Política da Informação e Segurança Cibernética

A. ESCOPO DESSA POLÍTICA

  1. Objetivo

Esta Política de Segurança da Informação e Segurança Cibernética tem o objetivo de estabelecer diretrizes que permitem à INFOCUSWEB – TECNOLOGIA e NEGOCIOS S.A. “FLEXPAG” preservar e proteger as informações de seus clientes, funcionários, prestadores de serviços, partes interessadas e da própria FLEXPAG contra ameaças e riscos relacionados à segurança da informação e cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade da FLEXPAG a incidentes, e também dispõe sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

A FLEXPAG deve implementar e manter esta Política formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não repúdio dos dados e dos sistemas de informação utilizados.

Esta Política será compatível com:

  • O porte, o perfil de risco e o modelo de negócio da FLEXPAG;
  • A natureza das atividades da FLEXPAG e a complexidade dos produtos e serviços oferecidos;
  • A sensibilidade dos dados e das informações sob responsabilidade da FLEXPAG.

A FLEXPAG designará diretor responsável por esta Política e pela execução do plano de ação e de resposta a incidentes, assim como, um comitê para tratar de assuntos relacionados à segurança cibernética e privacidade dos dados.

  1. Abrangência

A Política se aplica a todos os administradores, diretores e conselheiros (coletivamente “Alta Administração”), funcionários e prestadores de serviço[1] da FLEXPAG (coletivamente, inclusive a Alta Administração, denominados simplesmente por “Colaboradores”).

  1. Responsabilidades

a. Diretor

Presidente do comitê de segurança cibernética e privacidade dos dados, responsável pela implementação, execução e manutenção da política, assim como, pela convocação das reuniões periódicas do comitê.

b. Comitê de segurança cibernética e privacidade dos dados

Formado por colaboradores indicados pelas respectivas áreas da FLEXPAG, com o objetivo de compreender, obter informações e aconselhar o Diretor e a alta administração a respeito de assuntos relacionados à segurança cibernética e privacidade dos dados. Assim deve:

i) Apoiar na disseminação e conscientização da segurança da informação;

ii) Solicitar ao Diretor e à Alta Administração a disponibilização de recursos necessários para que ações de segurança da informação e privacidade dos dados sejam executadas;

iii) Acompanhar de perto as atividades do Diretor na coordenação da atualização da Política, propondo, quando necessário, revisões e novas políticas complementares, bem como procedimentos que assegurem o controle das ações da política.

c. Gestores das Áreas

Formado pelos colaboradores que exercem a chefia de área ou setor na FLEXPAG, responsáveis pela informação e privacidade dos dados em sua área de competência. Assim devem:

i) Gerenciar as informações sob sua competência;

ii) Autorizar os colaboradores a ter ou não acesso às informações sob sua competência;

iii) Informar o desligamento dos colaboradores de sua respectiva área ou setor;

iv) Indicar a classificação da informação sob sua competência, de modo a estabelecer como essas informações podem ser acessadas e administradas, garantindo a segurança da acessibilidade e disponibilidade destas.

d. Equipe Técnica de TI

Formada por colaboradores da área de tecnologia da informação para:

i) Manter o ambiente tecnológico estável, operacional, atualizado, íntegro, disponível e monitorado;

ii) Elaborar e atualizar os procedimentos relativos à operacionalidade do ambiente tecnológico garantindo a segurança cibernética e a privacidade dos dados;

iii) Instalar e configurar os ativos de software e hardware necessários à operacionalidade do ambiente tecnológico;

iv) Relatar mensalmente ao Comitê ou representante indicado os incidentes de Segurança da Informação identificados, ocorridos no ambiente tecnológico.

e. Usuários

Clientes, funcionários, prestadores de serviços, partes interessadas ou indivíduos que direta ou indiretamente utilizam ou suportam os sistemas, a infraestrutura ou as informações da FLEXPAG, no que couber e que devem:

i) Cumprir as normas e procedimentos relacionados ao uso de informações e sistemas associados, em conformidade com o estabelecido nesta política;

ii) Informar, imediatamente, às áreas responsáveis, qualquer falha em dispositivo, serviço ou processo relacionado à Segurança da Informação e/ou privacidade dos dados, para que sejam tomadas ações urgentemente;

iii) Assinar Termo de Adesão à Política de Segurança da Informação e Segurança Cibernética e Termo de Adesão às Alterações da Política de Segurança da Informação; e

iv) Utilizar as informações como patrimônio da FLEXPAG e mantê-las seguras, íntegras e disponíveis, conforme sua classificação.

