Política de Segurança da Informação

Definição

Este documento descreve diretrizes sobre a Política de Segurança da Informação da Taxcel, cujas regras e procedimentos são de cunho confidencial, publicadas internamente. Tais diretrizes orientam o uso aceitável dos ativos de informação da instituição, baseadas nos princípios de confidencialidade, integridade e disponibilidade.

Público-alvo

Taxcel, Terceiros, Prestadores de Serviços, Clientes e Parceiros.

Objetivo

• Estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da Taxcel adotar padrões de comportamento seguro, adequados às suas metas e necessidades;
• Orientar colaboradores quanto à adoção de controles e processos para atendimento dos requisitos de Segurança da Informação;
• Capacitar colaboradores da Taxcel no que se refere à prevenção, detecção e resposta a incidentes de Segurança da Informação;
• Prevenir possíveis causas de incidentes de Segurança da Informação;
• Resguardar ativos de informação e/ou tecnológicos da Taxcel, garantindo requisitos de confidencialidade, integridade e disponibilidade;
• Minimizar os riscos de perdas financeiras, da confiança do cliente ou de qualquer outro impacto negativo no negócio da Taxcel como resultado de falhas de segurança.

Responsabilidades

A Política de Segurança da Informação da Taxcel trata sobre responsabilidades gerais da instituição, de seus colaboradores e terceiros, bem como a Alta Administração.

• A Taxcel nomeará um ou mais representantes de segurança responsáveis pela coordenação e monitoramento das regras e procedimentos de segurança.
• O pessoal da Taxcel com acesso aos Dados estará sujeito a obrigações de confidencialidade.
• A Taxcel terá um programa de gestão de risco em vigor para identificar, avaliar e tomar as ações apropriadas com relação aos riscos relacionados ao processamento dos Dados.

Conscientização e Treinamentos de Segurança da Informação

A Taxcel define diretrizes de educação contínua para o aculturamento de boas práticas de segurança e disseminação para utilização no dia a dia dos colaboradores, seja para fins profissionais quanto para fins pessoais. A Política aborda procedimentos utilizados no programa de conscientização da instituição, tais como treinamentos e informativos internos.

No treinamento de segurança a Taxcel irá:

1. Informar seu pessoal sobre os procedimentos de segurança relevantes e suas respectivas funções.
2. Informar o seu pessoal sobre as possíveis consequências da violação das regras e procedimentos de segurança.
3. Utilizar apenas dados anônimos no treinamento.

Gestão de Riscos de Segurança da Informação

A gestão de riscos cibernéticos é de responsabilidade da área de Segurança da Informação. Este processo identifica os requisitos de segurança relacionados às necessidades da instituição. A gestão de riscos cibernéticos é contínua e define contextos internos e externos para avaliação, além de tratar riscos identificados de modo que sejam reduzidos a níveis aceitáveis.

Gestão de Senhas

A Taxcel faz o uso das melhores práticas de uso de senhas, exigindo uma complexidade determinada para criação, assim como evita a reutilização de senhas anteriores. As senhas são geradas com a exigência de caracteres mínimos definidos, bloqueio por tentativa sem sucesso e contêm uma periodicidade exigida para alteração.

Gestão dos Ativos

A Taxcel manterá um inventário completo de ativos de sua infraestrutura, rede, aplicativos e ambientes em nuvem. A Taxcel também manterá um inventário de todas as suas mídias nas quais os Dados são armazenados. O acesso aos inventários de tais mídias será restrito ao pessoal das Partes com autorização por escrito para tal acesso.

Proteção e Classificação da Informação

A Taxcel estabelece diretrizes para a classificação, manuseio e rotulagem dos ativos de informação da empresa. O documento interno prevê todas as diretrizes utilizadas para a classificação da informação, descreve suas categorias, prevê ainda diretrizes para o manuseio da informação, para o descarte da informação, descreve regras sobre prevenção a vazamento de dados e políticas, sobre cópias e restauração de dados (backup e restore), bem como sobre criptografia.

