Política de Segurança da Informação e Cibernética

Histórico de Revisões

Versão: Data de Revisão: Histórico:
1 03/06/2014 Elaboração do Documento.
2 13/11/2014 Por não haver alterações, o documento foi revalidado por mais 2 anos pelo diretor de Controles Internos, Sr. Eduardo Magalhães, portanto, não será gerada uma nova versão.
26/06/2015 Inclusão dos itens Abrangência (II), Documentação Complementar (III) e Disposições Gerais (VIII);
Atualização dos itens Conceitos e Siglas (IV), Responsabilidades (V) e Gestão de Consequências (VII).
3 07/07/2017 Atualização dos itens II. Abrangência, III. Documentação Complementar, IV. Conceitos e Siglas e subitens 1.2 e 1.4 das VI. Diretrizes
4 29/10/2019 Atualização no título da Política para “Segurança da Informação e Cibernética”.
Alteração dos itens I. Objetivo, II. Abrangência, III. Diretrizes subitens 1.1, 1.2, 1.3 e 1.4, V. Responsabilidades, VI. Documentação Complementar, VII. Conceitos e Siglas e VIII. Disposições Gerais.
Inclusão no item III. Diretrizes, subitens 1, 1.1.1, 1.1.2, 1.1.3, 2, 2.1, 2.2, 2.3, 2.4, 2.5, 2.6,2.7, 2.8, 2.9, 2.10, 2.10.1,2.10.2, 2.10.3 e 2.11.

 

I. Objetivo

Estabelecer diretrizes que permitam à Cielo S.A. (“Cielo” ou “Companhia”) salvaguardar seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação e Cibernética, bem como a implementação de controles e procedimentos para reduzir a vulnerabilidade da Companhia a incidentes.

II. Abrangência

Todos os administradores (diretores, membros do Conselho de Administração e membros dos Comitês de Assessoramento), membros do Conselho Fiscal e colaboradores das empresas Cielo S.A., Servinet Serviços Ltda., Braspag Tecnologia em Pagamentos Ltda., Aliança Pagamentos e Participações Ltda. e Stelo S.A., devorante denominadas (“Cielo” ou “Companhia”).

Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

III. Diretrizes

1. Sobre a segurança da informação, a Ciela

Para garantir a segurança da informação, exercem suas atividades baseadas nos seguintes pilares:

1.1.1. Confidencialidade: Garantia de que a informação somente estará acessível para pessoas autorizadas;

1.1.2. Integridade: Garantia de que a informação, armazenada ou em trânsito, não sofrerá qualquer modificação não autorizada, seja esta intencional ou não;

1.1.3. Disponibilidade: Garantia de que a informação estará disponível sempre que for necessário.

1.2. Considera ativos de informações todas as informações geradas ou desenvolvidas para o negócio, e podem estar presentes em diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.

1.3. Determina que independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.

1.4. Estabelece que todo o ativo de informação de propriedade da Cielo tenha um responsável, seja devidamente classificado e adequadamente protegido de
quaisquer riscos e ameaças que possam comprometer o negócio.

2. Segurança Cibernética:

2.1. A Cielo possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

2.2. Adota procedimentos e controles para reduzir a vulnerabilidade da Companhia a incidentes e atender aos objetivos de segurança cibernética, dentre eles: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

2.3. Aplica os procedimentos e controles citados anteriormente, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Companhia.

2.4. Possui controles específicos, incluindo os voltados para a rastreabilidade da informação, que buscam garantir a segurança das informações sensíveis.

2.5. Realiza o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Companhia, que abrangem inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

2.6. Elabora cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados.

2.7. Estabelece procedimentos e controles em níveis de complexidade, abrangência e precisão voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da Companhia.

2.8. Classifica os dados e as informações quanto à relevância.

2.9. Define os parâmetros a serem utilizados na avaliação de relevância dos incidentes

2.10. Adota mecanismos para disseminação da cultura de segurança cibernética na Companhia, incluindo:

2.10.1. A implementação de programas de capacitação e de avaliação periódica de pessoal;

2.10.2. A prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e

2.10.3. O comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.

2.11. Adotará iniciativas para compartilhamento de informações sobre os incidentes relevantes para as atividades da Companhia com instituições de pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

IV. Gestão de Consequências

Colaboradores, fornecedores ou outros stakeholders que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética
(https://canaldeetica.com.br/cielo ou 0800 775 0808), podendo ou não se identificar.

Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento.

V. Responsabilidades

  • Administradores e Colaboradores: Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar a Vice-Presidência de Tecnologia e Projetos para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas. É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias e participe dos programas de conscientização.
  • Vice-Presidência de Tecnologia e Projetos: Cumprir as diretrizes estabelecidas nesta Política, mantê-la atualizada anualmente de forma a garantir que quaisquer alterações no direcionamento da Cielo sejam incorporadas a mesma e esclarecer dúvidas relativas ao seu conteúdo e a sua aplicação.

VI. Documentação Complementar

  • Código de Conduta Ética da Cielo
  • PCI-Data Security Standard
  • ABNT NBR ISO 27001 – Segurança da Informação
  • Circular BACEN nº 3.909/18
  • Normas e procedimentos internos aperfeiçoados constantemente, aprovados pelas alçadas competentes e disponibilizados a todos os colaboradores.

VII. Conceitos e Siglas

  • Segurança da Informação: Conjunto de conceitos, técnicas e estratégias, as quais visam proteger os ativos de informação da Cielo.
  • Segurança Cibernética: Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado.
  • Stakeholders: Públicos relevantes com interesses pertinentes à Companhia, bem como indivíduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da sociedade. Entre outros, destacam-se: acionistas, investidores, colaboradores, sociedade, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários dos meios eletrônicos de pagamento e organizações não governamentais.
  • Sociedades Coligadas: são as sociedades em que a Companhia detenha 10% (dez por cento) ou mais do seu capital, sem, contudo, controlá-las, nos termos do artigo 243, §1º da Lei das Sociedades por Ações.
  • Sociedades Controladas: são as sociedades nas quais a Companhia, direta ou indiretamente, é titular de direitos de sócia ou acionista que lhe assegurem, de modo permanente, preponderância nas deliberações sociais e o poder de eleger a maioria dos administradores, nos termos do artigo 243, §2º da Lei das Sociedades por Açõeses.

VIII. Disposições Gerais

É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.