Segurança da Informação

O Manual de Política de Segurança da Informação – PSI, tem por objetivo, aplicar e manter um Sistema de Gestão da Segurança da Informação, garantindo a integridade, a confidencialidade e a disponibilidade dos ativos relacionados ao negócio da GV8 Capital, em conformidade com os requisitoslegais e regulatórios, buscando a melhoria contínua.

Mostrar os requerimentos para a conformidade com o negócio, exigências legais e ou regulamentares, obrigações de segurança contratuais, políticas e padrões de segurança da GV8 Capital.

Definir controles de segurança física para instalações e os recursos das informações, estabelecendo controles que devem ser seguidos a fim de obter a proteção física. As medidas de segurança física devem ser adotadas para garantir a integridade dos recursos de tecnologia e informação da GV8 Capital.

Estabelecer regras que garantam a prevenção para que apenas usuários autorizados se conectem ou obtenham acesso às aplicações e recursos dos sistemas, além de assegurar controles nos sistemas e infraestrutura tecnológica da GV8 Capital.

Foi elaborado pela equipe técnica da GV8 Capital, em conformidade com o disposto na Lei 13.709 Lei Geral de Proteção e Dados, Resolução 4658 BACEN, Resolução 4.557 – BACEN, Lei nº 9.613/98 – COAF, BACEN Circular nº 3461/09, - ISO 27.001, 2 e 701, atende totalmente aos Direitos e Obrigações estabelecidos na RESOLUÇÃO Nº 4.557 DO BACEN RISCO.

Nesse sentido, incentiva os seus usuários a buscar maior compreensão e aprofundamento técnico sobre a matéria tratada, tanto na legislação específica, quanto nas Leis e Normas complementares. O uso e a interpretação deste material no tocante as responsabilidades, direitos e garantias constitucionais, visa garantir e minimizar quaisquer problemas relacionados a segurança e ao tratamento de dados pela GV8 Capital, por representantes ou parceiros de negócio.

O Manual está estruturado por Itens, que trazem orientações gerais para a GV8 Capital, independentemente de sua evolução, procurando abordar as melhores práticas relacionadas em leis e Regulamentações.

A Segurança da Informação é uma responsabilidade compartilhada por todos os membros da GV8 Capital, contudo:

a. Caberá à Diretoria de Infraestrutura da Tecnologia da Informação a definição de padrões para a implementação de controles tecnológicos da GV8 Capital. b. Caberão às demais áreas da GV8 Capital aderir a estes padrões, ou, do contrário, avaliar (juntamente com a Diretoria de Infraestrutura da Tecnologia da Informação) um controle compensatório ou assumir integralmente os riscos de negócio e possíveis consequências desta decisão.

A Diretoria de Infraestrutura da Tecnologia da Informação é integrado por executivos da área de Tecnologia da GV8 Capital, e tem como atribuições:

a. Definição de estratégias para redução do nível de riscos em Segurança da Informação.
b. Monitoramento dos riscos de negócio decorrentes de novas ameaças em segurança.
c. Acompanhamento e análise nos processos de negócio frente às mudanças tecnológicas, operacionais, físicas e humanas, com o objetivo de garantir a continuidade do negócio nas indisponibilidades dos recursos críticos.
d. Apresentação de relatórios gerados para análise: • Acompanhamento e análise crítica de possíveis incidentes de segurança; • Aprovação de alterações na Política de Segurança da Informação; • Apresentação de incidentes de segurança; • Aprovação da auditoria independente.
e. A Diretoria de Infraestrutura da Tecnologia da Informação deverá se reunir pelo menos duas vezes ao ano. Reuniões extraordinárias devem ser realizadas sempre que houver necessidade.

A Diretoria de Infraestrutura da Tecnologia da Informação é a proprietária de toda a informação de sua área, sendo o responsável pela criação e manutenção dos dados e deverá zelar pela sua integridade, confidencialidade e disponibilidade, juntamente com seus colaboradores. Toda a informação considerada importante ou sensível para a GV8 Capital deve ser classificada. A classificação das informações irá determinar a necessidade de sua proteção que poderá então ter a prioridade adequada, sob os aspectos de integridade, confidencialidade e disponibilidade.

NOTA: O termo “proprietária” identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. O termo “proprietário” não significa que a pessoa realmente tenha qualquer direito de propriedade pelo ativo. (ABNT NBR ISO/IEC 27001:2013).

Avaliar em conjunto com a área de Tecnologia e a Diretoria de Infraestrutura da Tecnologia da Informação, ações periódicas de conscientização e atualização dos colaboradores neste tema. Disponibilizar informações sobre a Política de Segurança da Informação durante a integração de novos colaboradores. Garantir a assinatura do Termo de Responsabilidade e Manutenção de Sigilo de todos os colaborados da GV8 Capital.

