Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Transcrição

1 1/6 Sumário: 01. OBJETIVO: CONCEITUAÇÃO / DEFINIÇÃO: ABRANGÊNCIA / ÁREAS ENVOLVIDAS: RESPONSABILIDADES: Responsáveis pela execução das atribuições desta política: Usuários: Gestores de informações: Administradores dos ativos de TI: Responsáveis pelo monitoramento da execução das atribuições desta política: Responsáveis pela manutenção desta política: ALÇADAS: DIRETRIZES: Acesso a Informações Ambiente de informática Propriedade dos dados: Chaves de Acesso: Contingência Registro de atividades Sanções disciplinares Acesso ao CPD Acesso aos andares do Bocom BBM CONSIDERAÇÕES FINAIS: LEGISLAÇÃO RELACIONADA: REFERÊNCIA INTERNA: BIBLIOGRAFIA: GLOSSÁRIO: CONTROLE DE VERSÕES: APROVAÇÕES: ANEXOS... 6

2 2/6 01. OBJETIVO: Esta política objetiva estabelecer padrões de comportamento com relação ao manuseio de informações, de modo a minimizar a ocorrência de incidentes de segurança e preservar a confidencialidade, a integridade e a disponibilidade das mesmas. 02. CONCEITUAÇÃO / DEFINIÇÃO: A informação é um ativo que tem alto valor para o Conglomerado Financeiro BOCOM BBM ( BOCOM BBM ). Toda informação deve ter um responsável pela definição da sua segurança de acesso. A Segurança da Informação refere-se à proteção da informação e é orientada pelos conceitos de confidencialidade, integridade e disponibilidade. 03. ABRANGÊNCIA / ÁREAS ENVOLVIDAS: A presente política aplica-se a todos os administradores, funcionários e estagiários do BOCOM BBM, além de prestadores de serviços que tiverem acesso às informações do mesmo, tanto através de recursos de informática quanto por qualquer outro meio de processamento, comunicação ou armazenamento. 04. RESPONSABILIDADES: Responsáveis pela execução das atribuições desta política: Usuários: Zelar pela segurança das informações e equipamentos do BOCOM BBM, utilizando-os de forma compatível com esta política e normativos em vigor. Respeitar os controles de segurança implantados no ambiente de TI com o objetivo de reforçar o cumprimento desta política. Estar ciente de que somente os dados armazenados em servidores da rede corporativa estão sujeitos aos procedimentos de backup e contingência. Os arquivos não devem ser armazenados localmente nos desktops ou nos dispositivos móveis. Os desktops e dispositivos móveis podem ter seus dados apagados pela TI a qualquer momento por questões de segurança. Não armazenar ou manusear dados pertencentes ao BOCOM BBM em equipamentos particulares ou de terceiros, salvo equipamentos homologados e disponibilizados por TI. Informar o Compliance caso verifique o descumprimento de alguma norma ou diretriz, ou ainda se algum controle estiver ausente ou sendo burlado. Exemplos de violações de acesso incluem, mas não estão limitados a: recebimento de correios eletrônicos e acesso a páginas web em desacordo com os normativos em vigor Gestores de informações: Zelar pela segurança das informações geridas, definindo os requisitos de confidencialidade, integridade e disponibilidade das mesmas. Aprovar os controles de segurança para as informações geridas. Autorizar e revogar permissões de acesso às informações geridas, mantendo controle das listas de acesso.

3 3/6 Ao autorizar um acesso, dar ciência ao usuário do nível de criticidade e da forma de utilização das informações em questão Administradores dos ativos de TI: Zelar pela segurança das informações e equipamentos do BOCOM BBM, garantindo que estes estejam configurados de acordo com as melhores práticas de segurança, as normas e os procedimentos de configuração internos. Garantir que os usuários tenham os privilégios mínimos nos dispositivos sob sua administração para que seja possível a realização de suas atividades. Orientar os demais usuários quanto às melhores práticas e à presente política. Implementar controles de acesso às informações e demais ativos de TI de acordo com o determinado pelos gestores das informações sob sua administração Responsáveis pelo monitoramento da execução das atribuições desta política: É de responsabilidade dos Gestores de Compliance e TI o monitoramento da execução das atribuições desta política Responsáveis pela manutenção desta política: É de responsabilidade da área de Compliance a manutenção e atualização desta política. 05. ALÇADAS: O Comitê Operacional é responsável pela aprovação de situações não previstas na presente política. 06. DIRETRIZES: Acesso a Informações O usuário deve ter acesso somente às informações necessárias ao desempenho das atividades determinadas pelo BOCOM BBM. O usuário é responsável por todas as ações realizadas através de suas chaves de acesso. As mesmas são pessoais, intransferíveis e de responsabilidade do usuário. Entende-se por chave de acesso qualquer forma de identificação que permita acesso a alguma informação do BOCOM BBM (por exemplo: senha, acesso biométrico, chaves, etc). Somente é permitida a saída de informações das dependências do BOCOM BBM de acordo com os critérios estabelecidos por política ou procedimento relacionado ao assunto. As informações relacionadas ao BOCOM BBM não deverão ser transmitidas através de telefones celulares. Informações mais detalhadas se encontram no Procedimento Operacional de Uso de Aparelhos Celulares Ambiente de informática Qualquer recurso tecnológico somente pode ser utilizado no ambiente do BOCOM BBM após a homologação e autorização pelo departamento de Informática. Todos os recursos de informática devem ser protegidos contra acessos indevidos e ter documentação atualizada e padronizada.

