Política de Gestão Corporativa de Continuidade de Negócios

Clique aqui para acessar o PDF.

 

Histórico de Revisão

Versão	Data de Revisão	Histórico:
1	17/12/2021	Elaboração do Documento.
2	29/11/2023	Atualização dos itens: I. Objetivo, II. Abrangência, III. Diretrizes subitens: 1; 2.1; 2,4; 2.6.1 e 2.8, IV. Gestão de Consequências, V. Responsabilidades, VI. Documentação Complementar, VII. Conceitos e Siglas e VIII. Disposições Gerais.

 

I. Objetivo

A presente Política de Gestão Corporativa de Continuidade de Negócios (“Política”) tem por objetivo estabelecer as diretrizes do Sistema de Gestão de Continuidade de Negócios (“SGCN”), visando contribuir para a resiliência e a sustentabilidade dos negócios antes, durante e depois de situações de crise através do planejamento, implantação e adoção de Planos de Continuidade de Negócios (“PCNs”) e afins para uso em situações de crise previamente definidas e avaliadas pela organização.

II. Abrangência

Todos os membros do Conselho de Administração e da Diretoria-Executiva (“Administradores”); membros dos Comitês de Assessoramento e do Conselho Fiscal; Colaboradores, incluindo terceirizados, estagiários e jovens aprendizes (“Colaboradores”) das empresas Cielo S.A. – Instituição de Pagamento (“Cielo”), Servinet Serviços Ltda. (“Servinet”), Stelo S.A. (“Stelo”) e Aliança Pagamentos e Participações Ltda. (“Aliança”), doravante denominadas em conjunto de “Companhia”.

Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

III. Diretrizes

1. Escopo

O escopo da Gestão de Continuidade de Negócios da Companhia, abrange:

• Todas as áreas de negócios da Companhia e respectivos processos críticos para a sustentação dos negócios. Além disso, o mapeamento das áreas e dos processos é realizado por meio de Análise de Impacto nos Negócios (“BIA”); e
• A localidade coberta pelo SGCN contempla a sede da Companhia, localizada na Alameda Xingu, nº 512, 21º ao 25º Andares, Alphaville, Centro Industrial e Empresarial, CEP 06455-030, na Cidade de Barueri, Estado de São Paulo.

2. Processos para Controle do Sistema de Gestão de Continuidade de Negócios

Para a manutenção do Sistema de Gestão de Continuidade de Negócios, os processos de controle elencados abaixo foram definidos como essenciais:

2.1. Análise de Impacto nos Negócios (BIA – Business Impact Analysis)

Garantir a identificação e análise dos potenciais impactos aos processos críticos para os negócios da Companhia.

2.2. Análise de Sustentabilidade de Ativos (ASA)

Identificar os ativos (infraestrutura e sistemas) que suportam os processos críticos de negócios relacionados no BIA.

2.3. Avaliação de Fornecedores

Identificar a aderência dos Fornecedores aos requisitos de Continuidade de Negócios, definidos pela Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança, com foco na indisponibilidade dos serviços prestados pelos fornecedores críticos.

2.4. Avaliação de demandas internas, como novos produtos, processos, projetos e mudanças

Avaliar novos produtos e serviços, bem como alterações relevantes em produtos e serviços já existentes e restruturações de ambientes, no âmbito de Continuidade de Negócios.

2.5. Avaliação dos Requisitos Legais e Regulamentares

Assegurar a manutenção dos aspectos de atualização dos requisitos legais e regulamentares deste SGCN. O processo deverá seguir as normas corporativas da Companhia para o assunto. Ainda, caberá à Gerência de Gestão de Continuidade de Negócios e Gestão de Crises a gestão das alterações destes requisitos legais e cumprimentos regulatórios, quando aplicáveis ao contexto do SGCN.

2.6. Manutenção dos Planos de Continuidade dos Negócios 

Garantir a formalização e documentação das ações e das estratégias de continuidade de negócios, bem como os papéis e responsabilidades na ativação dos PCNs, com o objetivo de minimizar os impactos causados pela indisponibilidade de processos críticos e que deverá ser composta pelos seguintes planos:

2.6.1. Plano de Gestão de Crises

Descrever os procedimentos a serem executados em caso de declaração de crise, conforme estabelecido na Norma de Gestão de Crises, definindo papeis e responsabilidades no processo de comunicação e ações mitigatórias.

2.6.2. Plano de Recuperação de Desastre (DRP – Disaster Recovery Plan):

Descrever os procedimentos que orientam como recuperar os serviços e ambiente de tecnologia (Data Center) após um incidente que cause impacto que atenda ao critério do BIA e PCN.