  1. Normas Aplicáveis
  • Circular Bacen nº 3.909/2018.
  • Circular Bacen nº 3.682/2013.
  1. Aprovação e Revisão

Esta Política foi aprovada e revisada pela Alta Administração e será revisada anualmente. A Política também será alterada a qualquer momento, para contemplar quaisquer alterações regulatórias e outras obrigações legais.

  1. Definições
  • Autenticidade: possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos com acesso à informação.
  • Ativos: todas as formas de criação, processamento, armazenamento, transmissão e exclusão de informações. Os Ativos podem ser documentos impressos, sistemas, softwares, banco de dados, arquivos digitais, dispositivos móveis etc.
  • Bacen: Banco Central do Brasil.
  • Gestão de Ativos: são as boas práticas utilizadas pela FLEXPAG em seu processo de controle de ativos tangíveis e intangíveis (equipamentos, contratos, marcas, ferramentas e materiais, know-how), que buscam alcançar um resultado desejado e sustentável para a operação.
  • Informações Sensíveis: Que tem valor estratégico para o desenvolvimento das operações da FLEXPAG, ganhando tangibilidade por meio de transações financeiras, produção, entre outras formas, e que serão tratados com base no legítimo interesse da FLEXPAG, estritamente necessários para a finalidade pretendida nos termos desta Política.
  • Instituição de Pagamento: para fins desta Política, é a FLEXPAG como emissor de moeda eletrônica, cuja atividade consiste em gerenciar a conta de pagamento de usuários, utilizada para o pagamento de transações pré-pagas.
  • Log: registro de eventos de um sistema.
  • Não repúdio (Irrevogabilidade): possibilidade de evitar o repúdio ou a negativa de autoria posterior de transações legítimas por parte de usuários.
  • Segurança da Informação: conjunto de conceitos, mecanismos e estratégias que visam a proteger os Ativos da FLEXPAG.
  • Segurança Cibernética: conjunto de tecnologias e processos desenvolvidos para proteger os sistemas internos, computadores, redes e dados da FLEXPAG contra-ataques, danos, ameaças ou acesso não autorizado.
  • Subcredenciador: para fins desta Política, é a FLEXPAG como participante de arranjos de pagamento, que possui autorização de uma ou mais credenciadoras para credenciar os Estabelecimentos e realizar a liquidação das transações, habilitando-os para realizar transações com cartões.

B. PRINCÍPIOS

A FLEXPAG tem o compromisso de garantir a segurança e tratamento adequado das informações. Para tanto, as atividades se baseiam nos seguintes princípios:

  • Confidencialidade: garantia de que somente pessoas autorizadas terão acessos às informações e apenas quando houver necessidade;
  • Integridade: garantia de que as informações permanecerão exatas e completas e não serão modificadas indevidamente;
  • Disponibilidade: garantia de que a informação estará disponível às pessoas autorizadas sempre que for necessário.

C. DIRETRIZES GERAIS

Com o objetivo de garantir os objetivos desta Política, os procedimentos de Segurança da Informação e Segurança Cibernética seguirão as seguintes diretrizes:

