Política de Segurança Cibernética
‍
Vigência: 16 de Dezembro de 2022


1. OBJETIVO

O objetivo desta política é estabelecer diretrizes relacionadas aos pilares de Segurança da Informação, que envolvem Confidencialidade, Integridade e Disponibilidade dos dados utilizados nos negócios da Conta Simples, incluindo, mas não se limitando à identificação e prevenção de possíveis riscos relacionados aos ambientes cibernéticos.O corpo diretivo da Conta Simples, ao aprovar a presente Política, declara seu apoio e comprometimento com as normas e processos de gestão da Segurança da Informação da Conta Simples.


2. ÂMBITO DE APLICAÇÃO

A Política de Segurança Cibernética e da Informação é aplicável a todos os Administradores, Diretores, colaboradores, fornecedores e consultores da Conta Simples, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações da Conta Simples.

Em caso de contratação de terceiros, estes devem estar cientes de todas as diretrizes existentes nesta Política. É de propriedade da Conta Simples toda a informação gerada ou tramitada por meio dos seus recursos.
‍

3. DEFINIÇÕES‍

• Ambiente(s) Virtual(ais) ou Ambiente(s): Engloba, mas não se limita a ambientes computacionais, onde se disponibilizam aplicações e serviços, consumidos via internet;
• Colaborador(es): significa os empregados e funcionários da Conta Simples, contratados de acordo com a Consolidação das Leis Trabalhistas, estagiários contratados de acordo com a Lei 6.494/77 e respectivas alterações ou qualquer pessoa com vínculo empregatício com a Conta Simples, podendo ser contratado também como fornecedor de serviços;
• Dado(os): são valores individuais, que quando combinados transmitem informações. No âmbito desta Política, os Dados representam características ou atributos pertencentes a uma pessoa física, jurídica ou a própria organização;
• Dado Pessoal(ais): qualquer informação relacionada a uma pessoa física identificada ou identificável. A expressão Dado Pessoal utilizada nesta Política quando não explicitamente mencionada, também abrangerá Dado Pessoal Sensível;
• Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Incidente de Segurança ou Incidente: a ocorrência de um evento isolado ou uma série de eventos de segurança da informação indesejados ou inesperados, que podem comprometer ou impactar as operações do negócio e ameaçar a segurança da informação;
• Informação da Conta Simples: significam as informações administrativas e financeiras da Conta Simples, bem como qualquer outra Informação associada a Conta Simples que não se enquadre na definição de Informação do Cliente. Informações da Conta Simples podem ser classificadas de acordo com diferentes níveis de sigilo e/ou confidencialidade;
• Segurança Cibernética: é a proteção aplicada a Ambientes, softwares, dispositivos, bases de dados e outros recursos tecnológicos com o objetivo de reduzir a probabilidade de eventos de risco, ameaça e vulnerabilidade aos ativos. Eventos estes que podem gerar comprometimento da confiabilidade no produto, indisponibilidade dos serviços e perda de informações;
• Terceiros: entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Conta Simples, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como prestador terceirizado;
• Testes de Intrusão: são testes realizados em ambientes, softwares e dispositivos, simulando ações maliciosas, com o objetivo de mapear vulnerabilidades e averiguar a maturidade de segurança dos mesmos;
• Tratamento da Informação ou Tratamento: compreende as condutas e controles associados e conferidos à Informação durante todo o seu Ciclo de Vida;” -  Qualquer fator ou ponto que possa ser explorado e assim gerar incidentes de segurança.

4. REFERÊNCIA E LEGISLAÇÃO‍

• Lei 13.709/2018 – Geral de Proteção de Dados
• Resolução do BACEN nº 4893 de 01 de julho de 2021
• Norma ISO/IEC 27000

5. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

• Confidencialidade: Garantir que os dados sejam acessados, tratados ou divulgados apenas a indivíduos ou entidades autorizadas;
• Integridade: Garantir que os dados estejam íntegros e sem qualquer alteração indevidas, acidentais ou propositais;
• Disponibilidade: Garantir que os dados estejam acessíveis às pessoas ou indivíduos autorizados.

6. NORMAS GERAIS

6.1. Informações Confidenciais

‍A Conta Simples está comprometida com o Tratamento justo e ético de Dados Pessoais e prioriza o cuidado com o direito à privacidade. Entendemos que esse é um aspecto essencial para que tenhamos a confiança de nossos clientes e parceiros.

