Política de Segurança da Informação e Cibernética

Histórico de Revisões

Versão: Data de Revisão: Histórico:
1 03/06/2014 Elaboração do Documento.
2 13/11/2014 Por não haver alterações, o documento foi revalidado por mais 2 anos pelo diretor de Controles Internos, Sr. Eduardo Magalhães, portanto, não será gerada uma nova versão.
26/06/2015 Inclusão dos itens Abrangência (II), Documentação Complementar (III) e Disposições Gerais (VIII);
Atualização dos itens Conceitos e Siglas (IV), Responsabilidades (V) e Gestão de Consequências (VII).
3 07/07/2017 Atualização dos itens II. Abrangência, III. Documentação Complementar, IV. Conceitos e Siglas e subitens 1.2 e 1.4 das VI. Diretrizes
4 29/10/2019 Atualização no título da Política para “Segurança da Informação e Cibernética”.
Alteração dos itens I. Objetivo, II. Abrangência, III. Diretrizes subitens 1.1, 1.2, 1.3 e 1.4, V. Responsabilidades, VI. Documentação Complementar, VII. Conceitos e Siglas e VIII. Disposições Gerais.
Inclusão no item III. Diretrizes, subitens 1, 1.1.1, 1.1.2, 1.1.3, 2, 2.1, 2.2, 2.3, 2.4, 2.5, 2.6,2.7, 2.8, 2.9, 2.10, 2.10.1,2.10.2, 2.10.3 e 2.11.
5 14/05/2020 Alteração dos itens II. Abrangência; III. Princípios, Regras e Procedimentos – subitens 1.1.4,1.4, 2., 2.1, 2.2; V. Responsabilidades; VI Documentação complementar; e VII. Conceitos e Siglas.
Inclusão dos subitens 2.1.1, 2.1.2, 2.1.3, 2.1.4, 2.1.5, 2.2.1, 2.2.2., 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.2.12, 2.2.13, 2.2.14, 2.2.15, 2.2.16 no item III. Princípios, Regras e Procedimentos.
Exclusão dos subitens 2.3, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9, 2.10, 2.10.1, 2.10.2, 2.10.3, 2.11. no item III. Princípios, Regras e Procedimentos.

 

I. Objetivo

Estabelecer diretrizes que permitam à Cielo S.A. (“Cielo” ou “Companhia”) salvaguardar seus ativos de informação, nortear a definição de normas e procedimentos específicos de Segurança da Informação e Cibernética, bem como a implementação de controles e procedimentos para reduzir a vulnerabilidade da Companhia a incidentes.

II. Abrangência

Todos os administradores (diretores, membros do Conselho de Administração e membros dos Comitês de Assessoramento), membros do Conselho Fiscal, colaboradores e prestadores de serviço das empresas Cielo S.A., Servinet Serviços Ltda., Braspag Tecnologia em Pagamentos Ltda., Aliança Pagamentos e Participações Ltda. e Stelo S.A., doravante denominadas (“Cielo” ou “Companhia”).
Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.
Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

III. Princípios, Regras e Procedimentos

1. Sobre a segurança da informação, a Cielo

1.1. Para garantir a segurança da informação, exercem suas atividades baseadas nos seguintes pilares:

1.1.1. Confidencialidade: Garantia de que a informação somente estará acessível para pessoas autorizadas;

1.1.2. Integridade: Garantia de que a informação, armazenada ou em trânsito, não sofrerá qualquer modificação não autorizada, seja esta intencional ou não;

1.1.3. Disponibilidade: Garantia de que a informação estará disponível sempre que for necessário.

1.2. Considera ativos de informações todas as informações geradas ou desenvolvidas para o negócio, e podem estar presentes em diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.

1.3. Determina que independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.

1.4. Estabelece que todo o ativo de informação de propriedade da Cielo tenha um responsável, seja devidamente classificado de acordo com os critérios estabelecidos em norma específica e adequadamente protegido de quaisquer riscos e ameaças que possam comprometer o negócio.

