1. REGULAMENTAÇÃO UTILIZADA
1.1 Lei nº12.965, de 23/04/2014
1.2 Lei nº 13.709, de 14/08/2018
1.3 Resolução do Banco Central do Brasil (BCB) nº 85, de 08/04/2021
2. DEFINIÇÕES
• Autenticidade: princípio pelo qual se garante que a informação foi produzida, expedida, modificada oudestruída por uma determinada pessoa física, equipamento, sistema ou entidade devidamente autorizada.
• BCB: Banco Central do Brasil.
• Confidencialidade: princípio pelo qual se garante que a informação não esteja disponível ou não sejarevelada a pessoa, sistema, ou a entidade não autorizada.
• Disponibilidade: princípio pela qual se garante que a informação esteja acessível e utilizável sob demandapor pessoa física, sistema ou entidade devidamente autorizados.• Integridade: princípio pelo qual se garante que a informação não foi modificada ou destruída de maneiranão autorizada ou acidental.
• Irretratabilidade: princípio pelo que se garante que uma pessoa ou entidade não possa negar a autoridade informações fornecidas.
• LGPD: Lei Geral de Proteção de Dados Pessoais nº 13.709, de 14/08/2018.
• Segurança Cibernética: é a prática de proteger computadores, redes, aplicações de software, sistemasessenciais e dados de possíveis ameaças digitais.
• Segurança da Informação: é a prática de viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e autenticidade das informações.
3. OBJETIVO
3.1 Estabelecer normas, conceitos, diretrizes, e responsabilidades sobre os principais aspectos relacionados à segurança cibernética, visando preservar e garantir a confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade, legalidade e conformidade dos dados e informações empresa, dos clientes e do público em geral, observando as regulamentações aplicáveis e melhores práticas de mercado.
4. MOTIVAÇÃO
4.1 O estabelecimento desta política visa estar em conformidade com a Lei nº 13.709, de 14/08/2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, a Lei nº12.965, de 23/04/2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, e a Resolução BCB nº 85, de 08/04/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento.
5. ABRANGÊNCIA
5.1 Todos os empregados da BigPag.
6. DIRETRIZES
6.1 A BigPag se compromete a resguardar a proteção dos dados contra acessos indevidos, bem como contra modificação, destruição ou divulgação não autorizada.
6.2 A BigPag realiza a adequada classificação das informações e garante a continuidade do processamento, conforme os critérios e princípios estabelecidos.
6.3 A BigPag garante que os sistemas e dados sob sua responsabilidade estejam devidamente protegidos e sejam utilizados apenas para o cumprimento de suas atribuições.
6.4 A BigPag zela pela integridade da sua infraestrutura tecnológica na qual são armazenados, processados ou, de qualquer outra forma, tratados os dados, adotando as medidas necessárias para prevenir ameaças lógicas, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a dados internos e confidenciais.
6.5 A BigPag garante que as intervenções realizadas no ambiente tecnológico, como auditorias, testes de segurança ou outras atividades no ambiente que possam, de alguma forma, impactar os sistemas operacionais ou os processos de negócio, sejam previamente acordadas entre o solicitante e o responsável pelo ambiente.
6.6 Os incidentes de Segurança da Informação e Cibernética, serão registrados, terão seu causa e impacto e definidos os fatores de criticidade, e serão levados ao conhecimento da Diretoria responsável.
6.7 Será garantida a continuidade do negócio em caso de incidentes que possam comprometer o funcionamento normal das atividades da BigPag.
6.8 A BigPag exigirá dos fornecedores e parceiros o mesmo rigor em relação à proteção dos ativos físicos e lógicos, mediante formalização desta em nossos contratos que disciplinam a prestação dos serviços.
6.9 A BigPag se compromete a dar ciência a todos os empregados, terceiros e parceiros da BigPag sobre a presente Política, bem como administrar treinamento periódico e adequado para utilização das informações do negócio.
7. RESPONSABILIDADES
7.1 É de responsabilidade de Administradores, Colaboradores e Prestadores de Serviço, observar e zelar pelo cumprimento da presente Política, atuar de forma ética e responsável quando tomar conhecimento de incidentes, compartilhando informações com os responsáveis pelo seu tratamento e tomando todas as ações cabíveis para minimizar os potenciais danos, e compreender o papel da segurança da informação em suas atividades diárias, além de participar dos programas de conscientização.
7.2 É de responsabilidade da Diretoria Executiva avaliar relatório sobre a análise crítica periódica do sistema, apreciando os resultados, métricas e indicadores.
7.3 É de responsabilidade da área de Riscos, Compliance, Prevenção e Segurança cumprir as diretrizes estabelecidas nesta Política, mantê-la atualizada de forma a garantir que quaisquer alterações no direcionamento da Companhia sejam incorporadas a ela e esclarecer dúvidas relativas ao seu conteúdo e à sua aplicação.
7.4 É de responsabilidade do Conselho de Administração deliberar acerca da implementação do plano de ações e de resposta a incidentes para cumprimento da Política de Segurança da Informação e Cibernética da empresa.
7.5 É de responsabilidade da área de Segurança Cibernética atuar de forma proativa no cumprimento das tarefas relacionadas à proteção dos negócios da empresa e dos seus clientes, bem como prestar assessoramento à Diretoria em relação aos temas de sua competência.
7.6 É de responsabilidade dos fornecedores observar e zelar pelo cumprimento das melhores práticas de Segurança da Informação, bem como dos requisitos de segurança da informação e cibernética exigidos contratualmente durante o vínculo com a BigPag, além de atuar de forma ética e responsável quando tomar conhecimento de incidentes, compartilhando informações com os responsáveis pelo seu tratamento e tomando todas as ações cabíveis para minimizar os potenciais danos.