Os serviços prestados pela Conta Simples demandam o uso de Dados Pessoais, compreendendo a coleta, o processamento, o compartilhamento e o armazenamento dessas informações.

O tratamento e acesso a informações confidenciais, incluindo Dados Pessoais, coletados pela Conta Simples é restrito aos Colaboradores da companhia, limitando-se apenas ao acesso necessário para o cumprimento das funções respectivas a cada cargo e/ou setor.

O uso das informações para outras finalidades é proibido e a classificação das informações deve seguir o descrito na Política de Classificação da Informação Interna.


7. GERENCIAMENTO DE ESTRUTURA CIBERNÉTICA

O objetivo do gerenciamento da estrutura cibernética é assegurar que os processos de tratamento de informações sejam mantidos de acordo com as práticas definidas nesta Política.


8. DIRETRIZES

8.1. Gestão de Acessos

Todas as informações, sistemas, redes e aplicativos são protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.

Os acessos aos ativos de informação e aos recursos computacionais e de comunicação da Conta Simples estão relacionados com os seus negócios, exclusivamente. No ato da contratação ou mudança de área, de Colaboradores e Terceiros, existem processos que registram, revisam e ajustam os acessos físicos e lógicos de acordo com as funções desempenhadas, garantindo que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função.

8.2. Autenticação e Gestão de Identidades

‍O acesso aos sistemas deve ser controlado e com geração de LOGs, que registrem ações executadas pelos usuários, garantindo que seja possível identificar qual ação foi executada, qual usuário realizou a ação e quando a ação foi executada. Deve-se utilizar credenciais únicas e identificáveis, passíveis de bloqueios a qualquer momento ou alteração referentes a mudanças de função.

‍8.3. Gestão de Terceiros

‍Provedores e fornecedores de serviços são controlados e avaliados constantemente perante o ponto de vista de Segurança da Informação, assegurando o uso correto das informações às quais terão acesso.

‍8.4. Desenvolvimento Seguro

‍A Conta Simples adota e observa procedimentos específicos relativos à prática de desenvolvimento seguro. Detalhes estão disponíveis na Política de Desenvolvimento de Software interna, que é disponibilizada a todos os Colaboradores das áreas correlatas à Engenharia de Software.
Qualquer implementação de novas tecnologias ou soluções, passará por uma avaliação de segurança.
‍
Todo o ciclo de vida do desenvolvimento dos softwares da Conta Simples deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança. Todo desenvolvimento ou manutenção de software devem ser formalmente autorizados e deve ser realizada uma análise de impacto. Alterações de escopo de desenvolvimento ou manutenção de software deve ser documentada e formalmente autorizada.

‍8.5. Criptografia

‍O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia. A área de tecnologia deve executar revisões de criptografia e gerenciamento de chaves periodicamente, ou mediante alterações significativas de tecnologias.

‍8.6. Prevenção a Vazamentos de Informações

‍São adotados controles para rastreamento e prevenção de vazamentos de informações baseadas no nível de classificação. Os controles adotados permitem a identificação de informações armazenadas em ativos, evidenciando informações sensíveis.

‍8.7. Gestão de Incidentes de Segurança da Informação

‍São utilizados controles de detecção no ambiente como Antivírus, Antispam, filtro de conteúdos e ferramentas de detecção de comportamentos maliciosos. O time de Segurança da Informação conta para registros de incidentes, onde há um fluxo de trabalho definido para resolução e correção do ocorrido.

8.8. Testes de Intrusão

‍Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da Conta Simples. Os testes de intrusão, sejam eles internos ou externos, são realizados uma vez por ano e/ou após qualquer atualização, modificação significativa da infraestrutura ou dos sistemas.

8.9. Segregação de Ambientes

‍Os ambientes de teste e desenvolvimento são separados do ambiente de produção e dados reais não devem ser utilizados para testes. Os controles de acesso devem estar em vigor para fornecer uma separação distinta.

‍8.10. Backups

‍Bases de dados de produção sofrem backups diários, garantindo que sejam restaurados em caso de perda de dados ou interrupção de serviços. A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.

‍8.11. Controles dos Dispositivos de Tecnologia

‍Para todos os dispositivos utilizados na prestação de serviços para a Conta Simples, por parte dos Colaboradores, deve haver o uso de recursos tecnológicos mínimos de Segurança da Informação, incluindo, mas não se limitando a antivírus, antispyware e antimalware. Estes recursos têm a finalidade de proteger e monitorar o dispositivo, incluindo, mas não se limitando a recursos de hardware disponíveis, versões de softwares instalados, monitoramento ativo do sistema de arquivos, além de filtro de conteúdos em execução, como extensões e plugins.

