Política de Segurança da Informação

1. OBJETIVOS

Este documento tem como objetivo explicar e estabelecer os requisitos de segurança da informação da KREDIT PAGAMENTOS S.A, para todos os colaboradores, prestadores de serviços e parceiros. A administração da organização adotou esta política de segurança.

1.1 PREMISSA DE SEGURANÇA DA INFORMAÇÃO

A proteção bem-sucedida dos sistemas da organização requer que vários departamentos e grupos sigam consistentemente uma visão compartilhada de segurança.
O Comitê de Segurança da Informação trabalha com os gerentes, administradores e usuários de sistemas dos departamentos no desenvolvimento de políticas, normas e procedimentos de segurança para garantir a proteção dos ativos da organização.

O Comitê de Segurança da Informação possui a responsabilidade sobre o planejamento, a educação e a conscientização sobre o tema da segurança da informação.

2. RESPONSABILIDADES DO COMITÊ DE SEGURANÇA DA INFORMAÇÃO

2.1 GESTÃO DA SEGURANÇA
Na instituição, a gestão da Segurança da Informação ocorrerá através da POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI). O PSI será gerenciado pelo Comitê Gestor de Segurança da Informação (CSI).

2.2 MEMBROS DO CSI

Diretoria;
Gestores.
2.3 COMPETÊNCIAS DO CSI

Difundir a cultura de Segurança da Informação;
Propor programas de treinamento em Segurança da Informação;
Propor projetos e iniciativas relacionados à melhoria da Segurança da Informação.

3. DEPARTAMENTO DE RECURSOS HUMANOS E GERÊNCIA DE PROCESSOS

1. Devido ao seu relacionamento direto e constante com os funcionários, assim como sua posição única de ter a primeiras e últimas interações com todos os colaboradores, o Departamento de Recursos Humanos tem um papel importante no que se referem à segurança das informações dentro da organização, sendo os seguintes itens de sua responsabilidade:
  3.1 RESPONSABILIDADES DO RECURSOS HUMANOS

• Auxiliar o Comitê de Segurança da Informação com a publicação e divulgação das políticas de Segurança da Informação e orientação sobre o uso aceitável a todos os usuários de sistema relevantes incluindo prestadoresde serviço;

• Trabalhar com o Comitê de Segurança da Informação na disseminação de informações de conscientizaçãosobre segurança, utilizando diversos métodos de comunicação, de conscientização e educação dosfuncionários (ex. pôsteres, cartas, memorandos, treinamento via web, reuniões etc.). Trabalhar com o Comitê de Segurança da Informação para administrar sanções e ações disciplinares referentes a violações da Políticade segurança da informação.

3.2 RESPONSABILIDADE DA GERÊNCIA DE PROCESSOS

Definir, implementar, monitorar e melhorar processos operacionais mais seguros e assertivos com menos esforço, atendendo a regras do PSI, com auxílio de manuais e fluxogramas.

4. CONTATO COM AS AUTORIDADES E PESSOAS EXTERNAS

Como parte do processo de comunicação interno e externo e do plano de resposta a incidentes de segurança da informação da organização, declara-se que qualquer comunicação relacionada à segurança da informação, processos,Know-how, planilhas ou qualquer outro documento que venha a expor dados sensíveis da instituição, clientes, entidades reguladoras, entidades de conformidade, governo, correntistas, time comercial, ou quaisquer pessoas que tenha relaçãodireta com a instituição, devem ser previamente autorizadas pela Diretoria.

5. SEGURANÇA DA INFORMAÇÃO NO GERENCIAMENTO DE PROJETOS

Como parte da metodologia de gerenciamento de projetos da organização, recomenda-se que todo e qualquer projeto seja documentado em sistemas próprios da instituição, como Pipefy, Trello ou qualquer outro sistema utilizado durante o processo em questão. Acompanhando as regras de arquivamento de documentação e projeto controlando o uso da informação entre os participantes.

6. CONFORMIDADE LEGAL

Todos os ativos e sistemas de informação da organização, assim como os seus funcionários e prestadores de serviço devem estar em conformidade com as obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação estabelecido pela instituição. Com objetivo de prevenir violações, todas as informações armazenadas ou que trafeguem dentro dos perímetros físicose lógicos da instituição podem ser monitoradas, mediante o processo de aprovação instituído, revisado pelo CSI. Todosos colaboradores devem passar por uma prova de conhecimento do Manual da Política de Segurança da Informação edeverá atingir nota mínima de 7.

7. POLÍTICA DE ACESSO REMOTO

O acesso remoto a ativos/serviços de informação e recursos computacionais da instituição é restrito a usuários que necessitem deste recurso para execução das atividades profissionais. Em nenhuma hipótese o acesso remoto deverá ser disponibilizado a prestadores de serviços externos ou pessoas previamente autorizadas de acordo com este manual. Toda informação acessada em quaisquer dos

sistemas que qualquer colaborador tenha acesso, informações transmitidas, recebidas ou produzidas, através de acesso remoto estará sujeita monitoramento não havendo pelo colaborador nenhuma intenção de privacidade. O acesso remoto deverá ser disponibilizado através de VPN administrada pelo software Kaspersky.

