conheça a nossa política de segurança cibernética
A Política de Segurança Cibernética da Adiq estabelece as seguintes diretivas gerais:
1- objetivo
A presente Política de Segurança da Informação Cibernética (“Política”) da Adiq Instituição de Pagamento SA (“ADIQ”) tem como objetivo definir as diretrizes adotadas pela Adiq para regulamentar e disciplinar os procedimentos adequados para proteção de informações e dados, bem como determinar regras relativas à segurança em caso de eventual disponibilização destas informações e dados, com o objetivo de a minimizar os riscos sobre os ativos, incluindo pessoas, ambientes, tecnologias e processos da Adiq.
Ademais, esta Política visa:
I. Integrar a gestão de riscos à cultura geral da Adiq;
II. Garantia da confidencialidade, integridade e disponibilidade das Informações da Adiq e seus parceiros;
III. Atender requisitos regulatórios e legislativos;
IV. Prevenir e tratar ameaças e vulnerabilidades; e
V. Alinhar as obrigações em relação às diretrizes, procedimentos e responsabilidades quanto ao seu papel dentro do contexto de Segurança da Informação da Adiq.
2- aplicação
As disposições desta Política aplicam-se a todos os clientes, fornecedores e parceiros das empresas Adiq e Adiq Plus, doravante denominada “Adiq”.
3- diretrizes
A presente Política será regida pelas seguintes diretrizes, além de tratadas em normas e políticas específicas:
3.1- classificação da informação
A política de classificação da informação foi criada seguindo as melhores práticas de segurança e regulamentações vigentes, para que toda informação seja classificada e receba o nível de proteção adequado. A classificação está definida em 4 níveis: Pública, Privada, Restrita e Confidencial.
3.2- riscos
Um plano de identificação, avaliação e tratamento dos riscos deve existir para que seja reduzido e/ou evitado impactos negativos para a organização. Os riscos devem ser monitorados de acordo com a classificação para que seja definida a prioridade de tratamento de cada um deles.
3.3- trabalho remoto
Desenvolvemos a política de trabalho remoto que deve ser adotada conforme as diretrizes estabelecidas na política. Essas diretrizes apoiam os colaboradores a manterem as melhores práticas de trabalho remoto, garantindo a organização e mantendo o nível de qualidade nas atividades desenvolvidas.
3.4- plano de continuidade do negócio
A Política de Plano de Continuidade de Negócios tem como objetivo estabelecer as diretrizes e responsabilidades de modo a assegurar a continuação das operações vitais e a integridade das informações processadas, nos momentos posteriores a eventuais interrupções e durante a recuperação.
3.5- controles de acesso
Visando garantir a segurança de nossos sistemas e informações, apontamos que, possuímos diretrizes e normas especificas que tratam do controle de acesso, monitoramento do ambiente lógico, monitoramento do nosso ambiente físico, de acordo com as melhores práticas de mercado e regulamentações vigentes.
Entendemos que cada pessoa tem um papel importante a exercer para o funcionamento do processo como um todo, e para atender as suas funções, os acessos devem ser adequados, não excedendo o mínimo necessário para executar seu papel.
3.6- armazenamento, descarte, destruição e reutilização
Estabelecemos e documentamos as diretrizes necessárias para assegurar que as informações armazenadas nos equipamentos e nas mídias sejam apagadas ou destruídas de forma segura, antes do descarte ou da sua reutilização.
3.7- gestão de regras de firewall
A Norma de Regras de Firewall estabelece as diretrizes com as regras a serem utilizadas na obtenção de controle do tráfego da rede, e nos bloqueios das transmissões que não atendam aos critérios de segurança da Adiq.
3.8- gestão de incidente de segurança da informação
Deve garantir que os incidentes sejam identificados, avaliados, registrados com a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Adiq, além de serem respondidos de maneira rápida e eficaz preservando a reputação e a imagem da Adiq. Todo incidente que influencia a segurança da informação deve ser comunicado.
3.9- monitoramento e controle de log
Devem existir trilhas para auditoria com nível de detalhe suficiente para rastrear o uso normal e as possíveis falhas e fraudes. Monitorar e analisar logs nos permite investigar um incidente de segurança além de mostrar se as regras de segurança estão adequadas.
