Política: Política de Gestão de Dados Versão: 1.00 Responsável: Diretor Roberto Chateaubriand Tel.: +55 (11) 3556-7208 Gestor Carlos Bacetti Tel.: +55 (11) 3556-7240 Colaborador Michel Roque Tel.: +55 (11) 3556-7419 Objetivo da Política: Esta política documenta os requerimentos mínimos para a Gestão de Dados, incluindo: Definição de dados estruturados e não estruturados; Alinhamento com o apetite de risco; Principais exigências para a entrega da gestão de dados estruturados e não estruturados. Comitê(s) relacionado(s): Executivo / Riscos / Credito / Investimentos / Incidentes Público-Alvo (Áreas envolvidas) Comercial Subscrição (Técnica) Operações (Emissão) Resseguro Financeiro & Atuarial Sinistros Recursos Humanos Jurídico & Compliance TI & Projetos Administrativo Marketing & Planejamento Estratégico Riscos Corporativos Datas: Elaborada 01/05/2016 Aprovada 99/99/9999 Publicada 99/99/9999 10/08/2016 Motivo: Motivo: Motivo: Motivo: Motivo:
Relação de Leis & Regulamentações: Política(s) SURA relacionada(s): Subscrição Pessoas Controle Financeiro Divulgação e Confidencialidade Seg. da Informação Resseguro Gestão de Terceiros Reputação e Mídia Social Tecn. de Informação Investimentos Conformidade Regulatória Risco Operacional Gestão de Dados Crédito Lavagem de Dinheiro Continuidade Operacional Sustentabilidade Reservas Corrupção, Presentes e Hospitalidades e Conflito de Transparência Sinistros Interesses Risco Legal e Concorrência Glossário (Palavras-chaves para entendimento da política) Stakeholders Pessoas/partes interessadas
A) Estrutura deste documento 1 Introdução 2 Escopo da Política e Definição 3 Fora do Escopo 4 Alinhamento com o Apetite de Risco 5 Requisitos da Política 6 Desenho, Operação e Documentação de Controles 7 Validação de Controle 8 Papéis e Responsabilidades 9 Escalação 10 Atualização da Política B) Tabelas / Matrizes / Limites / Listas C) Riscos relacionados à Política / Controles Associados D) Indicadores de Gestão / Processos (KPI, KRI, etc.) E) Reportes Locais, Grupo SURA e Regulamentação inerente F) Organograma / Lista de Contatos G) Terminologia utilizada no Mercado H) Fluxograma I) Anexos / Formulários / Processos / Treinamentos
1. Introdução 1.1 Por que a política é importante para a Seguros SURA? A efetiva gestão de dados possibilita ao negócio: Assegurar que os ativos de informação recebam níveis adequados de proteção; Assegurar que os controles críticos sejam adequadamente definidos e implementados; Assegurar a conformidade com as exigências regulatórias e estatutárias. 1.2 Implicações de Falhas Materiais em Segurança da Informação relacionada a ativos de dados Existe uma série de potenciais implicações de falhas materiais nos controles de gestão de dados, incluindo: Reparação a clientes/stakeholders a respeito de informações comprometidas; Multas de órgãos reguladores; Perda de confiança do investidor e do cliente; Perda de oportunidades de negócio; Dano reputacional. 1.3 Quando e onde se aplica? Esta política se aplica a todos os negócios da Seguros SURA, detidos total ou majoritariamente, e a todas as empresas associadas nas quais a Seguros SURA tenha controle de gestão. 1.4 O que deve ser feito para estar em conformidade? O dono da política deve assegurar que a Política de Gestão de Dados do Grupo e a estrutura operacional associada estejam implementadas para entregar os requisitos mínimos estabelecidos e a implementação de padrões: Os requerimentos mínimos estão definidos no Item 5; Esta política é suportada por um nível menor de detalhe e escopo; isto é fornecido no Padrão de Gestão de Dados, suporte da implementação. A falha na implementação e manutenção de controles adequados, da validação de controle e dos processos de garantia podem resultar em consequências pessoais de desempenho para os responsáveis pelos processos. Violações à política serão levadas a sério pela empresa e poderão resultar em procedimentos disciplinares e, em último caso, em demissão (de acordo com as leis aplicáveis e/ou contrato de trabalho). A efetividade dos controles, da validação de controle e da garantia estabelecidos nesta e em outras políticas é importante para evitar o descumprimento deliberado das políticas em todos os níveis, inclusive no nível gerencial. 2. Escopo da Política e Definição Esta política se aplica a todos os negócios da Seguros SURA, detidos total ou majoritariamente, e a todas as empresas associadas nas quais a Seguros SURA tenha controle de gestão.