4 4/6 Todos os recursos de informática devem estar de acordo com as cláusulas contratuais acordadas com fornecedores e com a legislação vigente Propriedade dos dados: Todos os dados e informações criados no ambiente do BOCOM BBM, mesmo que para uso individual, permanecem como propriedade da instituição. Todos os dados armazenados nos recursos de TI do BOCOM BBM devem ter um responsável. Este será denominado o gestor e deverá ter um nível hierárquico mínimo de Gerente Adjunto. Em acordo com o item anterior, a gestão das informações não indica propriedade sobre as mesmas. A instituição não se responsabiliza pela privacidade, manutenção e guarda de dados pessoais armazenados no ambiente do Banco. Em caso de desligamento do colaborador, este poderá solicitar dados pessoais armazenados no ambiente do BOCOM BBM, porém, a solicitação passará pela deliberação do Gestor da Área e do Gestor de Compliance, que poderão aprovar ou não Chaves de Acesso: Não é permitido compartilhar sua(s) chave(s) de acesso. Em caso de suspeita da perda de sigilo, a(s) chave(s) de acesso deve(m) ser trocada(s) imediatamente. Em relação a chaves de acesso em meio tecnológico (senhas, biometria etc), seguir as orientações descritas na Política de Utilização dos Recursos de TI e na Política de Senhas Contingência As informações e processos dos quais depende a continuidade dos negócios do BOCOM BBM deverão contar com planos de contingência em ambiente de produção, backup site e/ou cópias de segurança Registro de atividades O acesso e uso de qualquer informação ou recurso de informática do BOCOM BBM poderá ser registrado através de trilhas de auditoria Monitoramento do conteúdo de mensagens O BOCOM BBM poderá monitorar e verificar o conteúdo de mensagens, incluindo s e chat da Bloomberg, conforme descrito em procedimento específico, enviadas por seus colaboradores através da rede do BOCOM BBM Sanções disciplinares O comportamento em desacordo com a presente política implicará sanções disciplinares de acordo com os procedimentos internos e a legislação vigente Acesso ao CPD O acesso ao CPD só poderá ser realizado por funcionários da equipe de TI-Operações.

5 5/6 Se algum funcionário (que não seja da área de TI-Operações) ou uma empresa desejar entrar no centro de processamento de dados deve ser acompanhado pela equipe responsável. Todo acesso deve ser controlado pelo log de acesso. Para obter acesso deve enviar um para a área de recursos humanos, a mesma deve validar se o usuário está na equipe responsável pelo CPD. A segurança do CPD é realizada pelos seguintes itens: Controle de acesso por biometria Combate a incêndio realizada por extintores Ambiente monitorado por câmeras Controle de temperatura e umidade É extremamente proibido entrar com bebidas e comidas nesse ambiente Acesso aos andares do Bocom BBM O acesso aos andares do banco Bocom BBM só poderá ser realizado por funcionários do banco, pessoas da empresa de limpeza, pessoas autorizadas pelo condomínio ou pessoas autorizadas pelo banco Bocom BBM. Qualquer outro acesso deve ser acompanhado por um funcionário. Todo acesso deve ser controlado pelo log de acesso. O controle de acesso é realizado pelo Administrativo do Bocom BBM A segurança do CPD é realizada pelos seguintes itens: Controle de acesso pelo crachá. Combate a incêndio realizada por extintores Ambiente monitorado por câmeras 07. CONSIDERAÇÕES FINAIS: Este documento é de uso estritamente interno, não devendo ser disponibilizado a terceiros sem que o Gestor da área de Compliance seja consultado. 08. LEGISLAÇÃO RELACIONADA: 09. REFERÊNCIA INTERNA: Política de Utilização dos Recursos de TI; Política de Senhas; Política de Elegibilidade para Uso de Dispositivos de Acesso Remoto;

6 6/6 Política de Gerenciamento de Mudanças; Política de Gerenciamento de Acessos; Política de Backup e Restore; Política de Gravações Telefônicas; Política de Utilização do Password Depot; e Política de Gestão da Continuidade Operacional. 10. BIBLIOGRAFIA: 11. GLOSSÁRIO: 12. CONTROLE DE VERSÕES: Versão Data Histórico Autores 1. 28/05/2010 Revisão Compliance / TI 2. 30/05/2011 Revisão Compliance 3. 05/06/2012 Revisão Compliance 4. 15/01/2015 Revisão TI 5. 15/05/2018 Revisão TI 6. 01/11/2018 Revisão Compliance/ TI 13. APROVAÇÕES: Carlos Jourdan Gerente de Compliance Alexandre Lowenkron Diretor de Risco e Operações 14. ANEXOS