3.10- softwares maliciosos
Todos os ativos da Adiq devem estar equipados, quando possível, com softwares de antivírus, devidamente monitorados e atualizados, de acordo com as melhores práticas de mercado e regulamentações vigentes.
3.11- hardening
Para mitigação de riscos conhecidos (Hardening), deve-se usar as melhores práticas de segurança da informação e padrões de mercado, que estabelecem recomendações para a instalação, configuração e manutenção dos dispositivos móveis da Adiq, para minimizar os riscos de falhas de segurança.
3.12- criptografia
Os controles criptográficos são utilizados na Adiq para alcançar a confidencialidade, autenticidade, integridade e não-repúdio das Informações. Desta forma, os processos de criptografia da Adiq devem sempre utilizar chaves e/ou certificados confiáveis, configurações seguras e seguir as melhores práticas da indústria.
3.13- desenvolvimento seguro
Pautados principalmente na OWASP, prezados pela qualidade do desenvolvimento de nossas soluções tanto do ponto de vista funcional quando de segurança, uma norma de desenvolvimento seguro foi criada para garantir que as melhores práticas para o desenvolvimento seguro sejam adotadas.
3.14- gestão de vulnerabilidade
A Norma de Gestão de Vulnerabilidade tem como objetivo estabelecer procedimentos e controles para prevenir, detectar e reduzir incidentes que possam a vir a ocasionar um impacto negativo nas atividades da Adiq, de acordo com as melhores práticas de segurança e regulamentações vigentes.
3.15- mudanças
A Gestão de Mudança é o processo que tem como objetivo assegurar que as mudanças realizadas nos ambientes produtivos e pré-produtivos sejam feitas de forma controlada, sendo avaliadas, planejadas, testadas, comunicadas, implementadas e documentadas, visando assim mitigar os riscos envolvidos nas mudanças de tecnologia em ambientes operacionais.
3.16- cópias de segurança
Cópias de segurança de dados e informações devem ser efetuadas regularmente, conforme a norma de backup estabelecida, definindo diretrizes referente a retenção, local de armazenamento, entre outros fatores que tornam o processo seguro.
3.17- gestão de ativos
Devemos assegurar que controles de segurança adequados sejam implementados e cumpridos para garantia da manutenção e ciclo de vida do ativo da informação. Os ativos devem ser utilizados somente para realizações de tarefas pertencentes à Adiq.
3.18- uso de dispositivos e tecnologias
A Adiq estabelece diretrizes e recomendações para a gestão, uso seguro, ético e legal dos dispositivos e tecnologias disponibilizados aos Colaboradores para o desenvolvimento de suas atividades profissionais, sempre apoiando a segurança da informação para proteger as informações acessadas, processadas ou armazenadas.
3.19- gestão de capacidade
A utilização dos recursos da Adiq deve ser monitorada e as projeções devem ser feitas para necessidades de capacidade futura para garantir o desempenho requerido.
3.20- seleção de fornecedores de tecnologia da informação
A Adiq avalia previamente à contratação de empresas prestadoras de serviços que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução de atividades operacionais da Adiq, e se elas adotam procedimentos e controles voltados à prevenção e ao tratamento de incidente.
3.21- proteção de dados e privacidade
Na Adiq trabalhamos de acordo com a lei de privacidade de dados e com aderências as melhores práticas de segurança para garantir o adequado tratamento dos dados.
3.22- treinamento
Programas de conscientização, educação e treinamento em Segurança da Informação serão aplicados pela equipe de Segurança da Informação visando a garantia dos objetivos, princípios e diretrizes definidas nesta Política, adequando-se às necessidades e responsabilidades específicas de cada colaborador.
3.23- auditoria e conformidade
A Adiq realiza periodicamente testes e auditorias internas, visando assim identificar: Se suas práticas estão de acordo com essa Política e suas Normas Internas; com os Documentos de Referência indicados na presente Política; e, se esta Política foi efetivamente implementada e respeitada.
3.24- canais de comunicação
• Quaisquer desvios às diretrizes desta Política, o fato poderá ser relatado ao Canal da Ética (https://www.contatoseguro.com.br/adiq ou 0800 515 2223), podendo ou não se identificar.