2. Diretrizes Gerais de Segurança Cibernética:

2.1. Com relação à segurança cibernética, a Cielo dispõe das seguintes diretrizes gerais:

2.1.1. Resguardar a proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;

2.1.2. Realizar a adequada classificação das informações e garantir a continuidade do processamento das mesmas, conforme os critérios e princípios indicados nos normativos internos vigentes sobre o tema;

2.1.3. Garantir que os sistemas e dados sob sua responsabilidade estejam devidamente protegidos e sejam utilizados apenas para o cumprimento de suas atribuições;

2.1.4. Zelar pela integridade da infraestrutura tecnológica na qual são armazenados, processados ou de qualquer outra forma tratados os Dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a Dados internos e confidenciais, por meio, dentre outros aspectos: (i) da manutenção de softwares antivírus e firewall instalados e atualizados; (ii) da manutenção dos programas de computador instalados no ambiente; e

2.1.5. Atender às leis e normas que regulamentam as atividades da Cielo.

2.2. Em vistas ao cumprimento das diretrizes acima elencadas, a Cielo:

2.2.1. Possui como objetivo de segurança cibernética: prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

2.2.2. Com relação às medidas de segurança, adota procedimentos e controles para reduzir a vulnerabilidade da Companhia a incidentes e atender aos objetivos de segurança cibernética, dentre eles: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações, conforme normativos internos vigentes.

2.2.3. Controla, monitora, restringe o acesso aos ativos de informação a menor permissão e privilégios possíveis, conforme descrito em normas internas específicas.

2.2.4. Aplica os procedimentos e controles citados anteriormente, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Companhia.

2.2.5. Possui controles específicos, incluindo os voltados para a rastreabilidade da informação, que buscam garantir a segurança das informações sensíveis.

2.2.6. Realiza o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Companhia, que abrangem inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

2.2.7. Elabora inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança considerados nos testes de continuidade de serviços de pagamento prestados e os testa anualmente para garantir a eficácia dos processos, além de produzir anualmente um relatório de resposta a incidentes no ambiente tecnológico Cielo.

2.2.8. Classifica os incidentes de segurança conforme sua relevância e de acordo com (i) a classificação das informações envolvidas; e (ii) o impacto na continuidade dos negócios da Cielo, descritos em normas internas específicas.

2.2.9. Realiza a avaliação periódica de empresas prestadoras de serviço que realizam o tratamento de informações relevantes à Cielo com objetivo de acompanhar o nível de maturidade de seus controles de segurança para a prevenção e o devido tratamento dos incidentes.

2.2.10. Possui critérios para classificação da relevância dos serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, conforme procedimento interno.

2.2.11. Previamente à contratação de serviços relevantes de processamentos e armazenamento de dados e de computação em nuvem serão adotados os procedimentos previstos no artigo 12 da Circular 3.909/18.

2.2.12. Adota processo de gestão de continuidade de negócios relativo a segurança da informação e cibernética conforme descrito em normativo interno específico.

2.2.13. Estabelece regras e padrões para assegurar que a informação receba o nível adequado de proteção quanto à sua relevância conforme normativo interno. Toda informação possui um proprietário, é obrigatoriamente classificada e recebe os devidos controles que garantam a confidencialidade da mesma, condizendo com as boas práticas de mercado e regulamentações vigentes.

2.2.14. Realiza ações para prevenir, identificar, registrar e responder incidentes e crises de segurança que envolvam o ambiente tecnológico da Cielo e que possam ocasionar o comprometimento dos pilares de segurança da informação ou gerar impacto de imagem, financeiros ou operacionais. A definição de relevância dos incidentes no ambiente tecnológico segue padrão corporativo de riscos estabelecido em norma específica.

