Política de Segurança da Informação

Histórico de Revisões

Versão: Data de Revisão: Histórico:
1 03/06/2013 Elaboração do Documento.
2 08/06/2015 Inclusão dos itens Abrangência (II), Documentação Complementar (III) e Disposições Gerais (VIII); Atualização dos itens Conceitos e Siglas (IV), Responsabilidades (V) e Gestão de Consequências (VII)
3 07/07/2017 Atualização do conceito de Segurança da Informação (item IV. Conceitos e Siglas) e do termo “em diretórios de rede” por “digitais” no item 1.2 das VI. Diretrizes.

 

I. Objetivo
Estabelecer diretrizes que permitam à Companhia salvaguardar seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação, bem como a implementação de controles e processos para seu atendimento.

II. Abrangência
Todos os administradores (diretores, estatutários ou não, membros do Conselho de Administração, membros do Conselho Fiscal, membros dos Comitês de Assessoramento e demais gestores) e colaboradores das empresas Cielo S.A. e Servinet Serviços Ltda.

III. Documentação Complementar

  • Código de Conduta Ética da Cielo
  • PCI-Data Security Standard
  • ABNT NBR ISO 27001 – Segurança da Informação
  • Circular 3681/13 emitida pelo Banco Central do Brasil
  • Normas internas atualizadas pelas áreas envolvidas.

IV. Conceitos e Siglas

  • SEGURANÇA DA INFORMAÇÃO: Conjunto de conceitos, técnicas e estratégias, as quais visam proteger os ativos de informação da Cielo. Para garantir esse objetivo, a segurança da informação trabalha baseada nos seguintes pilares:
    – Confidencialidade: Garantia de que a informação somente estará acessível para pessoas autorizadas;
    – Integridade: Garantia de que a informação, armazenada ou em trânsito, não sofrerá qualquer modificação não autorizada, seja esta intencional ou não;
    – Disponibilidade: Garantia de que a informação estará disponível sempre que for necessário.
  • Stakeholders: Públicos relevantes com interesses pertinentes à Companhia, bem como indivíduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da sociedade. Entre outros, destacam-se: acionistas, investidores, colaboradores, sociedade, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários dos meios eletrônicos de pagamento e organizações não governamentais.

V. Responsabilidades

  • Administradores e Colaboradores: Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar a Diretoria de Prevenção e Segurança para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas. É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias e participe dos programas de conscientização.
  • Diretoria de Prevenção e Segurança: Cumprir as diretrizes estabelecidas nesta Política, mantê-la atualizada de forma a garantir que quaisquer alterações no direcionamento da Cielo sejam incorporadas à mesma e esclarecer dúvidas relativas ao seu conteúdo e a sua aplicação.

VI. Diretrizes

1.1. Todas as informações geradas ou desenvolvidas para o negócio são consideradas ativos de informação da Cielo.
1.2. Os ativos de informação podem estar presentes em diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.
1.3. Independentemente da forma apresentada, compartilhada ou armazenada, a informação deve ser utilizada apenas para a sua finalidade devidamente autorizada, sendo sujeita a monitoração e auditoria.
1.4. Deve ser assegurado que todo o ativo de informação de propriedade da Cielo tenha um responsável, seja devidamente classificado e adequadamente protegido de quaisquer riscos e ameaças que possam comprometer o negócio.

VII. Gestão de Consequências
Colaboradores, fornecedores ou outros stakeholders que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética (https://canaldeetica.com.br/cielo ou 0800 775 0808), podendo ou não se identificar.
Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem conforme a respectiva gravidade do descumprimento.

VIII. Disposições Gerais
É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer normas e procedimentos em contrário.