A efetividade da Política de Segurança da Informação e normas de segurança depende muito da participação e do compromisso dos gestores da GV8 Capital. Os gestores ficam como proprietários dos ativos do setor perante o Sistema de Gestão da Segurança da Informação. Suas atividades incluem:
a. Garantir que todas as ações necessárias para a manutenção da segurança sejam tomadas na. ocorrência de um processo de desligamento ou de transferência de colaboradores e prestado- res de serviços.
b. Controlar os ativos da informação de sua área de responsabilidade.
c. Garantir aos colaboradores os recursos necessários para manter a segurança física de equipamentos e dispositivos como: armários com trancas, dispositivos de segurança para equipa- mentos portáteis.
d. Assegurar que todos os colaboradores de sua equipe (funcionários e prestadores de serviços) conheçam o descritivo de suas atribuições e responsabilidades.
e. Aplicar as sanções disciplinares cabíveis, no caso de ocorrência de um incidente de segurança relacionado com a dependência sob sua responsabilidade e comunicar à área de Tecnologia.
f. Atender às determinações, decisões e recomendações da Diretoria de Infraestrutura da Tecnologia da Informação

a. Os colaboradores poderão acessar somente as informações para as quais tenham uma legítima necessidade de negócio.
b. Toda a informação contida, gerada ou manipulada nos recursos da GV8 Capital poderá ser monitora da, lida ou analisada, sempre que esta julgar necessário, incluindo correio eletrônico, dados armazena- dos no desktop, rede e outros.
c. Os colaboradores devem se responsabilizar na utilização dos serviços de correio eletrônico, garantindo que a confirmação do destinatário do e-mail e as demais pessoas em cópia, assim como as informações contidas estão ligadas diretamente a sua área de atuação contratada, e caso houver alça- das do cargo.
d. Uma vez que os computadores e redes de dados fornecidos pela GV8 Capital são destinados apenas a propósitos do negócio, os usuários não deverão ter nenhuma expectativa de privacidade associada com a informação que for armazenada ou enviada através destes sistemas de informação.
e. Adicionalmente, a GV8 Capital se reserva ao direito de remover de seus sistemas qualquer material que seja visto como ofensivo ou potencialmente ilegal.
f. As informações pessoais de funcionários serão utilizadas ou acessadas mediante uma razão legítima de negócio ou com a autorização formal do gestor a quem ele se reporta.
g. As informações e os recursos computacionais da GV8 Capital devem ser utilizados somente para fins ligados às atividades profissionais dos usuários.
h. A utilização dos sistemas da GV8 Capital para outros propósitos como solicitação de doações, campanhas políticas e mensagens religiosas são proibidas.
i. Os colaboradores devem reportar imediatamente à área de Tecnologia qualquer incidente, falha de segurança ou suspeita de violação desta Política.
j. Todo e qualquer colaborador é responsável pelo cumprimento dos procedimentos e normas referentes à Segurança da Informação.

Gerenciamento de Configurações
a. A GV8 Capital precisa controlar informações para que os serviços de Tecnologia da Informação sejam providos de forma econômica, eficiente, segura e eficaz.
b. A GV8 Capital manterá uma base de informações com o gerenciamento completo e atualizado dos ativos importantes utilizados em suas operações.

Alguns ativos que deverão ser incluídos neste processo são:
(a) Manuais dos sistemas;
(b) Sistemas ou softwares adquiridos externamente;
(c) Softwares desenvolvidos e atualizados internamente;
(d) Terminais de pagamentos (POS, PIN PAD e outros);
(e) Computadores desktop/notebook utilizados pelos usuários;
(f) Servidores empregados no Data Center;
(g) Bases de dados;
(h) Aplicativos de microinformática e respectivas licenças de uso.
(i) Algumas informações que deverão ser mantidas para estes itens são:
(j) Identificação única do ativo (número de série);
(k) Características (versão, responsável);
(l) Fornecedor, local físico, custo, data de aquisição, data de renovação de licenças;
(m) Relacionamento relevante entre os demais ativos (incluindo incidentes registrados, problemas, erros conhecidos e históricos de mudanças propostas ou realizadas).
(n) O inventário de ativos de hardware será mantido pela área de Tecnologia, que irá:
(a) Realizar varreduras nos desktops empregando ferramentas de software especializadas.
(b) Sempre que possível, empregar processos automatizados para atualização da base de gerenciamento de configurações, de modo a reduzir custos deste processo, além de possíveis erros introduzidos por verificações manuais.