  • Assegurar que não haja acessos indevidos, modificações, destruições ou divulgações não autorizadas das informações. Para tanto, o acesso do Colaborador deve ser pessoal, intransferível e restrito aos recursos necessários para realizar suas atribuições na FLEXPAG.
  • Cada Colaborador receberá uma senha pessoal de acesso e ficará responsável por mantê-la em sigilo, para evitar acesso indevido às informações que estão sob sua responsabilidade. A FLEXPAG deve adotar mecanismos que assegurem a complexidade, troca periódica e guarda de histórico de senhas.
  • Qualquer risco à informação deve ser imediatamente reportado pelo Colaborador por meio dos canais e procedimentos indicados pela FLEXPAG.
  • Assegurar que todas as informações sejam tratadas de maneira ética e sigilosa e que sejam adotadas medidas capazes de evitar acessos indevidos, modificações, destruições ou divulgações não autorizadas.
  • Assegurar que as informações sejam utilizadas somente para a finalidade para a qual foram coletadas e que o acesso esteja condicionado à autorização.
  • Assegurar que os procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes de segurança e atender aos demais objetivos de Segurança Cibernética, tais como: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade, controles de acesso, segmentação da rede de computadores e manutenção de cópias de segurança dos dados e das informações.
  • Assegurar que os controles específicos, incluindo os voltados para a rastreabilidade da informação, garantam a segurança das informações sensíveis.
  • Assegurar o registro, análise da causa e o impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da FLEXPAG;
  • Assegurar a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados;
  • Definir os procedimentos e controles voltados à prevenção e ao tratamento dos incidentes que devem ser adotados pelos prestadores serviços e terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da FLEXPAG;
  • Classificar os dados e as informações quanto à relevância;
  • Definir os parâmetros a serem utilizados na avaliação da relevância dos incidentes;
  • Assegurar mecanismos para disseminação da cultura de segurança cibernética, incluindo:
    • Implementação de programas de capacitação e de avaliação periódica de pessoal;
    • Prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos.
  • Assegurar iniciativas para compartilhamento de informações sobre os incidentes relevantes, com Instituições de Pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelos órgãos reguladores.
  • Assegurar o registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes de informações recebidas de empresas prestadoras de serviços a terceiros.
  • Contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela FLEXPAG e por esta Política.

D. PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

A fim de assegurar que todas as diretrizes sejam cumpridas e que os princípios de Segurança da Informação e de Segurança Cibernética sejam devidamente seguidos, a FLEXPAG adotará políticas e procedimentos para os processos elencados a seguir.

  1. Gestão de ativos

Os ativos tangíveis e intangíveis, devem ser inventariados e protegidos de acessos indevidos ou ameaças que possam comprometer o negócio. Para tanto, o acesso às salas, principalmente os que armazenam documentos físicos, devem ser restritos e limitados, por meio de mecanismos de autenticação e autorização.

Os Ativos tangíveis e intangíveis, devem ser utilizados tão somente para a finalidade devidamente autorizada. A FLEXPAG deve assegurar proteção aos ativos tangíveis durante todo o seu ciclo de vida, a fim de garantir que os princípios da confidencialidade, integridade, disponibilidade, autenticidade e Irrevogabilidade sejam cumpridos integralmente.

  1. Autenticação

A FLEXPAG deve adotar mecanismos para garantir que o acesso às informações e ambientes tecnológicos seja permitido apenas aos indivíduos autorizados, levando em consideração o princípio do menor privilégio, a segregação de funções e a classificação da informação.

  1. Segmentação de rede

A FLEXPAG deve adotar mecanismos internos para a segmentação de rede para proteger seus dados de ataques cibernéticos e determinar que todos os computadores conectados à rede corporativa não estejam acessíveis diretamente pela Internet.

  1. Classificação da Informação

As informações devem ser classificadas segundo sua criticidade e sensibilidade para o negócio e seus clientes. Portanto, a FLEXPAG deve adotar a seguinte classificação:

  • Informação Pública: aquela que pode ser acessada por todos, sem restrição. São exemplos de Informação Pública: dados divulgados ao mercado e promocionais;
  • Informação Interna: aquela que pode ser acessada somente por Colaboradores da FLEXPAG. São exemplos de Informação Interna: normas, procedimentos e formulários da FLEXPAG;
  • Informação Restrita: aquela que pode ser acessada somente por Colaboradores que precisam dela para desempenhar suas atribuições. São exemplos de Informação Restrita: contratos e documentos estratégicos da FLEXPAG.
  • Informação Confidencial: aquela que pode ser acessada somente por Colaboradores que tenham permissão de acesso ou que necessitem dela para um propósito específico. São exemplos de Informação Confidencial: plano estratégico e informações de clientes.
  1. Controle de acesso

A FLEXPAG deve adotar controles de acesso em toda infraestrutura para evitar que indivíduos não autorizados tenham acesso aos ambientes segregados e aos sistemas internos. Desta forma, a FLEXPAG deve implementar mecanismos para a autenticação de usuários, manutenção de segregação de funções e rastreabilidade de acesso, de forma a garantir procedimentos internos adequados e consistentes.

