POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
TIMES BANK – CNPJ nº 44.229.771/0001-20 Website: www.timesbank.com.br
IDENTIFICAÇÃO
- Objetivo
1.1. Esta Política Corporativa tem como objetivo estabelecer as diretrizes de segurança cibernética aplicáveis ao Times Bank, registrado sob o CNPJ nº 44.229.771/0001-20, doravante referido como “Times Bank.”
- Abrangência
2.1. Esta Política Corporativa deve ser comunicada a todos os colaboradores, terceiros e prestadores de serviço do Times Bank. A disseminação das diretrizes pode ser ajustada conforme necessário.
2.2. As diretrizes aqui estabelecidas são aplicáveis aos ambientes de computação em nuvem (cloud) e locais do Times Bank.
- Alçada de Aprovação
3.1. Segurança da Informação – Responsável pela elaboração e manutenção desta política.
3.2. Diretoria (Alta Administração) – Responsável pela aprovação desta política.
- Introdução
A Política de Segurança da Informação do Times Bank estabelece as diretrizes fundamentais de segurança da informação, alinhadas aos objetivos da empresa. Essas diretrizes, baseadas em boas práticas de mercado, regulamentações governamentais e normas do setor, visam garantir uma estratégia eficaz de segurança da informação, incluindo controles para mitigar riscos cibernéticos e responder prontamente a incidentes.
Esta Política de Segurança da Informação busca cumprir com o Artigo 50 da Seção II da Lei nº 13.709 (LGPD), de 14 de agosto de 2018, as disposições da Resolução nº 4.658, de 26 de abril de 2018, emitida pelo Banco Central do Brasil, o capítulo 11 – Segurança das Informações do Roteiro Básico do Programa de Qualificação Operacional da BSM Supervisão de Mercados, o requisito 12 do framework PCI-DSS, a seção 5 da norma brasileira ABNT NBR ISO/IEC 27002:2013 e SPI, conforme a Resolução BCB nº 1, de 12 de agosto de 2020 (artigo 3º, parágrafo 5º, seção I, item B), e atender à Circular BCB nº 3.909, de 16 de agosto de 2018.
- Objetivos & Estratégia
A Alta Administração do Times Bank está comprometida com a melhoria contínua dos procedimentos relacionados à segurança cibernética, com base na ética como valor central da empresa. O objetivo de Segurança Cibernética no Times Bank é prevenir, detectar e reduzir vulnerabilidades relacionadas ao ambiente cibernético, garantindo a confidencialidade, integridade, disponibilidade, autenticidade, legalidade e privacidade das informações. Os detalhes das diretrizes são descritos em Manuais Normativos específicos, a serem fornecidos oportunamente.
- Gestão de Riscos Cibernéticos
A segurança e a privacidade das informações são responsabilidades compartilhadas por todos os colaboradores. As áreas de Riscos Operacionais e Segurança da Informação colaboram para uma abordagem ordenada dos eventos de risco. A área de Segurança da Informação, em parceria com a equipe de tecnologia, identifica e gerencia os fatores de riscos cibernéticos e implementa controles para mitigá-los. A área de Planejamento é responsável por gerenciar a Arquitetura de Processos Corporativos do Times Bank, mapear riscos e controles e garantir que o ambiente de controle esteja em conformidade com o apetite de risco da organização.
- Papeis & Responsabilidades
- Diretoria (Alta Administração): Responsável por fornecer a Missão, Visão e Valores do Times Bank, deliberar a estratégia de negócio e estabelecer a prioridade adequada para o desenvolvimento das disciplinas de Segurança da Informação em conformidade com as leis, regulamentos e boas práticas aplicáveis ao setor financeiro.
- Engenharia de Segurança: Responsável por fornecer requisitos de segurança para infraestrutura e definir a estratégia de arquitetura de soluções de segurança, bem como implantá-las de acordo com as diretrizes da Política de Segurança da Informação e Cibernética.
- Cultura e Conscientização: Responsável por fornecer o Programa de Conscientização, treinamentos e educação contínua para colaboradores, terceiros e prestadores de serviço, bem como educação de segurança para clientes do Times Bank.
- Tecnologia da Informação: Responsável por definir o plano tático e operar as soluções tecnológicas de acordo com as diretrizes da Segurança da Informação.
- Todos os colaboradores: Responsáveis por conhecer as leis e regulamentos aos quais o Times Bank está sujeito, participar de treinamentos e educação contínua fornecidos pela área de Segurança da Informação e seguir as orientações fornecidas.
- Fornecedores e prestadores de serviço: Responsáveis por conhecer as leis e regulamentos aos quais o Times Bank está sujeito, bem como as diretrizes do Acordo de Confidencialidade estabelecido com a empresa, participar de treinamentos e educação contínua fornecidos pela área de Segurança da Informação e seguir as orientações fornecidas.