Análise Crítica da Política de Segurança da Informação
a. As diretrizes contidas neste documento contêm determinações e princípios para a segurança na corporação adequados para o contexto atual de negócio da GV8 Capital.
b. Estas diretrizes deverão sofrer uma análise crítica anual, de modo a garantir que as práticas adotadas efetivamente refletem a Política, além de medir a eficácia das medidas adotadas.

Tecnologias Críticas da Política de Segurança da Informação São considerados como itens de tecnologia crítica para a segurança da informação na GV8 Capital, os itens:
a. Servidores Windows
b. Acessos com Múltiplos Fatores de Autenticação
c. Restrição de acesso ao ambiente de produção por acesso remoto
d. Aplicações da GV8 Capital
e. Utilização de e-mail Conformidade – Compras e Licenças Todos os hardwares e softwares utilizados na GV8 Capital, devem estar de acordo com os controles estabelecidos abaixo:

a. Os padrões e controles de segurança devem ser considerados na aquisição de novos produtos, sejam de hardware ou software. Caso haja dúvida no processo de aquisição, deve ser consultada a área de Tecnologia.
b. Toda compra de hardware ou software deve seguir os processos oficiais existentes, levando em consideração uma análise consolidada de custo-benefício.
c. Todo software deve estar em conformidade com os termos de licenciamento e com os direitos autorais de propriedade material e intelectual.
d. O usuário responde individualmente por eventuais violações de direitos e propriedade de terceiros. Não são permitidos para os usuários:
• Instalar ou remover software de qualquer tipo no equipamento utilizado;
• Modificar o nome atribuído ao equipamento ou o seu endereço de rede;
• Listar o código do software (código fonte ou executável), para qualquer finalidade, utilizando qualquer recurso ou mídia;
• Alterar qualquer configuração da máquina seja de software ou hardware.
• Nenhum software deve ser copiado.
• Nenhum hardware ou software adquirido de terceiros pode ser instalado ou utilizado sem antes autorizado pela área de Tecnologia.

O acesso ao prédio, aos andares e às instalações da GV8 Capital deve ser controlado, sendo obrigatório o registro de entrada e o de saída de todos os usuários e visitantes. O acesso às instalações da GV8 Capital por usuários (temporários ou não ) e visitantes, devem ser aprovados e liberado por funcionário com esta responsabilidade.

Todas as pessoas devem estar devidamente identificadas. A presença de uma pessoa não autorizada dentro da área de Acesso Controlado caracteriza um incidente de segurança e, portanto, o fato deve ser imediatamente reportado como tal. Os equipamentos e dispositivos de informática e infraestrutura devem permanecer em áreas de Acesso Controlado.

Papéis e mídia magnética contendo informações confidenciais devem possuir controles de segurança no armazenamento, impressão, manuseio e descarte. Todos os usuários devem manter as informações da GV8 Capital fora do alcance de terceiros (seja indivíduos ou organizações), mantendo seus locais de trabalho limpos e organizados e as informações, em qualquer meio físico ou lógico, devidamente guardadas e seguras. Todos os terceiros locados ou visitantes que prestarem serviço para a GV8 Capital, devem assinar o Termo de Prestador de Serviços.

Controle de Acessos Todos os sistemas de informação da GV8 Capital deverão: Armazenar dados de conta e senha de usuários em forma cifrada, utilizando algoritmos fortes; Manter estas informações em arquivos separados dos dados de sistemas ou código-fonte da aplicação;
•Mostrar um aviso advertindo que apenas pessoas autorizadas podem acessar o sistema e todos os acessos ao sistema são monitorados; e
•Permitir uma única conexão e acesso de usuário para cada conta e senha nos sistemas, exceto quando justificada mediante aprovação formal pelo gestor da área e documentação conforme processo definido pela área de Tecnologia.

Todo usuário, para acesso a um sistema, deve possuir uma identificação composta pelo login e senha. A senha representa um processo de autenticação, por meio da qual se comprova a identidade do usuário. Preferencialmente, a identificação do usuário (login e senha) dever ser única para todos os sistemas e mantida em segredo. Cabe a cada usuário, durante a criação ou revalidação da senha, a seguir o procedimento que define as regras de criação de senhas estabelecida.

Os controles e configurações de segurança homologados para todas as estações de trabalho , deverão ser mantidos pela área de Tecnologia. Todos os usuários quando forem se ausentar temporariamente de sua mesa deverão solicitar o logout do equipamento.

a. Todo o acesso à internet ou a redes públicas a partir da rede corporativa da GV8 Capital deve ser feito através de ferramentas de segurança (ex. firewall, proxies e etc.) e controlado pela área de Tecnologia. b O uso de rede sem fio somente poderá ser realizada mediante aprovação formal pela Diretoria de Infraestrutura da Tecnologia da Informação.

