Política de Segurança Cibernética
Vigência: 16 de Dezembro de 2022
1. OBJETIVO
O objetivo desta política é estabelecer diretrizes relacionadas aos pilares de Segurança da Informação, que envolvem Confidencialidade, Integridade e Disponibilidade dos dados utilizados nos negócios da Conta Simples, incluindo, mas não se limitando à identificação e prevenção de possíveis riscos relacionados aos ambientes cibernéticos.O corpo diretivo da Conta Simples, ao aprovar a presente Política, declara seu apoio e comprometimento com as normas e processos de gestão da Segurança da Informação da Conta Simples.
2. ÂMBITO DE APLICAÇÃO
A Política de Segurança Cibernética e da Informação é aplicável a todos os Administradores, Diretores, colaboradores, fornecedores e consultores da Conta Simples, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações da Conta Simples.
Em caso de contratação de terceiros, estes devem estar cientes de todas as diretrizes existentes nesta Política. É de propriedade da Conta Simples toda a informação gerada ou tramitada por meio dos seus recursos.
3. DEFINIÇÕES
4. REFERÊNCIA E LEGISLAÇÃO
5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO
6. NORMAS GERAIS
6.1. Informações Confidenciais
A Conta Simples está comprometida com o Tratamento justo e ético de Dados Pessoais e prioriza o cuidado com o direito à privacidade. Entendemos que esse é um aspecto essencial para que tenhamos a confiança de nossos clientes e parceiros.
Os serviços prestados pela Conta Simples demandam o uso de Dados Pessoais, compreendendo a coleta, o processamento, o compartilhamento e o armazenamento dessas informações.
O tratamento e acesso a informações confidenciais, incluindo Dados Pessoais, coletados pela Conta Simples é restrito aos Colaboradores da companhia, limitando-se apenas ao acesso necessário para o cumprimento das funções respectivas a cada cargo e/ou setor.
O uso das informações para outras finalidades é proibido e a classificação das informações deve seguir o descrito na Política de Classificação da Informação Interna.
7. GERENCIAMENTO DE ESTRUTURA CIBERNÉTICA
O objetivo do gerenciamento da estrutura cibernética é assegurar que os processos de tratamento de informações sejam mantidos de acordo com as práticas definidas nesta Política.
8. DIRETRIZES
8.1. Gestão de Acessos
Todas as informações, sistemas, redes e aplicativos são protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.
Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da Conta Simples estão relacionados com os seus negócios, exclusivamente. No ato da contratação ou mudança de área, de Colaboradores e Terceiros, existem processos que registram, revisam e ajustam os acessos físicos e lógicos de acordo com as funções desempenhadas, garantindo que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função.
8.2. Autenticação e Gestão de Identidades
O acesso aos sistemas deve ser controlado e com geração de LOGs, que registrem ações executadas pelos usuários, garantindo que seja possível identificar qual ação foi executada, qual usuário realizou a ação e quando a ação foi executada. Deve-se utilizar credenciais únicas e identificáveis, passíveis de bloqueios a qualquer momento ou alteração referentes a mudanças de função.
8.3. Gestão de Terceiros
Provedores e fornecedores de serviços são controlados e avaliados constantemente perante o ponto de vista de Segurança da Informação, assegurando o uso correto das informações às quais terão acesso.
8.4. Desenvolvimento Seguro
A Conta Simples adota e observa procedimentos específicos relativos à prática de desenvolvimento seguro. Detalhes estão disponíveis na Política de Desenvolvimento de Software interna, que é disponibilizada a todos os Colaboradores das áreas correlatas à Engenharia de Software.
Qualquer implementação de novas tecnologias ou soluções, passará por uma avaliação de segurança.
Todo o ciclo de vida do desenvolvimento dos softwares da Conta Simples deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança. Todo desenvolvimento ou manutenção de software devem ser formalmente autorizados e deve ser realizada uma análise de impacto. Alterações de escopo de desenvolvimento ou manutenção de software deve ser documentada e formalmente autorizada.
8.5. Criptografia
O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia. A área de tecnologia deve executar revisões de criptografia e gerenciamento de chaves periodicamente, ou mediante alterações significativas de tecnologias.
8.6. Prevenção a Vazamentos de Informações
São adotados controles para rastreamento e prevenção de vazamentos de informações baseadas no nível de classificação. Os controles adotados permitem a identificação de informações armazenadas em ativos, evidenciando informações sensíveis.
8.7. Gestão de Incidentes de Segurança da Informação
São utilizados controles de detecção no ambiente como Antivírus, Antispam, filtro de conteúdos e ferramentas de detecção de comportamentos maliciosos. O time de Segurança da Informação conta para registros de incidentes, onde há um fluxo de trabalho definido para resolução e correção do ocorrido.