  1. Gestão de riscos

A FLEXPAG deve implementar uma gestão de riscos, que estabeleça processos de análise de vulnerabilidades, ameaças e impactos sobre os Ativos de informação com ações de contramedidas de segurança, que minimizem os danos causados diante de um eventual incidente.

  1. Gestão de fornecedores

A FLEXPAG deve verificar o grau de comprometimento com relação a controles de Segurança da Informação e Segurança Cibernética de todos os seus prestadores de serviços, fornecedores, provedores e parceiros que processam e armazenam seus dados, com a finalidade de verificar o nível de maturidade dos controles de segurança e o plano de tratamento de incidentes adotados.

A FLEXPAG deve disponibilizar um canal para que seus prestadores de serviços, fornecedores, provedores e parceiros, comuniquem incidentes de Segurança da Informação e Segurança Cibernética.

  1. Segurança física do ambiente

A FLEXPAG deve implementar um sistema para controle de acesso dos Colaboradores, prestadores de serviços, fornecedores, provedores e parceiros aos locais restritos.  Os equipamentos e instalações de processamento de informação crítica ou sensível devem ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.

  1. Backup e gravação de LOG

A FLEXPAG deve adotar uma rotina de backup e restauração de dados para assegurar a disponibilidade das informações relevantes para o pleno funcionamento de suas atividades.

A FLEXPAG deve realizar gravação de logs de dados que permitam a rastreabilidade do acesso e a identificação do criador, data, meios de acesos e informações acessadas. As informações dos logs devem ser protegidas contra alterações e acessos não autorizados.

  1. Proteção contra vírus, arquivos e softwares maliciosos

A FLEXPAG deve adotar mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a FLEXPAG a vulnerabilidades. Para tanto, os softwares de segurança, como o antivírus, devem estar instalados e atualizados em toda a rede interna da FLEXPAG.

  1. Atualização de segurança no parque tecnológico

A FLEXPAG deve adotar processo de atualização periódica de segurança no parque tecnológico, de forma a prevenir vulnerabilidades que possam ocasionar brechas de segurança para ataque de vírus e outros tipos de software, que se propaguem nos computadores, sistemas e servidores da FLEXPAG.

  1. Testes de varredura para detecção de vulnerabilidade

A FLEXPAG se preocupa em identificar e eliminar as vulnerabilidades de seus sistemas e servidores para assegurar a integridade do ambiente dos processos de negócio. Para tanto, deve promover monitoramento constante e condução periódica de testes e varredura para detecção de vulnerabilidades, avaliação de riscos e determinação de medidas de correção adequadas.

  1. Criptografia

Os Ativos de informação da FLEXPAG devem possuir criptografia adequada conforme classificação da informação, a fim de garantir proteção em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores.

  1. Plano de continuidade

A FLEXPAG deve implementar um plano de continuidade dos serviços prestados a partir da adoção de um conjunto preventivo de estratégias e planos de ação para garantir que os serviços essenciais da FLEXPAG sejam devidamente identificados e preservados após a ocorrência de um sinistro.

Para tanto, a FLEXPAG realizará o mapeamento de processos críticos, análise de impacto nos negócios e inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança.

Periodicamente, devem ser aplicados testes de continuidade nos sistemas críticos da FLEXPAG, para garantir a eficácia e segurança dos processos. O teste deve ser conduzido em um ambiente controlado que permita que a FLEXPAG se certifique da conformidade dos planos e processos desenvolvidos para atender os critérios mínimos de segurança e proteção de dados e requisitos legais.