Uso Aceitável de Recursos Tecnológicos

Os recursos de tecnologia da Taxcel devem ser utilizados de forma profissional, ética e legal, conforme definido no termo de responsabilidade aplicável. A Política de Segurança da Informação aborda a definição de recursos tecnológicos, além de regras que tratam deste tema, pelas quais os colaboradores e terceiros da Taxcel devem seguir.

Gestão de Identidade e Acessos

A Taxcel estabelece diretrizes gerais para acesso a ativos e sistemas de informação. Toda gestão de acessos é de responsabilidade da área de Tecnologia da Informação e é baseada no princípio da necessidade de acesso à informação para a execução das atividades laborais do colaborador.

A Política define diretrizes, tais como:

• Perfis de Acessos das Áreas de Negócio;
• Processo de Admissão ou Transferência de Área de Colaboradores;
• Processo de Desligamento de Colaboradores;
• Acesso de Terceiros, Visitantes e Temporários;
• Acesso a Banco de Dados;
• Acesso Remoto;
• Acesso Físico;
• Revisão de Acessos;
• Parametrização de Senhas; e
• Múltiplo Fator de Autenticação.

Em relação à política de acesso, a Taxcel irá:

1. Manter e atualizar um registro do pessoal autorizado a acessar os Dados de Cliente por meio de seus sistemas.
2. Quando for responsável pelo provisionamento de acesso, fornecer imediatamente as credenciais de autenticação.
3. Desativar as credenciais de autenticação quando essas credenciais não tiverem sido usadas por um período de tempo (esse período de não uso não deve exceder 90 dias).
4. Desativar as credenciais de autenticação após a notificação de que o acesso não é mais necessário (por exemplo, demissão de funcionário, reatribuição de projeto, etc.) dentro de cinco dias úteis.
5. Identificar o pessoal que pode conceder, alterar ou cancelar o acesso autorizado aos dados e recursos.
6. Certificar-se de que, onde mais de um indivíduo tiver acesso aos seus sistemas contendo Dados do Cliente, os indivíduos tenham identificadores / logins exclusivos (ou seja, nenhum id compartilhado).
7. Permitir que seu pessoal de suporte técnico tenha acesso aos Dados do Cliente apenas quando necessário.
8. Manter controles que permitam o acesso de emergência aos sistemas de produção por meio de firefighter ids, ids temporários ou ids gerenciados por uma solução de gerenciamento de acesso privilegiado (PAM).
9. O acesso aos Dados do Cliente em seus sistemas apenas aos indivíduos que precisam de tal acesso para desempenhar suas funções.
10. Limitar o acesso aos Dados do Cliente em seus sistemas apenas aos dados minimamente necessários para executar os serviços.
11. Reforçar a segregação de funções entre seus ambientes de forma que nenhuma pessoa individual tenha acesso para realizar tarefas que criam um conflito de interesse de segurança (por exemplo, desenvolvedor / revisor, desenvolvedor / testador).

Segurança Física e Ambiental

a) Acesso físico às instalações. A Taxcel só permitirá que indivíduos autorizados acessem suas instalações onde os sistemas de informação que processam Dados estão localizados.

b) Acesso físico aos componentes. A Taxcel manterá registros da mídia de entrada e saída contendo Dados, incluindo o tipo de mídia, o remetente/ destinatário autorizado, data e hora, o número de mídia e os tipos de Dados contidos em tais mídias.

c) Descarte de componentes. A Taxcel usará processos padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para excluir os Dados quando eles não forem mais necessários.

Criptografia

Os ativos de informação da Taxcel possuem criptografia adequada, a fim de garantir a proteção em todo o ciclo de vida da informação, em conformidade com padrões de segurança dos órgãos reguladores.

Autenticação

Em relação à autenticação a Taxcel irá:

1. Utilizar as práticas padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para identificar e autenticar usuários que tentam acessar seus sistemas de informação.
2. Quando os mecanismos de autenticação são baseados em senhas, exigir que as senhas sejam renovadas regularmente.
3. Quando os mecanismos de autenticação são baseados em senhas, exigir que a senha contenha pelo menos oito caracteres e três dos quatro tipos de caracteres a seguir: numérico (0-9), minúsculo (az), maiúsculo (AZ), especial (por exemplo, !, *, &, etc.).
4. Certificar-se de que identificadores desativados ou expirados não sejam concedidos a outros indivíduos.
5. Monitorar as tentativas repetidas de obter acesso aos seus sistemas de informação usando uma senha inválida.
6. Manter procedimentos padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para desativar senhas que foram corrompidas ou divulgadas inadvertidamente.
7. Utilizar as práticas de proteção de senha padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável), incluindo práticas destinadas a manter a confidencialidade e integridade das senhas quando são atribuídas e distribuídas, bem como durante o armazenamento.
8. A Taxcel implementará a autenticação multifator para acesso interno.