É de responsabilidade do gestor de cada área estabelecer os critérios relativos a classificação da informação gerada por sua área.

As redes corporativas de computadores nas organizações já costumam possuir uma alta complexidade de administração, e costumam crescer rapidamente por meio da adição de clientes, parceiros e fornecedores. Este fato implica no considerável aumento de tarefas de monitoração e administração, além de risco de modificação ou acesso não autorizado a informações sensíveis da corporação. Novas conexões da rede interna da GV8 Capital somente poderão ocorrer após: Implementação de filtros de tráfego ou firewalls para bloqueio de acessos não autorizados bem como monitoramento adequado

a. Elaboração de documentação técnica completa pela Diretoria de Infraestrutura da Tecnologia da Informação (topologia, relação de novos dispositivos de rede necessários).
b. Autorização formal da área de Tecnologia.
c. Serão mantidos mecanismos de segregação interna da rede corporativa em domínios lógicos, de modo a facilitar o monitoramento e controle de acesso.

a. A GV8 Capital manterá o registro de todas as operações críticas realizadas nos sistemas, com o objetivo de documentar divergências e evidências de violação desta Política e procedimentos referentes à segurança.
b. Todos os sistemas deverão gerar registros de eventos para operações críticas ou sensíveis. • Este registro de eventos irá incluir informações tais como: • Identificação da conta do usuário responsável pela operação; • Tipo de evento; • Datas e horários do evento; • Indicação de êxito ou falha;
c. Detalhamento de características da operação (valores, conteúdo e departamento responsável);
d. Indicação da origem do evento;
e. A identidade ou o nome dos dados afetados, componentes do sistema ou recurso.
f. Os registros de eventos serão protegidos contra desativação ou acesso não autorizado e armazenados.
g. Os eventos deverão ser mantidos por no mínimo um ano.
h. Estes registros de eventos devem ser analisados a intervalos regulares, cuja frequência será determinada pela criticidade do sistema ou operações executadas. As atividades de monitoramento serão executadas por pessoas diferentes daquelas cujas operações estão sendo monitoradas. Os usuários da GV8 Capital não podem adquirir ou possuir quaisquer ferramentas de hardware ou software para avaliar ou subverter a segurança dos sistemas. A não ser que formalmente autorizado pela área de Tecnologia. Alguns exemplos de tais ferramentas são softwares que permitam: A obtenção do código fonte ou cópias não autorizadas de sistemas.
a. Quebra de senhas.
b. Decodificação de arquivos cifrados.
c. Identificação de vulnerabilidades de segurança.
d. Monitoramento de tráfego nas redes corporativas ou demais atividades nos computadores da GV8 Capital.
e. Ou qualquer outra ferramenta que possa pôr em risco a integridade, confidencialidade e disponibilidade dos ativos da GV8 Capital.
f. A utilização de tais softwares poderá ser antiética e/ou ilegal, e será considerado uma grave violação desta Política.

a. Por meio de criptografia (ou cifragem), são implementados controles que permitem:
b. Proteger os dados contra alteração indevida ou destruição.
c. Proteger a informação contra acesso não autorizado.
d. Garantir que o usuário não possa negar ter sido responsável por uma transação eletrônica.
e. Comprovar a origem de mensagens ou arquivos. A criptografia poderá ser empregada para a proteção de dados confidenciais ou de uso interno, enviados ou mantidos em:
a. Arquivos de dados enviados por parceiros de negócio.
b. Mensagens de correio eletrônico.
c. Servidores.
d. Estações de trabalho.
e. Computadores portáteis. A proteção de informações contra acesso não autorizado é vital no caso de informações mantidas em computadores portáteis, no envio de mensagens confidenciais através de redes públicas (internet), e na proteção do tráfego de dados entre a GV8 Capital e seus principais parceiros de negócio. A diretoria de infraestrutura da Tecnologia da Informação, disponibilizará e recomendará ferramentas e métodos homologados para criptografia, conforme a necessidade das áreas de negócios.

A GV8 Capital manterá proteção contra vírus nos seguintes ambientes:
a. Correio eletrônico filtrando arquivos anexos que possam estar contaminados antes mesmo da abertura das mensagens pelos usuários.
b. Estações de trabalho prevenindo contra contaminação através de unidades de armazenamentos, abertura de arquivos recebidos pela Internet, correio eletrônico ou servidores de arquivos.
c. Servidores prevenindo com contaminação e indisponibilidade do serviço por qualquer tipo de código malicioso.