8.8. Testes de Intrusão
Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da Conta Simples. Os testes de intrusão, sejam eles internos ou externos, são realizados uma vez por ano e/ou após qualquer atualização, modificação significativa da infraestrutura ou dos sistemas.
8.9. Segregação de Ambientes
Os ambientes de teste e desenvolvimento são separados do ambiente de produção e dados reais não devem ser utilizados para testes. Os controles de acesso devem estar em vigor para fornecer uma separação distinta.
8.10. Backups
Bases de dados de produção sofrem backups diários, garantindo que sejam restaurados em caso de perda de dados ou interrupção de serviços. A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.
8.11. Controles dos Dispositivos de Tecnologia
Para todos os dispositivos utilizados na prestação de serviços para a Conta Simples, por parte dos Colaboradores, deve haver o uso de recursos tecnológicos mínimos de Segurança da Informação, incluindo, mas não se limitando a antivírus, antispyware e antimalware. Estes recursos têm a finalidade de proteger e monitorar o dispositivo, incluindo, mas não se limitando a recursos de hardware disponíveis, versões de softwares instalados, monitoramento ativo do sistema de arquivos, além de filtro de conteúdos em execução, como extensões e plugins.
8.12. Classificação da Informação
Todos os documentos e informações devem ser classificados de acordo com seu nível de confidencialidade, conforme critérios gerais definidos no Manual Para Classificação da Informação, que define diretrizes e graus de sigilo para documentos, sendo estes: Públicos, Internos, Confidenciais ou Restritos. Para isso, devem ser considerados os impactos envolvendo a exposição de cada tipo de informação ao público geral. Para cada grau de sigilo, deve-se adotar práticas específicas de proteção de dados.
8.13. Conscientização em Segurança da Informação
Devem ser promovidas campanhas periódicas de treinamento e disseminação de princípios e boas práticas de Segurança da Informação para todos os Colaboradores, com o intuito de tornar estes conhecimentos intrínsecos a todas as áreas de negócio da Conta Simples. As campanhas devem ser disponibilizadas via e-mail, treinamentos ao vivo ou plataformas de aprendizado a distância, utilizando-se de conteúdos gravados e previamente aprovados pelo time de Governança de Segurança da Informação.
9. CONTINUIDADE DE NEGÓCIOS
O processo de continuidade de negócios deve ser implementado com o objetivo de reduzir impactos causados por um incidente crítico. Para isso, são realizadas análise de riscos referentes à operação da companhia, mapeamento de processos e testes do Plano de Continuidade de Negócios.
A Conta Simples implementa planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.
10. UTILIZAÇÃO DE SERVIÇOS EM NUVEM
A Conta Simples deve assegurar que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
11. RECOMENDAÇÕES PARA CLIENTES
11.1. Senhas
Crie senhas complexas sem a utilização de dados próprios, como nome, data de nascimento ou telefone. Evite nomes de familiares e dê preferência para o uso de mais de uma palavra, com variação entre caracteres maiúsculos e minúsculos, além disso, mescle números e caracteres especiais. Não utilize a mesma senha em diversos sistemas e aplicativos. E as troque com frequência ou caso desconfie de algum tipo de vazamento acidental.
11.2. Acesso em redes públicas
Evite o uso do aplicativo e site de qualquer instituição bancária ou de pagamento em redes públicas, como Wi-Fi de hotéis e shoppings. Esse tipo de acesso pode estar sendo interceptado por algum software malicioso utilizado por terceiros.
11.3. Engenharia social
Suspeite de qualquer tipo de informação ou solicitação que receber por qualquer meio, seja SMS, E-Mail, WhatsApp, ligações ou outros aplicativos mensageiros. A engenharia social tem como foco extrair informações do proprietário da conta sem uso de ferramentas ou soluções maliciosas, apenas convencendo o próprio a revelar informações úteis.
11.4. Phishing
A técnica de Phishing se dá com o envio de um e-mail falso contendo links que direcionam para páginas falsas, onde serão solicitadas informações como número de conta, senhas e/ou Dados Pessoais. Essa técnica também pode envolver engenharia social.
11.5. Páginas falsas
Se atente ao acessar páginas na internet e desconfie de domínios que não sejam o domínio oficial da Conta Simples, https://contasimples.com/. Em caso de dúvidas quanto à legitimidade das páginas, acesse sempre o domínio de maneira direta através de seu navegador de internet. Caso receba algum e-mail de domínio diferente ao informado acima, não clique em links ou forneça informações, pois pode se tratar de uma tentativa de Phishing e/ou Engenharia Social.
12. CANAIS DE COMUNICAÇÃO
13. NATUREZA DAS ALTERAÇÕES
Reservamo-nos o direito de alterar essa Norma sempre que necessário, podendo ocorrer antes da data prevista, com o objetivo de fornecer maior segurança e praticidade aos Colaboradores e Clientes.