;
- Defesas contra malware;
- Limitação e controle de portas de rede, protocolos e serviços;
- Recursos de Recuperação de Dados;
- Configuração segura para dispositivos de rede, como firewalls, roteadores e switches;
- Defesa de Fronteira;
- Proteção de dados;
- Acesso controlado com base no conceito “need-to-know“;
- Controle de acesso sem fio;
- Monitoramento e Controle de Contas;
- Implementar um programa de conscientização e treinamento em segurança;
- Segurança de Software de Aplicação;
- Gerenciamento e Resposta a Incidentes;
- Testes de penetração e exercícios do time de resposta a incidentes;
- Descarte de informações;
- Gestão de continuidade de negócios;
Conformidade
Caso o Grupo Inter identificar uma conduta não aderente ou o descumprimento das diretrizes estabelecidas, serão tomadas as medidas administrativas e ou legais cabíveis.