- Principais disciplinas de segurança
Para atingir os objetivos de segurança da informação, as seguintes disciplinas são implementadas pelo Times Bank, conforme descrito:
5.1. Confidencialidade e integridade da informação
O Times Bank compromete-se a tratar de maneira ética e sigilosa as informações de clientes, parceiros, fornecedores, colaboradores e todas as informações confidenciais e restritas do banco. Investimentos contínuos em tecnologia e processos são realizados para garantir a integridade e disponibilidade das informações do Times Bank e seus clientes. A área de Segurança da Informação é responsável por fornecer capacitação e educação contínua para colaboradores, prestadores de serviço e clientes, promovendo a conscientização sobre a importância da proteção dos ativos da informação.
5.2. Criptografia
A criptografia é utilizada pelo Times Bank para garantir a confidencialidade, integridade, autenticidade e não repúdio das informações. São empregados métodos criptográficos, como a criptografia de chave simétrica e assimétrica, funções de resumo (hash de registro) e certificados digitais para proteger as informações.
5.3. Prevenção e detecção de intrusão
Recursos tecnológicos são utilizados para proteger a rede do Times Bank contra tráfego suspeito que possa indicar tentativas de ataque. São implementadas soluções para analisar o tráfego de rede, identificar atividades maliciosas e bloquear ameaças potenciais.
5.4. Prevenção de vazamento de informações
O Times Bank utiliza soluções de proteção contra vazamento de informações para analisar o tráfego de saída da rede, informações transmitidas entre dispositivos e aplicar políticas de alerta e/ou bloqueio para garantir a confidencialidade das informações.
5.5. Classificação das informações
As informações são classificadas de acordo com sua sensibilidade, orientando o uso adequado e aplicação de controles. O Times Bank adota uma solução que sinaliza a sensibilidade das informações e aplica bloqueios de acordo com os privilégios de acesso.
5.6. Gestão de Vulnerabilidades
O Times Bank realiza a gestão de vulnerabilidades para identificar fragilidades no ambiente tecnológico e avaliar o potencial risco para o negócio. O processo abrange a identificação, análise e remediação das vulnerabilidades em infraestrutura e aplicações.
5.7. Cópias de Segurança e Gestão de Identidades & Acessos
Cópias de segurança (Backups) e testes de recuperação (Restore) são realizados para garantir a disponibilidade das informações. Além disso, o Times Bank oferece recursos para a gestão de autorização e autenticação de usuários, com suporte de uma solução de provedor de identidade (IDP).
5.8. Responsabilidade no uso da senha
Todos os colaboradores do Times Bank são responsáveis por proteger suas informações de autenticação secreta. O uso de senhas de alto privilégio segue o processo de dupla custódia para proteger a confidencialidade e prevenir acessos não autorizados.
5.9. Utilização de Internet e correio eletrônico
Os recursos tecnológicos fornecidos pelo Times Bank são destinados exclusivamente para atividades profissionais. A utilização da Internet e do correio eletrônico para fins pessoais não é permitida, e a empresa reserva o direito de monitoramento e acesso aos dados.
5.10. Uso aceitável de softwares & mídias
O uso de software e mídias é restrito a atividades relacionadas às funções dos colaboradores e prestadores de serviço do Times Bank. A empresa adota software licenciado e proíbe o uso de software sem licença ou não aprovado.
5.11. Segurança física dos ambientes de operação e processamento
Controles de segurança física são aplicados aos ambientes onde as informações do Times Bank são processadas, incluindo controle de acesso e proteção física dos equipamentos e infraestrutura.
5.12. Cultura e Conscientização de Segurança da Informação
A cultura de segurança cibernética é promovida pelo Times Bank por meio de treinamentos, conscientização e educação contínua para todas as partes interessadas, incluindo colaboradores, terceiros, prestadores de serviço e clientes.
5.13. Relacionamento com fornecedores e prestadores de serviço
O Times Bank avalia os aspectos de segurança no relacionamento com fornecedores e prestadores de serviço que lidam com informações da empresa. São realizadas avaliações internas e externas de segurança, quando necessário.
5.14. Prevenção, identificação e tratamento de incidentes de Segurança Cibernética
O Times Bank tem uma estrutura para prevenir, identificar e tratar incidentes de segurança cibernética. Incidentes relevantes são registrados, analisados e controlados de acordo com os protocolos estabelecidos.
- Sanções
O não cumprimento das diretrizes estabelecidas nesta Política Corporativa está sujeito a sanções de acordo com a avaliação das áreas competentes do Times Bank. A área de Segurança da Informação é responsável por iniciar o processo disciplinar quando aplicável. Todos os processos disciplinares são conduzidos com sigilo e respeito à privacidade dos envolvidos.
O Times Bank está comprometido em garantir a segurança da informação e cibernética em consonância com as boas práticas de mercado, órgãos reguladores e normas aplicáveis. Esta política é fundamental para proteger as informações confidenciais da organização, dos clientes e de todas as partes interessadas.
Lembramos que a segurança da informação é uma responsabilidade compartilhada por todos os colaboradores, terceiros e prestadores de serviço do Times Bank. É importante que todos compreendam seu papel na proteção dos ativos de informação e sigam as diretrizes estabelecidas nesta política.
São Paulo SP. 01 de setembro de 2023 Times Bank CNPJ: 44.229.771/0001-20