  1. Incidentes de segurança

a. Classificação de relevância dos incidentes

A FLEXPAG deve classificar os incidentes de segurança, segundo sua relevância, conforme a classificação das informações envolvidas e o impacto na continuidade dos negócios.

b. Gestão de incidentes

Todos os incidentes ou suspeita de incidentes identificados por um Colaborador, cliente, prestador de serviços, fornecedor, provedor ou parceiro devem ser imediatamente comunicados à área responsável. A comunicação deverá ser feita por meio dos canais indicados pela FLEXPAG.

Os incidentes reportados devem ser classificados segundo o risco que representam e o impacto na continuidade dos negócios, além de, serem devidamente registrados, tratados e comunicados.

A FLEXPAG deve adotar procedimentos, para mitigar os efeitos dos incidentes e interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados.

Caso haja incidentes relevantes ou interrupção dos serviços relevantes, a FLEXPAG deve comunicar aos órgãos reguladores e adotar medidas necessárias para que as suas atividades sejam reiniciadas.

c. Plano de compartilhamento de incidentes

Sem prejuízo do dever de sigilo e da livre concorrência, a FLEXPAG deve adotar iniciativas para o compartilhamento de informações sobre incidentes relevantes com outras Instituições de Pagamento por meio dos canais adotados pelas instituições.

As informações compartilhadas devem estar disponíveis aos órgãos reguladores.

d. Plano de ação e resposta a incidentes

A FLEXPAG deve estabelecer plano de ação e de resposta a incidentes visando à implementação desta Política, que abrange, minimamente:

  • As ações a serem desenvolvidas para adequar as estruturas organizacional e operacional às diretrizes desta Política;
  • As rotinas, procedimentos, controles e tecnologias necessárias a serem utilizados na prevenção e na resposta a incidentes.

e. Relatório anual de incidentes

A FLEXPAG deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. O relatório abordará:

  • A efetividade da implementação das ações de adequação suas estruturas organizacional e operacional;
  • O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes desta Política;
  • Os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período;
  • Os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.

 

O relatório anual de incidentes deve ser apresentado ao Conselho de Administração ou, na sua inexistência, à Diretoria da FLEXPAG até 31 de março do ano seguinte ao da data-base.

  1. Mecanismo de Rastreabilidade

A FLEXPAG deve adotar controles específicos para promover a rastreabilidade da informação, principalmente que busquem garantir a segurança das informações sensíveis.

  1. Registro de impacto

A FLEXPAG deve realizar registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da FLEXPAG, que devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

  1. Treinamentos e conscientização

A FLEXPAG preza por uma cultura de Segurança da Informação e Cibernética e Privacidade dos Dados. Dessa forma, devem ser adotados programas de treinamentos e conscientização relacionados as políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, para todos os colaboradores.

Periodicamente a FLEXPAG deve promover a ampla divulgação desta Política a todos os seus Colaboradores e o público em geral, bem como às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, incluindo a prestação de informações aos usuários finais sobre medidas de precaução para a utilização dos produtos e serviços oferecidos.

Além disto, a Alta Administração deverá difundir a cultura de Segurança da Informação e Cibernética e privacidade dos dados para promover melhorias contínuas em seus processos internos, a fim de evitar quaisquer incidentes relacionados à segurança.

  1. Contratação de serviços de processamento e armazenamento de dados e computação em nuvem

a. Seleção de terceiros

O processamento e armazenamento de dados e computação em nuvem será realizado por meio de terceiros localizados no Brasil ou no exterior. A contratação de terceiros deve ser realizada por meio da aferição da capacidade do prestador de serviço para realizar as atividades em cumprimento com a legislação e regulamentação aplicável. Desta forma, a FLEXPAG deve adotar procedimentos para verificação da capacidade do potencial prestador de serviço de forma a assegurar:

  • O cumprimento da legislação e da regulamentação em vigor;
  • O acesso da FLEXPAG aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
  • A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
  • A aderência do prestador de serviço as certificações exigidas pela FLEXPAG para o serviço contratado;
  • O acesso da FLEXPAG aos relatórios elaborados por empresa de auditoria especializada independente, contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
  • O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
  • A identificação e a segregação dos dados dos usuários finais da FLEXPAG por meio de controles físicos ou lógicos;
  • A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais da FLEXPAG.