Desenvolvimento de Software

A Taxcel desenvolve suas aplicações conforme procedimentos, documentos e instruções de trabalhos internos, seguindo práticas de segurança da informação, alinhado com a Política de Segurança interna.

Os ambientes de produtivos são segregados dos demais ambientes e com acesso por usuários previamente autorizados ou por ferramentas homologadas.

Todos os sistemas ou aplicações adquiridas de terceiros, devem seguir diretrizes definidas na Política de Segurança da Informação e devidamente homologados.

Proteção Contra Códigos Maliciosos

A Taxcel define diretrizes e utiliza ferramentas líderes de mercado para a proteção contra ameaças de códigos maliciosos (malwares). Além disso, a Taxcel conta com soluções de segurança baseadas em IA (Inteligência Artificial), para identificação, detecção e resposta imediata a ameaças.

Monitoramento de Segurança

A Política de Segurança da Informação trata sobre o monitoramento de segurança, descrevendo os aspectos necessários para identificação de eventuais ameaças. A Taxcel conta com práticas, procedimentos e processos eficazes para monitorar as atividades relativas à segurança.

Gestão de Vulnerabilidade e Conformidade

A Taxcel possui processos de gestão de vulnerabilidade e conformidade, de modo que as seguintes diretrizes estão estabelecidas:

• Gestão de Vulnerabilidade;
• Gestão de Conformidade;
• Testes Periódicos de Segurança; e
• Correções de Segurança (Gestão de Patch).

Pelo menos anualmente, a Taxcel realizará avaliações de penetração e vulnerabilidade nos ambientes de TI da Taxcel de acordo com as políticas de segurança interna e práticas padrão da Taxcel.

Projeto e Gerenciamento de Redes e Aplicativos

• a) Possuir controles para evitar que indivíduos obtenham acesso não autorizado aos Dados do Cliente em seus sistemas.
• b) Utilizar a prevenção contra perda de dados baseada em e-mail para monitorar ou restringir a movimentação de dados sensíveis.
• c) Utilizar a filtragem da web baseada em rede para impedir o acesso a sites não autorizados.
• d) Utilizar IDs de usuário temporários para acesso de produção.
• e) Utilizar detecção e/ou prevenção de intrusão de rede em seus sistemas.
• f) Utilizar padrões de codificação seguros.
• g) Procurar e corrigir vulnerabilidades OWASP em seus sistemas.
• h) Manter os padrões de configuração de segurança de servidor, rede, infraestrutura, aplicativos e nuvem atualizados.
• i) Realizar uma varredura em seus ambientes para garantir que as vulnerabilidades de configuração identificadas foram corrigidas.

Gerenciamento de Patch

A Taxcel terá um procedimento de gerenciamento de patch que implanta patches de segurança para seus sistemas utilizados para processar Dados, que inclua:

1. Tempo definido permitido para implementação de patches (não superior a 90 dias para patches altos ou médios conforme definido pela respectiva norma da Parte); e
2. Processo estabelecido para lidar com patches de emergência ou críticos assim que possível.

Backup

A Taxcel adota soluções de Backup e Disaster Recovery para a proteção de seus dados contra perda de informação.

Testes periódicos são adotados para garantir a integridade das informações, averiguar a eficácia dos processos e estabelecer melhorias.

A Taxcel deverá:

1. Possuir procedimentos específicos de recuperação de dados com relação aos seus sistemas, desenvolvidos para permitir a recuperação dos Dados do Cliente mantidos em seus sistemas.
2. Revisar seus procedimentos de recuperação de dados pelo menos uma vez por ano.
3. Registrar os esforços de restauração de dados em relação aos seus sistemas, incluindo a pessoa responsável, a descrição dos dados restaurados e, quando aplicável, a pessoa responsável e quais dados (se houver) tiveram que ser inseridos manualmente no processo de recuperação de dados.