2.6.3. Plano de Continuidade de Local de Trabalho (“PCLT”)

Descrever os procedimentos para ativação do local de trabalho alternativo, no caso de indisponibilidade do local de trabalho principal (escritório e home office), bem como o acionamento de pessoas visando o deslocamento para o local de trabalho alternativo dos Colaboradores que executam as atividades identificadas como críticas para a Companhia.

2.6.4. Plano de Contingência de Pessoas (“PCPas”)

Descrever os procedimentos para substituição de Colaboradores chaves por seu backup, previamente definidos, no caso de uma ausência temporária ou permanente do Colaborador que executa as atividades identificadas como críticas para a Companhia.

2.6.5. Plano de Continuidade de Processos (“PCP”)

Descrever os procedimentos alternativos a serem utilizados, em caso de indisponibilidade de uma ou mais etapas que suportam o processo de negócio, independentemente de tecnologia.

2.6.6. Plano de Contingência de Fornecedores Críticos (“PCFC”)

Descrever os procedimentos alternativos a serem utilizados em caso de indisponibilidade, quebra de contrato, falência, entre outros eventos relacionados a um fornecedor crítico que suporta o processo de negócio.

2.7. Realização de Testes e Exercícios de PCN

São realizados, periodicamente, testes e exercícios a fim de aferir a eficácia dos planos de continuidade e garantir que estes continuem a atender as necessidades de negócios diante de eventuais mudanças, além de elevar o grau de maturidade da resiliência organizacional.

2.8. Realização de Treinamentos

Os treinamentos são realizados anualmente a fim de disseminar a cultura e o conceito de continuidade de negócios, de forma online, por meio de workshops, lives e e-learning, sendo recomendável que, dentro do prazo estabelecido pela Companhia, todos os administradores, Colaboradores, estagiários e menores aprendizes realizem o treinamento obrigatório.

2.9. Comunicação ao Banco Central do Brasil (“BCB”)

Realiza comunicação tempestiva ao BCB acerca das ocorrências de incidentes ou interrupções dos serviços considerados relevantes, bem como indica as providências para o reinício das atividades interrompidas.

IV. Gestão de Consequências

Colaboradores, fornecedores ou outros Stakeholders (públicos de interesse) que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética, nos canais abaixo, podendo ou não se identificar.

• canaldeetica.com.br/cielo
• Telefone, ligação gratuita: 0800 775 0808

Internamente, o não cumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento e de acordo com normativos internos, sendo aplicáveis a todas as pessoas descritas no item “Abrangência” desta Política, incluindo a liderança e membros da Diretoria-Executiva.

V. Responsabilidades

• Áreas de Negócios ou Suporte ao Negócio:
  • Fornecer as informações pertinentes ao negócio, de forma a subsidiar a avaliação dos requerimentos de disponibilidade dos processos críticos.
  • Informar alterações relevantes nos processos para avaliação da área de GCN e atualização dos BIAs e Planos de Continuidade de Negócios – PCNs, caso aplicável; e
  • Participar e atuar nos/ dos testes e exercícios de PCN e DRP.

• Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança:
  • Definir e aprovar os processos e serviços essenciais que serão priorizados na aplicação da metodologia de continuidade de negócios;
  • Indicar o ponto focal de Continuidade de Negócios, na área de negócio;
  • Dar apoio para a área de Continuidade de Negócio na avaliação dos processos das áreas de negócios da Companhia, na implantação de planos de continuidade de negócios e estratégias de continuidade;
  • Aprovar planos e estratégias de continuidade de negócios; e
  • Validar relatórios de resultados de exercícios e testes

• Pontos Focais de Continuidade de Negócios (Titular e Suplente):
  • Centralizar e disseminar os assuntos relacionados à continuidade de negócios em suas áreas, bem como acompanhar a revisão e a manutenção dos Planos e BIAs;
  • Assegurar que todos os processos considerados como críticos de sua área estejam contemplados no plano de continuidade de negócios;
  • Apoiar na elaboração do calendário anual dos testes de PCN;
  • Indicar representante da área para participar dos testes, bem como revisar o caderno de testes e orientar o Colaborador na execução do teste; e
  • Participar de treinamentos, workshops, lives e e-learnings voltados aos temas relacionados à continuidade de negócios.