2.2.15. Adota mecanismos para disseminação da cultura de segurança da informação e cibernética na Companhia, incluindo:

2.2.15.1. A implementação de programa de treinamento anual para colaboradores;
2.2.15.2. A prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e
2.2.15.3. O comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança da informação e cibernética.

2.2.16. Adota iniciativas para compartilhamento de informações sobre os incidentes relevantes através de filiação em fóruns de discussão.

IV. Gestão de Consequências

Colaboradores, fornecedores ou outros stakeholders que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética
(https://canaldeetica.com.br/cielo ou 0800 775 0808), podendo ou não se identificar.

Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento.

V. Responsabilidades

  • Administradores e Colaboradores: Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar a Vice-Presidência de Tecnologia e Projetos para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas. É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias e participe dos programas de conscientização.
  • Vice-Presidência de Tecnologia e Projetos: Cumprir as diretrizes estabelecidas nesta Política, mantê-la atualizada anualmente de forma a garantir que quaisquer alterações no direcionamento da Cielo sejam incorporadas a mesma e esclarecer dúvidas relativas ao seu conteúdo e a sua aplicação.

VI. Documentação Complementar

  • Código de Conduta Ética da Cielo
  • Plano de Ação e de Resposta a Incidentes
  • PCI-Data Security Standard
  • ABNT NBR ISO 27001 – Segurança da Informação
  • Circular BACEN nº 3.909/18
  • Normas e procedimentos internos aperfeiçoados constantemente, aprovados pelas alçadas competentes e disponibilizados a todos os colaboradores.

VII. Conceitos e Siglas

  • Segurança da Informação: Conjunto de conceitos, técnicas e estratégias, as quais visam proteger os ativos de informação da Cielo.
  • Segurança Cibernética: Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado.
  • Stakeholders: Públicos relevantes com interesses pertinentes à Companhia, bem como indivíduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da sociedade. Entre outros, destacam-se: acionistas, investidores, colaboradores, sociedade, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários dos meios eletrônicos de pagamento e organizações não governamentais.
  • Sociedades Coligadas: são as sociedades em que a Companhia detenha 10% (dez por cento) ou mais do seu capital, sem, contudo, controlá-las, nos termos do artigo 243, §1º da Lei das Sociedades por Ações.
  • Sociedades Controladas: são as sociedades nas quais a Companhia, direta ou indiretamente, é titular de direitos de sócia ou acionista que lhe assegurem, de modo permanente, preponderância nas deliberações sociais e o poder de eleger a maioria dos administradores, nos termos do artigo 243, §2º da Lei das Sociedades por Ações.
  • Clientes: estabelecimentos comerciais credenciados ao Sistema Cielo.
  • Dado(s) e/ou Informação(ões): são todos os dados referentes às atividades desenvolvidas pela Cielo na execução de seu objeto social, incluindo dados de Clientes, pessoais ou não, e classificados de acordo com a norma interna específica sobre o tema.
  • Incidentes: Qualquer ocorrência que realmente ou potencialmente comprometa a confidencialidade, integridade ou disponibilidade de um sistema de informação ou a informação que o sistema processa, armazena ou transmite ou que constitui uma violação ou ameaça iminente de violação de políticas de segurança, procedimentos de segurança ou políticas de uso aceitáveis.
  • Prestador de Serviço: pessoa física ou jurídica, devidamente contratada pela Cielo, prestadora de serviços: (i) de tecnologia; (ii) de armazenamento ou qualquer forma de tratamento de Dados e Informações; ou (iii) que venha a ter acesso, por conta do escopo de sua contratação, a Dados confidenciais, como classificados nesta Política.
  • Riscos Cibernéticos: são os riscos de ataques cibernéticos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede (DDoS e Botnets), fraudes externas, entre outros, que possam expor Dados, redes e sistemas da Cielo, causando danos financeiros e/ou de reputação consideráveis, podendo, em algumas circunstâncias, prejudicar a continuidade das atividades da Cielo.

VIII. Disposições Gerais

É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.

Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.