Respostas a Incidentes de Segurança

A Taxcel define diretrizes para prevenir, responder e tratar adequadamente incidentes de Segurança que estejam impactando ou podem vir a impactar ativos/serviços de informação ou recursos tecnológicos da instituição.

Neste tópico, a Política trata sobre responsabilidades das áreas na prevenção e resposta a incidentes.

Além disso, a Política descreve regras de priorização e severidade com relação a possíveis incidentes, procedimentos sobre a definição de autoridades e regras para a elaboração de cenários de testes de continuidade de negócios.

Cabe ainda ressaltar que a Taxcel possui um Plano de Respostas a Incidentes, contendo metodologia e diretrizes para o tratamento de incidentes de Segurança Cibernéticas.

Gestão de Continuidade de Negócios

A Taxcel realiza a gestão de continuidade de negócios com soluções, estratégias e procedimentos a serem executados durante eventuais cenários de contingência alinhados com o propósito e metas estratégicas da instituição. Para tal, a Taxcel possui um Plano de Continuidade de Negócios (PCN) que cumpre funções definidas em documentos internos.

Gestão de Terceiros

A Taxcel estabelece diretrizes para profissionais terceiros em suas dependências ou para contratação de serviços.

A Taxcel possui regras de diligência adicionais para terceiros considerados relevantes, que são aqueles que armazenam ou processam dados considerados críticos em estrutura tecnológica não pertencente a Taxcel.

Segurança em Dispositivos Móveis

A Taxcel define diretrizes para utilização segura de dispositivos móveis, bem como as atribuições das áreas responsáveis pelo monitoramento.

A Taxcel manterá uma política para seus dispositivos móveis que:

1. Imponha a criptografia do dispositivo.
2. Proíba o uso de aplicativos na lista negra.
3. Proíba a inscrição de dispositivos móveis que tenham sido “jail broken”.

Segurança em Redes

A Taxcel possui ferramentas de segurança capazes de detectar e responder tentativas de intrusão em seu ambiente. Neste tópico, a Política aborda, também, regras sobre a rede Sem Fio corporativa e pública.

Privacidade de Dados Pessoais

A Taxcel garante que o propósito do tratamento dos dados pessoais não seja ilícito ou abusivo, assim como garante o direito fundamental à privacidade relativas à LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018).

A Taxcel irá:

1. Classificar os Dados para ajudar a identificá-los e permitir que o acesso a eles seja adequadamente restrito.
2. Limitar o acesso aos Dados ao mínimo necessário para realizar os serviços e manter procedimentos para o descarte assim que sua finalidade de uso for atingida.
3. Exigir que seu pessoal obtenha a autorização apropriada antes de armazenar os Dados fora dos locais e sistemas aprovados pela Taxcel, acessar remotamente os Dados ou processar Dados fora das instalações das Partes.

Em relação aos Dados que saem do ambiente da Taxcel, a Taxcel irá:

1. Criptografar os Dados do Cliente que ela transmitir em redes públicas.
2. Proteger os Dados do Cliente na mídia que sai de suas instalações (por exemplo, por meio de criptografia).
3. Implementar ferramentas automatizadas onde for viável para reduzir os riscos de e-mail, cartas e / ou faxes mal direcionados a partir de seus sistemas.

Sanções e Punições

A área de Segurança da Informação realiza o monitoramento contínuo do ambiente tecnológico por meio de métodos diversos para assegurar a conformidade e adesão a esta Política. Caso haja violação das regras nela dispostas, bem como as demais normas e procedimentos de Segurança da Informação, mesmo que por omissão ou tentativa não consumada, tal violação pode ser classificada como incidente de Segurança da Informação, os quais são passíveis de penalidades.

As demais sanções e punições para o descumprimento das regras de Segurança da Informação estão descritas na Política interna.

Última Atualização: setembro de 2023.
Classificação da Informação: Uso Público.