• Gerência de Continuidade de Negócios e Gestão de Crises (Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança):
  • Apresentar aos gestores de negócios o PCN;
  • Aplicar o BIA e o ASA para os processos indicados pelos gestores de negócios;
  • Garantir que os serviços atuais ou novos atendam a continuidade do negócio e BIA dos serviços;
  • Acompanhar e avaliar a implantação das estratégias de continuidade de negócios;
  • Realizar a gestão do PCN;
  • Elaborar e revisar políticas, normas, procedimentos e metodologia de continuidade de negócios;
  • Elaborar, consolidar e divulgar o BIA e ASA corporativo, bem como compartilhar antecipadamente os dados necessários para compor os artefatos;
  • Atender às demandas de órgãos reguladores, auditorias internas e externas e clientes institucionais, no que tange a disciplina de continuidade de negócios corporativa da Companhia;
  • Coordenar a realização de exercícios de PCN para aferição dos planos;
  • Elaborar e reportar à Administração o relatório de resultados dos testes e exercícios de PCN;
  • Atuar no acionamento do Grupo Executivo de Crises, que tem como objetivo monitorar, avaliar o evento e acionar o Plano de Continuidade de Negócios; e
  • Analisar e propor ajustes à presente Política de acordo com a periodicidade prevista nas normas internas da Companhia, e sempre que julgar necessário.

• Administradores e colaboradores:
  • Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar a Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas.

VI. Documentação Complementar

• ABNT ISO 22317 – BIA;
• ABNT NBR ISO 22301 – SGCN;
• ABNT NBR ISO 31000;
• Resolução BCB nº 198/2022;
• Código de Conduta Ética da Companhia;
• Política de Tecnologia da Informação;
• Resolução BCB nº 85/2021; e
• Declaração de Escopo.