8. POLÍTICA DE PROTEÇÃO CONTRA AMEAÇAS E CÓDIGOS MALICIOSOS

A instituição disponibiliza ferramenta corporativa Kaspersky para proteção dos seus ativos/serviços de informação e recursos computacionais, incluindo estações de trabalho e dispositivos móveis, contra ameaças e códigos maliciosos tais como vírus, cavalos de Tróia, worms, ferramentas de captura de tela e dados digitados, softwares de propaganda e similares.

Mesmo com a existência de ferramentas para proteção contra códigos maliciosos, os usuários da instituição devem adotar um comportamento seguro, reduzindo a probabilidade de infecção ou propagação de códigos maliciosos.

9. POLÍTICA DE CONTROLE DE ACESSO

9.1 SEÇÕES DA POLÍTICA E RESPONSABILIDADES 9.1.1 GESTÃO DE CONTAS

Todos os colaboradores que necessitam de um acesso à rede interna da instituição possuem uma conta com determinado nível de acesso vinculado ao departamento no qual estão inseridos. Esta conta é utilizada para acessar servidores de patas compartilhadas (ARES) e para acesso remoto a servidores em filiais (Apollo) relacionados com a sua rotina de trabalho.

Todos os colaboradores que possuem conta, recebem acesso a um e-mail corporativo que será utilizado para comunicação interna e externa a serviço da instituição.
Todos os usuários serão segregados por grupos, sendo em cada grupo com suas diretrizes de acesso e segurança. Todos os sistemas adotados internamente pela instituição, sejam em sua sede ou em suas filiais, serão parametrizadospor grupos de usuários.

9.1.2 LIBERAÇÃO DE DIREITO DE ACESSO

Após o processo de seleção e contratação de novos colaboradores, o departamento de Recursos Humanos encaminhaum e-mail ao Departamento de TI, no qual solicita a liberação de acessos e ativos necessários para o exercício de suasfunções profissionais.
Esta solicitação deverá ser enviada através do sistema de comunicação interna da instituição, denominado INTRANET, onde o colaborador deverá cadastrar sua biometria para acesso à sua estação de trabalho bem como logins e senhas de acessos a todos os sistemas que sejam relativas à sua função junto com a assinatura do Termo de Acesso.

9.1.3 REVOGAÇÃO DE DIREITO DE ACESSO

Durante o processo de desligamento dos colaboradores, o departamento de Recursos Humanos encaminha um e-mailao Departamento de TI, onde deverá ser feito o bloqueio de todos os acessos do

colaborador imediatamente, bem comoa devolução dos ativos utilizados.

9.1.4 ALTERAÇÃO DE DIREITOS E ACESSO

Os acessos às informações e aos recursos de processamento da informação são liberados, alterados ou revogados conforme a solicitação da diretoria ou gerência responsável pelo setor, sendo o requerente responsáveis por qualquer desvio de conduta e acesso do colaborador gerido. A solicitação deverá ser feita única e exclusivamente pelo sistema de comunicação interna adequado.

9.1.5 GERENCIAMENTO DE USUÁRIO E SENHA

O Departamento de TI é responsável por manter as diretrizes de senhas, biometria, cartões de acesso em portas e SmartCards de acesso único a estações de trabalho e também é responsável por orientar os usuários no cadastramentode novas senhas.
A senha é de responsabilidade do usuário, de uso pessoal e intransferível, não sendo permitido o seu compartilhamento.A mesma poderá ser alterada a qualquer momento ou caso seja identificada uma falha de segurança.

Caso o usuário necessite de auxílio para alterar a senha, o Departamento de TI deve ser acionado. Na ocorrência de algum usuário identificar que outro usuário esteja compartilhando a senha, o mesmo deve comunicar via INTRANET no canal específico do departamento de TI.
Não é permitido o uso e cadastro de usuário genérico ou padrão para acesso à internet, à

rede e a sistemas. A construção da senha do usuário deverá ser realizada seguindo as seguintes recomendações:

Comprimento mínimo de 8 caracteres;
Possuir 2 caracteres maiúsculos, 2 caracteres minúsculos, 2 caracteres especiais e 2 números;
Diferir das 6 últimas senhas utilizadas;
As senhas deverão ser trocadas a cada 180 dias;
Utilizar senhas de fácil memorização.
Acessos a estações e salas internas de diretoria e funções de colaboradores que possuem acesso a contas digitais oudados sensíveis, deverão ser acrescidos, além das senhas, de biometria e cartão SmartCard de acesso único.

9.1.6 REQUISIÇÃO E DEVOLUÇÃO DE ATIVOS

Os ativos de informática da instituição devem ser solicitados através do INTRANET exclusivamente pela gerência do setor,devendo ser informado à coordenação de logística para o seu recebimento e posterior controle. A devolução dos ativos de informática ocorrerá nos casos de quebra, descontinuidade do ativo, alteração de função, desligamento do funcionário ou encerramento de contrato de fornecedor ou prestador de serviço.

9.1.7 TERMO DE CONFIDENCIALIDADE

Todos os funcionários devem assinar o documento “Termo de Confidencialidade e Responsabilidade” fornecido pela gerência de processo no ato da entregada deste manual.
Todos os contratos firmados, seja com clientes ou fornecedores da instituição, devem, obrigatoriamente,

possuir cláusulade confidencialidade.
Todos os contratos devem ser validados pela área de compliance e controladoria e, somente após a sua validação, dar-se-á continuidade ao ato que originou a assinatura do termo de confidencialidade.