Brascard

Política De Segurança Da Informação E Cibernética – Brascard

Política de Segurança da Informação e Cibernética

Brascard Administradora de Convênios e Cartões Ltda.

As diretrizes de Segurança da Informação e Cibernética da Brascard Administradora de Convênios e Cartões Ltda. aderem-se integralmente ao comprometimento da alta administração e aos objetivos estratégicos dos negócios da organização, assegurando o cumprimento das exigências normativas, dos órgãos reguladores, das diretrizes de Compliance e dos requisitos legais aplicáveis a todo o ambiente operacional da Brascard, inclusive no contexto de Banking as a Service (BaaS).

1. Princípios da Segurança da Informação

A Brascard atua com base em princípios que visam garantir a proteção das informações de seus clientes, parceiros, terceiros, profissionais, prestadores de serviços ou qualquer instituição ou pessoa que possua relacionamento com a companhia:

Confidencialidade

Somente o usuário da informação devidamente autorizado pelo Gestor da Informação poderá ter acesso às informações, respeitando os critérios de segregação de funções previamente definidos.

Integridade

Assegura que as informações não sejam alteradas desde a sua criação até a sua utilização. Eventuais alterações, supressões e/ou adições somente poderão ocorrer mediante autorização do Gestor da Informação.

Disponibilidade

Garante que as informações estejam sempre disponíveis ao usuário autorizado, conforme as necessidades do negócio.

Autenticidade

Assegura a identidade de quem está enviando, acessando ou processando a informação.

2. Governança da Segurança da Informação e Cibernética

Os princípios estabelecidos nesta Política constituem a base para que os processos de Governança de Segurança da Informação e Cibernética sejam atendidos e controlados, permitindo:

  • Estabelecer diretrizes para a classificação de dados e informações, por meio de critérios e restrições de acesso, processamento ou transmissão de informações confidenciais, sensíveis ou restritas da Brascard, de parceiros ou de clientes, quando não autorizadas pelos responsáveis;
  • Implementar procedimentos e controles para mitigação de vulnerabilidades, incidentes e riscos de segurança, monitorando a saúde do ambiente, produzindo planos de remediação e/ou contenção e reduzindo superfícies de ataque, de acordo com o apetite ao risco e as estratégias da companhia;
  • Realizar a gestão, identificação, resposta, tratamento e redução de incidentes de segurança da informação, bem como o monitoramento proativo, detecção e investigação de ocorrências, por meio de serviços de inteligência de ameaças (threat intelligence), comunicando, quando aplicável, áreas envolvidas, órgãos reguladores, parceiros e entidades externas;
  • Prover mecanismos de prevenção ao vazamento de dados e informações (Data Loss Prevention – DLP), para detecção de violações ou padrões de conduta que possam infringir regulamentos;
  • Disponibilizar mecanismos de proteção por meio do monitoramento de atividades de endpoints, sensores e controles de hardware e software contra códigos maliciosos;
  • Estabelecer diretrizes para utilização dos recursos de rede e dos recursos computacionais, incluindo ativos fixos, dispositivos móveis e removíveis, adotando boas práticas de manipulação, proteção, processamento, monitoramento e compartilhamento de informações.

3. Continuidade de Negócios e Gestão de Incidentes

A Brascard mantém planos e subplanos de continuidade e recuperação, incluindo:

  • Análise de Impacto no Negócio;
  • Continuidade Operacional;
  • Recuperação de Negócios;
  • Gerenciamento de Incidentes;
  • Administração de Crises;
  • Planos de testes e validações.

Esses planos visam garantir a disponibilidade operacional e a continuidade dos serviços críticos, reduzindo impactos decorrentes de desastres, crises, indisponibilidades, falhas, comprometimentos ou eventos relevantes de segurança.

4. Controle de Acessos e Uso de Recursos

A Brascard realiza o gerenciamento e monitoramento dos controles de acesso físicos e lógicos às informações e ativos, bem como de seu armazenamento, compartilhamento e descarte, assegurando que apenas pessoas autorizadas possam utilizá-los, conforme regras, permissões, perfis e políticas corporativas.

São estabelecidos critérios seguros para uso e manutenção de credenciais, segredos, tokens e senhas no contexto dos sistemas corporativos.

Os profissionais, usuários, prestadores de serviços, clientes e parceiros têm ciência de que:

  • Não é permitida a remoção de controles de segurança ou aplicações utilizadas para acesso e proteção das informações;
  • Não são permitidas alterações em ambiente produtivo sem prévia aprovação;
  • Os meios de comunicação, equipamentos de acesso a sistemas e infraestruturas são de propriedade da Brascard e passíveis de monitoramento;
  • O uso da internet e do e-mail é de responsabilidade do titular da conta, estando sujeito às leis e regulamentos vigentes;
  • É vedado o uso de recursos tecnológicos ou informações proprietárias para práticas ilegais ou a instalação de recursos computacionais não autorizados.

5. Desenvolvimento Seguro e Tecnologia

A Brascard define controles fundamentais para o ciclo de vida e o desenvolvimento seguro de software, bem como para a adoção de novas tecnologias, assegurando que projetos sigam princípios de segurança desde sua concepção.

A companhia dimensiona requisitos de segurança com base em arquiteturas de referência, uso de controles criptográficos e proteções adequadas ao nível de criticidade de cada componente.

Sistemas desenvolvidos internamente ou adquiridos de fornecedores devem atender aos padrões de segurança e às melhores práticas de mercado ou às necessidades do negócio.

6. Backup, Retenção e Monitoramento

São estabelecidas diretrizes para manutenção de cópias de segurança (backup e restore) de dados e informações, bem como regras de retenção e logging, em conformidade com exigências legais, regulatórias e dos órgãos competentes.

7. Conscientização e Treinamento

A Brascard promove continuamente programas de conscientização, treinamentos e ações de prevenção em Segurança da Informação e Cibernética, abrangendo colaboradores, parceiros e, quando aplicável, clientes.

8. Gestão de Riscos e Conformidade

A companhia suporta a gestão de riscos por meio de um modelo integrado e contínuo de identificação, análise, avaliação, tratamento, revisão e comunicação dos riscos, com o objetivo de proteger seus ativos e assegurar a efetividade dos controles de segurança da informação.

A violação de controles de segurança ou o descumprimento desta Política constitui infração e poderá resultar na aplicação de medidas disciplinares e sanções, conforme avaliação das áreas de Recursos Humanos, Jurídico, Compliance e Segurança da Informação, em conformidade com a legislação vigente.

9. Disposições Finais

Esta Política entra em vigor na data de sua publicação e poderá ser revisada a qualquer tempo, visando sua atualização e aderência às exigências legais, regulatórias e estratégicas da Brascard.