VII. Conceitos e Siglas

• Análise de Impacto nos Negócios – BIA ou Business Impact Analysis – BIA: é a identificação e análise de processos de negócios/atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização. (ABNT ISO 22317).
• Business Continuity Institute – BCI (Instituto de Continuidade de Negócios): Instituição Global de Adesão para Profissionais de Continuidade de Negócios que desenvolveu o quadro BCM “Boas Diretrizes de Práticas 2013” (GPG 2013). O papel mais amplo do BCI e da Parceria Corporativa BCI é promover os mais altos padrões de competência profissional e ética comercial na prestação e manutenção do planejamento e serviços de continuidade de negócios.
• Contingência: é o momento em que há mobilização de recursos para responder ao incidente e garantir a continuidade das atividades críticas durante o evento.
• Crise: uma situação com alto nível de incerteza que interrompe as atividades principais e/ou credibilidade de uma organização e requer ações urgentes (ISO 22300:2012), isto é, (a) um evento crítico que, se não tratado de forma adequada, pode afetar drasticamente a rentabilidade, reputação ou capacidade de operação de uma organização, e (b) uma ocorrência e/ou percepção que ameace as operações, funcionários, valor dos acionistas, stakeholders, marca, reputação, confiança e/ou objetivos estratégicos/negócios de uma organização.
• Declaração de Escopo: documento da GCN contendo, de forma resumida e direta, os principais aspectos relacionados ao Escopo do SGCN da Companhia, seus pontos de cobertura e suas exclusões, objetivos e responsabilidades das áreas abrangidas e outros itens relevantes em face do Escopo do SGCN da organização.
• Data Center: local onde estão concentrados os sistemas computacionais de uma empresa ou organização, como um sistema de telecomunicações ou um sistema de armazenamento de dados.
• Equipe de Gestão de Continuidade de Negócios: grupo de colaboradores funcionalmente responsável por direcionar o desenvolvimento e execução do Plano de Continuidade de Negócios, bem como responsável por declarar um desastre e orientar durante o processo de recuperação, tanto antes do desastre quanto pós-desastre. Termos semelhantes: equipe de gerenciamento de recuperação de desastres e equipe de gerenciamento de recuperação de negócios.
• Exercício de PCN: processo de treinamento para avaliar, praticar e melhorar o desempenho de uma organização. Os exercícios podem ser usados para: validar políticas, planos, procedimentos, treinamento, equipamentos e acordos entre organizações; esclarecimento  e  treinamento  de  pessoal  em  funções  e responsabilidades, melhoria da coordenação e comunicação entre organizações, identificação de lacunas de recursos, melhoria do desempenho individual; e identificação de oportunidades de melhoria e o controle de oportunidades para a prática de improvisação. Um teste é um tipo único e particular de exercício, que incorpora uma expectativa de aprovação ou reprovação em relação aos objetivos planejados do exercício.
• Gestão de Continuidade de Negócios – GCN ou Business Continuity Management – BCM: processo de gestão holística que identifica potenciais ameaças a uma organização e fornece diretrizes para uma estrutura na construção da resiliência organizacional com a capacidade de uma resposta eficaz que proteja os interesses de seus principais stakeholders, atividades de reputação, marca ou continuidade em caso de desastre (ISO 22301:2012). A gestão do programa global é realizada por meio de treinamentos, ensaios e revisões, que tem por como objetivo garantir que o plano permaneça atualizado.
• Incidente: é qualquer comportamento que não faz parte da operação padrão de um serviço, gerando interrupção não planejada ou a redução de sua qualidade.
• Interrupção de negócios: qualquer evento que interrompa o curso normal das operações de negócio de uma organização. Termos semelhantes: paralisação e interrupção do serviço.
• Mapa de Processos Críticos: documento de controle da GCN que relaciona com os Processos Críticos aprovados formalmente para o SGCN, bem como os Processos Não Críticos para o SGCN, os quais são considerados nos estudos de BIA da organização. O mapa é de responsabilidade da GCN e deve seguir os processos de avaliações periódicas obrigatórias, bem como eventuais manutenções, esclarecimentos, difusão, dentre outros, para os demais documentos da GCN nos processos de SGCN.
• Plano de Continuidade de Negócios – PCN ou Business Continuity Plan – BCP: Procedimentos documentados que orientam as organizações a responder, recuperar, retomar e restaurar a um nível de operação pré-definido após a interrupção dos serviços ou produtos, bem como no suporte aos clientes durante um desastre ou outra grande paralisação. Normalmente, abrange recursos, serviços e atividades necessárias para garantir a continuidade dos processos críticos.
• Plano de Recuperação de Desastre – PRD ou Disaster Recovery Plan – DRP: documento, componente do Programa de Gestão de Continuidade de Negócios, que é devidamente aprovado pelos órgãos de governança competentes, no qual se define os recursos, ações, tarefas e dados necessários para gerenciar o esforço de recuperação da tecnologia.
• Ponto Focal: responsável por manter o PCN de sua área atualizado, simulando, testando e documentando, de acordo com a Política Corporativa de Gestão de Continuidade de Negócios da Companhia, sempre que necessário.
• Processo de Negócios: atividades fundamentais de uma unidade de negócios, geralmente constituídas por um grupo de funções empresariais projetadas para atingir objetivos específicos.
• Recovery Point Objective (RPO): ponto em que a informação utilizada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada.
• Recovery Time Objective (RTO): período de tempo, previamente acordado pela Companhia, em que, após um incidente, o produto, o serviço, os recursos e/ou atividades devem ser retomados.
• Simulado: exercício que abrange alguns aspectos da realidade, mas com variáveis controladas, contemplando todos os Colaboradores envolvidos, para avaliar o desempenho da continuidade do negócio.
• Sistema de Gestão de Continuidade de Negócios – SGCN ou Business Continuity Management System – BCMS: parte do sistema de gestão global que estabelece, implementa, opera, monitora, revisa e melhora a continuidade dos negócios (ISO 22301:2012). O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, procedimentos, processos e recursos.
• Sociedades Coligadas: são as sociedades em que a Companhia detenha 10% (dez por cento) ou mais do seu capital, sem, contudo, controlá-las, nos termos do artigo 243, §1º da Lei 6.404/76 (Lei das Sociedades por Ações).
• Sociedades Controladas: são as sociedades nas quais a Companhia, direta ou indiretamente, é titular de direitos de sócia ou acionista que lhe assegurem, de modo permanente, preponderância nas deliberações sociais e o poder de eleger a maioria dos administradores, nos termos do artigo 243, §2º da Lei 6.404/76 (Lei das Sociedades por Ações).
• Stakeholders (públicos de interesse): são todos os públicos relevantes com interesses pertinentes à Companhia, ou ainda, indivíduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da Companhia. Entre outros, destacam-se: acionistas, investidores, Colaboradores, sociedade, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários dos meios eletrônicos de pagamento e organizações não governamentais.
• Suplente Ponto Focal: dar apoio e suporte ao Ponto Focal na realização de suas atividades e substitui-lo em sua ausência.
• TAC: Tempo de ativação da Contingência – Tempo máximo esperado para ativação do Estado de Contingência e do uso dos Planos de Continuidade de Negócios.
• Tempo Máximo Tolerável de Indisponibilidade (MTPD – Maximum Tolerable Period of Disruption): tempo máximo para que os impactos se tornem inaceitáveis ou irrecuperáveis, a partir de uma indisponibilidade dos serviços/produtos.
• Teste de PCN: procedimento para avaliação, maneira de determinar a presença, qualidade, ou veracidade de algo. Teste pode se referir a um “experimento”. Teste é frequentemente aplicado para suportar planos.

VIII. Disposições Gerais

É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.

Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.