‍8.12. Classificação da Informação

‍Todos os documentos e informações devem ser classificados de acordo com seu nível de confidencialidade, conforme critérios gerais definidos no Manual Para Classificação da Informação, que define diretrizes e graus de sigilo para documentos, sendo estes: Públicos, Internos, Confidenciais ou Restritos. Para isso, devem ser considerados os impactos envolvendo a exposição de cada tipo de informação ao público geral. Para cada grau de sigilo, deve-se adotar práticas específicas de proteção de dados.

8.13. Conscientização em Segurança da Informação

‍Devem ser promovidas campanhas periódicas de treinamento e disseminação de princípios e boas práticas de Segurança da Informação para todos os Colaboradores, com o intuito de tornar estes conhecimentos intrínsecos a todas as áreas de negócio da Conta Simples. As campanhas devem ser disponibilizadas via e-mail, treinamentos ao vivo ou plataformas de aprendizado a distância, utilizando-se de conteúdos gravados e previamente aprovados pelo time de Governança de Segurança da Informação.


9. CONTINUIDADE DE NEGÓCIOS

O processo de continuidade de negócios deve ser implementado com o objetivo de reduzir impactos causados por um incidente crítico. Para isso, são realizadas análise de riscos referentes à operação da companhia, mapeamento de processos e testes do Plano de Continuidade de Negócios.

A Conta Simples implementa planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.


10. UTILIZAÇÃO DE SERVIÇOS EM NUVEM

A Conta Simples deve assegurar que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.


11. RECOMENDAÇÕES PARA CLIENTES

11.1. Senhas

Crie senhas complexas sem a utilização de dados próprios, como nome, data de nascimento ou telefone. Evite nomes de familiares e dê preferência para o uso de mais de uma palavra, com variação entre caracteres maiúsculos e minúsculos, além disso, mescle números e caracteres especiais. Não utilize a mesma senha em diversos sistemas e aplicativos. E as troque com frequência ou caso desconfie de algum tipo de vazamento acidental.

‍11.2. Acesso em redes públicas

‍Evite o uso do aplicativo e site de qualquer instituição bancária ou de pagamento em redes públicas, como Wi-Fi de hotéis e shoppings. Esse tipo de acesso pode estar sendo interceptado por algum software malicioso utilizado por terceiros.

‍11.3. Engenharia social

‍Suspeite de qualquer tipo de informação ou solicitação que receber por qualquer meio, seja SMS, E-Mail, WhatsApp, ligações ou outros aplicativos mensageiros. A engenharia social tem como foco extrair informações do proprietário da conta sem uso de ferramentas ou soluções maliciosas, apenas convencendo o próprio a revelar informações úteis.

‍11.4. Phishing

‍A técnica de Phishing se dá com o envio de um e-mail falso contendo links que direcionam para páginas falsas, onde serão solicitadas informações como número de conta, senhas e/ou Dados Pessoais. Essa técnica também pode envolver engenharia social.

‍11.5. Páginas falsas

‍Se atente ao acessar páginas na internet e desconfie de domínios que não sejam o domínio oficial da Conta Simples, https://contasimples.com/. Em caso de dúvidas quanto à legitimidade das páginas, acesse sempre o domínio de maneira direta através de seu navegador de internet. Caso receba algum e-mail de domínio diferente ao informado acima, não clique em links ou forneça informações, pois pode se tratar de uma tentativa de Phishing e/ou Engenharia Social.


12. CANAIS DE COMUNICAÇÃO

• Em caso de problemas com o uso do aplicativo ou internet banking da Conta Simples, utilize a opção de ajuda disponível dentro das aplicações, através do WhatsApp ou envie um e-mail para meajuda@contasimples.com;
• Caso haja suspeita de incidentes de segurança, envie um e-mail para csirt@contasimples.com;
• Caso haja necessidade de tratar sobre assuntos envolvendo tratamento de Dados Pessoais, envie um e-mail para dpo@contasimples.com.

13. NATUREZA DAS ALTERAÇÕES

Reservamo-nos o direito de alterar essa Norma sempre que necessário, podendo ocorrer antes da data prevista, com o objetivo de fornecer maior segurança e praticidade aos Colaboradores e Clientes.