Na avaliação da relevância do serviço a ser contratado, a FLEXPAG também deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado. Todos os procedimentos devem ser documentados.

Ademais, a FLEXPAG deve adotar recursos e medidas necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso dos recursos providos pelo potencial prestador de serviços.

b. Execução de aplicativos pela internet

No caso da execução de aplicativos por meio da internet, a FLEXPAG deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

c. Serviços de computação em nuvem

Os serviços de computação em nuvem disponibilizados à FLEXPAG, sob demanda e de maneira virtual, deverão incluir um ou mais serviços conforme descritos abaixo:

  • Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à FLEXPAG implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela FLEXPAG ou por ela adquiridos;
  • Implantação ou execução de aplicativos desenvolvidos pela FLEXPAG, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços;
  • Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

A FLEXPAG é responsável, em conjunto com o prestador de serviços, pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pela FLEXPAG aos órgãos reguladores, nos termos da legislação em vigor.

d. Contratação de serviços de computação em nuvem no exterior

Em caso de contratação de serviços de processamento, armazenamento de dados e de computação em nuvem no exterior, a FLEXPAG deverá observar os seguintes requisitos:

  • Existência de convênio para troca de informações entre os órgãos reguladores e as autoridades supervisoras dos países onde os serviços serão prestados;
  • Verificação de que a prestação dos serviços não causará prejuízos ao seu regular funcionamento nem embaraço à atuação dos órgãos reguladores;
  • Definição dos países e regiões em cada país em que os serviços serão prestados e os dados armazenados, processados e gerenciados. Essa definição deve ocorrer antes da contratação dos serviços;
  • Previsão de alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

Caso não haja convênio para troca de informações entre os órgãos reguladores e as autoridades supervisoras dos países em que os serviços serão prestados, a FLEXPAG solicitará autorização formal aos órgãos reguladores para a contratação do serviço. O prazo para solicitar autorização é de 60 dias anteriores à contratação. Caso haja alterações contratuais que impliquem em modificação das informações, a FLEXPAG deverá solicitar autorização 60 dias antes da alteração contratual.

A FLEXPAG deve assegurar que a legislação e a regulamentação nos países em que os serviços serão prestados não restrinjam ou impeçam o acesso da FLEXPAG e dos órgãos reguladores aos dados e às informações. A comprovação do atendimento aos requisitos e o cumprimento desta exigência deverão ser documentados.

e. Contrato de prestação de serviços

A FLEXPAG deve assegurar que os contratos de prestação de serviços de processamento, armazenamento de dados e computação em nuvem prevejam:

  • A indicação dos países e da região em cada país em que os serviços serão prestados e os dados armazenados, processados e gerenciados;
  • A adoção de medidas de segurança para a transmissão e armazenamento dos dados;
  • A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais;
  • Em caso de extinção do contrato, a obrigatoriedade de transferência dos dados ao novo prestador de serviços ou à FLEXPAG, bem como a exclusão dos dados pela empresa contratada substituída, após a transferência dos dados e a confirmação da integridade e da disponibilidade dos dados recebidos.
  • O acesso da FLEXPAG às informações fornecidas pela empresa contratada; bem como as informações relativas às certificações e aos relatórios de auditoria especializada e informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
  • A obrigação da empresa contratada notificar a FLEXPAG sobre a subcontratação de serviços relevantes para a FLEXPAG;
  • A permissão de acesso dos órgãos reguladores aos contratos e acordos firmados para a prestação de serviços, documentação e informações referentes aos serviços prestados, dados armazenados e informações sobre seus processamentos, cópias de segurança dos dados e das informações, bem como códigos de acesso aos dados e informações;
  • A adoção de medidas pela FLEXPAG, em decorrência de determinação dos órgãos reguladores;
  • A obrigação da empresa contratada manter a FLEXPAG permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Em caso de decretação de regime de resolução da FLEXPAG pelos órgãos reguladores, o contrato de prestação de serviços deve prever:

  • A obrigação da empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, acordos, documentação e informações referentes aos serviços prestados, dados armazenados e informações sobre seus processamentos, cópias de segurança dos dados e das informações, bem como códigos de acesso, que estejam em poder da empresa contratada;
  • A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção da empresa contratada interromper a prestação de serviços. A notificação deverá ocorrer com 30 dias de antecedência da data prevista para a interrupção dos serviços prestados e deverá determinar que:
    • A empresa contratada se obriga a aceitar eventual pedido de prazo adicional de 30 dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução;
    • A notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da FLEXPAG.

f. Comunicação aos órgãos reguladores

A comunicação aos órgãos reguladores deve conter as seguintes informações:

  • O nome da empresa a ser contratada;
  • Os serviços relevantes a serem contratados;
  • No caso de contratação no exterior, indicação dos locais onde os serviços serão prestados e os dados armazenados, processados e gerenciados.

O prazo para comunicação é de 10 dias, contados a partir da contratação dos serviços. Caso haja alterações contratuais que impliquem em modificação das informações, a comunicação ao Bacen deverá ocorrer em 10 dias contados da alteração contratual, salvo na hipótese prevista no item 18 “d”.

  1. Continuidade dos serviços de pagamento

No tocante à continuidade dos serviços de pagamento prestados, a FLEXPAG deve assegurar:

  • O tratamento dos incidentes relevantes relacionados com o ambiente cibernético;
  • Os procedimentos a serem seguidos no caso de interrupção de serviços de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da FLEXPAG;
  • Os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados.
  • O tratamento para mitigar os efeitos dos incidentes relevantes da interrupção dos serviços de processamento, armazenamento de dados e de computação em nuvem contratados;
  • O prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos;
  • A comunicação tempestiva ao Bacen e eventuais órgãos reguladores das ocorrências de incidentes relevantes e das interrupções dos serviços, que configurem uma situação de crise pela FLEXPAG, bem como das providências para o reinício das suas atividades.

A FLEXPAG deve instituir mecanismos de acompanhamento e de controle visando a assegurar a implementação e a efetividade desta Política, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Os mecanismos de acompanhamento e controle devem incluir a definição de processos, testes e trilhas de auditoria, bem como a definição de métricas e indicadores adequados e a identificação e a correção de eventuais deficiências.

  1. Arquivamento de informações

A FLEXPAG deve armazenar, pelo prazo de 5 (cinco) anos, as seguintes informações:

  • O documento relativo à política de Segurança Cibernética;
  • A ata de reunião do Conselho de Administração, se existente, e de reunião da Diretoria da FLEXPAG;
  • O documento relativo ao plano de ação e de resposta a incidentes;
  • O relatório anual;
  • A documentação sobre os procedimentos desta Política;
  • A documentação no caso de serviços prestados no exterior;
  • Os contratos de prestação de serviços mencionados nesta Política;
  • Os dados, os registros e as informações relativas aos mecanismos de acompanhamento e controle, a partir da implementação dos mecanismos mencionados.

E. DECLARAÇÃO DE RESPONSABILIDADE

Os Colaboradores e prestadores de serviço da FLEXPAG devem aderir formalmente a um termo em que se comprometem a agir de acordo com esta Política. Ademais, todos os contratos da FLEXPAG devem possuir cláusula que assegure aos princípios de segurança da informação estabelecidos nesta política.

F. DISPOSIÇÕES GERAIS

Esta Política está acompanhada de um Termo de Adesão à Política de Segurança da Informação e Segurança Cibernética e Termo de Adesão às Alterações da Política de Segurança da Informação e Cibernética e Proteção de Dados, que deverão ser assinados por todos os Colaboradores, prestadores de serviços, fornecedores, provedores e parceiros.

Esta Política está disponível em local acessível a todos Colaboradores, em linguagem clara e acessível. É possível, sempre que necessário, acessá-la através dos canais oficiais da Flexpag.

[1] Quaisquer terceiros que atuem em nome da FLEXPAG, tais como Auditoria Externa, Assessoria Jurídica, Tecnologia da Informação, Infraestrutura de TI, dentre outras.