Esta política se aplica às informações listadas abaixo e aos ativos utilizados no manuseio destas informações: Armazenados em bancos de dados; Armazenados em computadores e transmitidos internamente e/ou através de redes públicas; Armazenados em dispositivos removíveis como CD-ROMs, dispositivos USB, discos rígidos, fitas e outros dispositivos similares; Armazenados em mídia fixa como discos rígidos (HD); Impressos ou escritos à mão em papel, quadros, flip charts, etc.; Apresentados em slides e projetores (mídia audiovisual); Verbais durante telefonemas, reuniões ou conversas; Enviados por fax, telex ou outras formas de comunicação. Definições a. Dados estruturados: Dados armazenados em um local de armazenamento de dados cujas estruturas foram definidas para aceitar os dados em um formato específico, validado durante a atualização. Em algumas situações, pode incluir campos de texto livres. b. Dados não estruturados: Dados armazenados em formato livre. Isto inclui documentos gerais, geralmente armazenados em servidores de arquivos, em arquivos de mensagem (e-mail) e em desktop/laptop. Isto também inclui as aplicações definidas pelo usuário como planilhas de Excel e bancos de dados do Access, nos quais o formato dos dados é definido pelo usuário. c. Locais de armazenamento de dados: Os locais de armazenamento de dados são mencionados na política acima. No entanto, pode ser mais prático considerar as aplicações ou sistemas para atingir os mesmos objetivos, o que é aceitável, desde que todos os locais de armazenamento de dados sejam incluídos na avaliação. 3. Fora do Escopo 4. Alinhamento com o Apetite de Risco Esta política suporta as declarações do apetite de risco, conforme aprovado pelo Comitê (Board). A empresa deve considerar o apetite de risco contido no documento Risk Appetite Statement (Declaração do Apetite de Risco). 5. Requisitos da Política Os donos e a classificação devem ser identificados para todos os dados, com controles implementados em linha com a classificação. 5.1 Dados Estruturados Os locais de armazenamento de dados (veja a definição abaixo) devem ser avaliados em relação a confidencialidade, integridade e disponibilidade. Os locais de armazenamento de dados devem ter donos (business owners) que estejam cientes e cumpram suas responsabilidades. São elas:
Realizar todas as tarefas atribuídas ao business owner. É responsabilidade do business owner compartilhar ou delegar tarefas quando necessário. Os locais de armazenamento de dados podem ter mais de um dono; Participar e aceitar os resultados da avaliação de risco em conjunto com a equipe de Segurança da Informação; Classificar de forma apropriada a informação nos locais de armazenamento de dados; Os locais de armazenamento de dados com alto impacto devem ser revisados para assegurar que a garantia necessária de proteção seja alcançada por meio de controles efetivos. Isto deve considerar todas as aplicações que acessem os locais de armazenamento de dados. Relatórios periódicos devem existir a fim de que os business owners estejam cientes dos riscos que os sistemas de suas responsabilidades estão sujeitos e consigam implantar ações corretivas. 5.2 Dados Não Estruturados Uma avaliação de risco deve ser realizada nos dados não estruturados para identificar os principais riscos e vulnerabilidades. Esta avaliação deve ser aceita pelos donos de negócio (business owners) e incluir atividade de remediação que seja documentada e monitorada. Os controles de proteção de dados não estruturados devem ser documentados e revisados regularmente. 6. Desenho, Operação e Documentação de Controles Os requisitos mínimos contidos no Item 5 devem ser implementados exatamente como especificados. Pedidos de exceção para os requisitos mínimos devem ser documentados, gerenciados e aprovados. Donos devem ser identificados para todos os controles, sendo responsáveis pela entrega e demonstração da operação dos controles. 7. Validação de Controle A validação é uma atividade da primeira linha de defesa para assegurar que os controles são desenhados e operam efetivamente. Qualquer fraqueza identificada no processo de validação de controle deve ser escalada ao Gestor Proprietário da política para que seja acordado o curso da ação. 8. Papéis e Responsabilidades O Executivo Proprietário (Primeira Linha de Defesa) é responsável pela incorporação da política na empresa e por designar um Gestor Proprietário. O Gestor Proprietário (Primeira Linha de Defesa) é responsável pelo desenvolvimento e incorporação da política na empresa, monitorando e coordenando as atividades, conforme apropriado. A Função de Risco (Segunda Linha de Defesa) é responsável pela garantia e supervisão do desenvolvimento e implementação da política dentro da empresa.
O Executivo Proprietário, o Gestor Proprietário e a Função de Risco devem seguir os procedimentos de políticas estabelecidos no Sistema de Gerenciamento de Riscos. Os responsáveis por reportar regularmente informações de risco operacional ao Gestor Proprietário e à Função de Risco devem ser claramente identificados. 9. Escalação Eventualmente, algumas questões poderão exigir a escalação fora dos padrões de reporte e podem incluir violações ao apetite de risco ou descumprimento desta política. Os responsáveis por esta ação devem ser claramente identificados. Eventos de risco A empresa deve reportar eventos de risco à Função de Risco, que determinará a forma de gerenciar a resposta. 10. Atualização da Política Esta política será revisada anualmente pelo Gestor Proprietário (Managing Owner). Quaisquer recomendações de alteração devem ser revisadas pelo comitê apropriado ou pelo Comitê (Board). B) Tabelas / Matrizes / Limites / Listas. C) Riscos relacionados à Política / Controles Associados D) Indicadores de Gestão / Processos (KPIs, KRI, etc.) Documentos disponíveis em diretório específico de TI. E) Reportes Locais, Grupo SURA e Regulamentação inerente
F) Organograma / Lista de Contatos G) Terminologia utilizada no Mercado H) Fluxograma Fluxos disponíveis em diretório específico de TI. I) Anexos / Formulários / Processos / Treinamentos Processos disponíveis em diretório específico de TI.