Firewall ou proxies bloqueando a importação de arquivos contaminados, spam e filtrando a execução de applets que possam executar código perigoso nas estações ou servidores. Servidores de arquivos filtrando e eliminando arquivos contaminados, antes que eles possam ser disseminados para as estações.

a. Instalação automatizada para todas as novas estações que forem conectadas à rede corporativa;
b. Atualização automática das assinaturas do produto antivírus;
c. Monitoramento remoto de locais de contaminação. Toda estação de trabalho e servidores conectados na rede corporativa deverão utilizar o produto de antivírus homologado pela área de Tecnologia

A criação ou alteração de perfis de acesso aos sistemas corporativos deverá ser precedida pela autorização expressa do proprietário da informação, que será obrigatoriamente um superior hierárquico do solicitante, sendo ao menos um gestor da área.

A GV8 Capital manterá um Sistema formal de registro e cancelamento de usuários para obtenção de acesso a todos os sistemas corporativos. Todas as solicitações de gerenciamento de acessos serão registradas e documentadas, para análises periódicas. Todos os usuários que tenham saído da GV8 Capital terão os seus direitos de acesso imediatamente revogados. A utilização de contas administrativas ou avançadas será restrita exclusivamente aos usuários que necessitarem deste tipo de acesso para o exercício de suas funções. Os acessos e utilização dos sistemas corporativos irão ocorrer por meio de conta e senha individuais, de modo a permitir que cada usuário possa ser identificado e responsabilizado pelos seus atos. Todos os usuários que possuem contas administrativas deverão manter também, contas pessoais com nível de acesso normal, para execução de tarefas diárias que não necessitem de acesso administrativo.

A GV8 Capital manterá um processo formal de registro e autorização de modificações nos sistemas e recursos de processamento de informações, incluindo:
a. Registro de solicitações de modificações e responsabilidades.
b. Avaliação de impacto potencial das mudanças em todas as áreas envolvidas.
c. Teste e documentação formal dos resultados em ambiente segregado da produção.
d. Aprovação formal das mudanças solicitadas por parte dos gestores dos sistemas afetados.
e. Comunicação prévia aos usuários.
f. Identificação de responsáveis para a suspensão das mudanças e retorno ao estado anterior dos sistemas, em caso de insucesso.
g. Este processo irá abranger também mecanismos de registro e aprovação formal também nos casos de mudanças emergências.

A GV8 Capital, irá manter uma separação entre os ambientes de produção, homologação e desenvolvimento. Esta separação trará os benefícios de aumento de segurança para o ambiente de produção e aumento de produtividade para os demais ambientes, que irão manter menores restrições e controles. A colocação de código-fonte em ambiente de produção ocorrerá apenas após: Geração de evidências documentais de testes e aceitação do usuário final, para as alterações efetuadas pela equipe de desenvolvimento. Verificação da aderência aos procedimentos de desenvolvimento de sistemas pelas áreas responsáveis pela gestão de mudanças e Segurança da Informação. Autorização formal do gestor de negócios responsável pela aplicação. As equipes de desenvolvimento não poderão ter acesso direto ao ambiente e servidores de produção, salvo com autorização formal através de e-mail da Diretoria de Infraestrutura da Tecnologia da Informação. O desenvolvimento e manutenção de sistemas críticos de negócio, especialmente sistemas desenvolvidos para o acesso via internet ou extranet, deverão passar por um processo de avaliação e certificação de segurança independente. O desenvolvimento de novos sistemas e aplicações deverá incluir requisitos documentados e formais de controle e segurança tais como:
a. Controle de acesso lógico, utilizando perfil.
b. Criptografia.
c. Alçadas de aprovação.
d. Segregação de funções.
e. Todos os controles realizados para os sistemas desenvolvidos internamente serão aplicáveis também à implantação e modificações corretivas ou evolutivas de pacotes adquiridos externamente.

Os gestores da GV8 Capital devem assegurar que os processos de negócio sob sua gestão estejam protegidos contra possíveis falhas ou desastres que possam interromper as operações dos mesmos, causando impactos financeiros no negócio ou na sua reputação e imagem.

A GV8 Capital irá garantir a recuperação dos ativos de informação importantes em caso de necessidade por meio de cópias de segurança (backups). As cópias de segurança terão uma proteção física e ambiental e serão testadas periodicamente, de modo a assegurar a sua integridade, confidencialidade e disponibilidade. Existirão cópias de segurança mantidas fora do ambiente em que foram geradas, a uma distância suficiente para livrá-las de qualquer desastre que possa ocorrer na instalação principal.