Política de Segurança Cibernética

1. OBJETIVO

    A segurança das suas informações é um assunto muito importante para a TentosCap. Para que você possa conhecer um pouco mais sobre as nossas diretrizes de proteção de dados, disponibilizamos aqui um resumo da nossa Política de Segurança Cibernética e da Informação.

2. PRINCÍPIOS

    A Política de Segurança Cibernética e da Informação da TentosCap, bem como as ações a ela relacionadas, regem-se pelos seguintes princípios:

1. Confidencialidade: limitação do acesso à informação, sendo permitido o acesso somente às pessoas autorizadas e em circunstâncias que se apresentem efetivamente necessário o acesso, protegendo informações que devem ser acessíveis apenas por um determinado grupo de usuários contra acessos não autorizados.
2. Disponibilidade: garantia de acesso das pessoas devidamente autorizadas à informação sempre que o acesso for necessário, prevenindo interrupções das operações da Instituição por meio de um controle físico e técnico das funções dos sistemas de dados, assim como a proteção dos arquivos, seu correto armazenamento e a realização de cópias de segurança.
3. Integridade: garantia da veracidade, fidelidade e integridade da informação e dos métodos de seu processamento e eventual tratamento da informação, pois esta não deve ser alterada enquanto está sendo transferida ou armazenada, impedindo que a informação fique exposta ao manuseio por uma pessoa não autorizada e impedindo alterações não aprovadas e sem o controle do proprietário (corporativo ou privado) da informação.

3. DIRETRIZES

    A Segurança Cibernética na TentosCap segue as seguintes diretrizes:

1. Classificação e utilização de dados conforme sua criticidade e sensibilidade para o negócio e seus clientes, especialmente entre dados não pessoais, dados pessoais e dados pessoais sensíveis.
2. Tratamento das informações da TentosCap, dos clientes e do público em geral devem ser tratados de forma ética e sigilosa e de acordo com as leis vigentes e normas internas.
3. Utilização de dados e informações de forma transparente e apenas para as finalidades para as quais foram coletados.
4. Procedimentos e controles abrangendo a autenticação, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades. Além disso, realiza-se a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
5. Concessão de acesso às informações somente aos colaboradores que delas necessitem para o pleno desempenho das suas atividades.
6. Realização periódica de testes de continuidade.

4. GESTÃO DE TERCEIROS

    Os contratos com prestadores de serviço que tiverem acesso aos dados controlados pela Instituição ou aos seus sistemas de informação disporão de cláusulas que assegurem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pela prestadores de serviço.

5. PROCEDIMENTOS E CONTROLES VOLTADOS À PREVENÇÃO E AO TRATAMENTO DOS INCIDENTES A SEREM ADOTADOS POR EMPRESAS PRESTADORAS DE SERVIÇOS A TERCEIROS

    A Instituição somente contratará prestadores de serviços que demonstrarem a adoção de mecanismos de prevenção e tratamento de incidentes, em conformidade com:

1. Adoção de software de proteção contra softwares maliciosos, mantendo-o sempre ativado e atualizado.
2. Adoção de Firewall, mantendo-o sempre ativado e atualizado.
3. Adoção de processo de manutenção de cópias de segurança dos dados e das informações, seja ele realizado para servidor físico ou em nuvem, a ser executado no mínimo semanalmente. 
4. Adoção de mecanismos de controles de acesso e de autenticação que permitam identificar e rastrear o usuário que tiver acesso aos sistemas ou dados da instituição e seus clientes no ambiente cibernético. 
5. Adoção de mecanismos de criptografia que permitam criptografar os dados pessoais de clientes e os dados pertencentes à instituição armazenados pelo prestador de serviço ou enviado por meios de comunicação. 
6. Adoção de mecanismos de segmentação da rede pela qual o prestador de serviço acessa aos sistemas ou dados da instituição ou dos clientes da instituição.

6. DOCUMENTAÇÃO

    Serão documentadas as práticas de governança corporativa e de gestão adotadas, proporcionais à relevância do serviço a ser contratado e aos riscos aos quais a Instituição se expõe, incluindo a verificação da capacidade do potencial prestador de serviço de assegurar:

1. O cumprimento da legislação e da regulamentação em vigor. 
2. O acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço. 
3. A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço.
4. A sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado.
5. O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados.
6. A identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos. 
7. A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

7. CULTURA DE SEGURANÇA CIBERNÉTICA

    A instituição promoverá a disseminação dos princípios e diretrizes da Segurança Cibernética por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de segurança e realizará avaliação periódica dos colaboradores. 

    A Política de Segurança Cibernética e da Informação é revisada, no mínimo, anualmente. Violações a ela estão sujeitas às sanções disciplinares previstas nas normas internas da Instituição e na legislação vigente.