POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA



  1. OBJETIVO


Esta Política de Segurança Cibernética (“Política”) tem como objetivo estabelecer as diretrizes para proteger ativos de informação da Pignus Serviços Financeiros Digitais LTDA (“Pignus”), bem como nortear normas, procedimentos e controles específicos de segurança da informação para prevenir e minimizar a vulnerabilidade a incidentes cibernéticos.


  1. PÚBLICO-ALVO


Essa Política deve ser observada por todos os colaboradores, sócios, administradores, prestadores de serviço, clientes e parceiros comerciais e demais pessoas físicas ou jurídicas que mantenham relacionamento com a Pignus.


  1. TERMOS E DEFINIÇÕES 


Sem prejuízo de outras definições no corpo do texto desta Política, adotam-se os seguintes significados para os termos e expressões abaixo listados: 


Ativos: elementos que geram algum tipo de valor para a Pignus, compreendendo equipamentos, sistemas e usuários.


Ativos de Informação: ativos gerados ou desenvolvidos para o negócio, dados de clientes e colaboradores, informações de transações de pagamentos ou qualquer outro elemento que possa desenvolver, receber, transmitir, manusear, armazenar, trafegar e descartar informações.


Clientes: pessoas naturais e jurídicas que utilizam os produtos e serviços da Pignus. 


Colaboradores: funcionários, prestadores de serviço sem vínculo empregatício, jovens aprendizes, estagiários e trainees da Pignus. 


Incidentes de Segurança da Informação: qualquer evento ou série de eventos que comprometa ou tenha potencial de comprometer a confidencialidade, integridade ou disponibilidade de um sistema de informação ou a informação que o sistema processa, armazena ou transmite ou que constitui uma violação ou ameaça iminente de violação da Segurança da Informação da Pignus.


Segurança da Informação: conjunto de conceitos, técnicas e estratégias para proteger os Ativos de Informação da Pignus.


Segurança Cibernética: tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acessos não autorizados.


  1. PRINCÍPIOS 


Para desenvolver procedimentos e produtos e serviços que sejam compatíveis com a Segurança da Informação, bem como com a prevenção, detecção e redução de vulnerabilidade a incidentes 

relacionados com o ambiente cibernético, a Pignus se guia pelos seguintes princípios: 


  1. confidencialidade: garantir que a informação será acessada apenas por pessoas e empresas autorizadas e somente quando for necessário; 


  1. integridade: garantir que as informações serão precisas, completas e protegidas de alterações indevidas intencionais ou acidentais; e


  1. disponibilidade: garantir que as pessoas autorizadas tenham acesso à informação sempre que for preciso.


  1. DIRETRIZES 


Para alcançar os objetivos de Segurança da Informação e Cibernética, a Pignus estabelece como diretrizes:


  1. dar tratamento ético e sigiloso aos Ativos de Informação, observando sempre as determinações legais e atuando para evitar o acesso indevido, a modificação, a destruição e divulgação não autorizada de informações;


  1. garantir que os sistemas e os Ativos de Informação sob sua responsabilidade estejam devidamente protegidos e sejam utilizados apenas para o cumprimento das finalidades para as quais foram coletados;


  1. zelar pela integridade da sua infraestrutura tecnológica e adotar medidas para prevenir ameaças ou falhas que possam gerar o acesso, a manipulação, a divulgação ou o uso não autorizado de Ativos de Informação; 


  1. identificar de forma única, pessoal e intransferível os Colaboradores, tornando-os responsáveis pelas ações realizadas com os Ativos de Informação; e


  1. divulgar entre os Colaboradores suas responsabilidades em relação a esta Política e os instruir sobre o dever de reportar riscos aos Ativos de Informação à Diretoria da Pignus;


  1. PROCESSOS DE SEGURANÇA CIBERNÉTICA 


Para alcançar os objetivos de Segurança da Informação e Cibernética, a Pignus conta com os seguintes procedimentos, controles, mecanismos e ações: 


  1. adota procedimentos e controles para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, entre eles a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações;


  1. submete todos os produtos e serviços oferecidos a análise de risco para identificar vulnerabilidades, ameaças e impactos sobre os Ativos da Informação da Pignus com a finalidade de estabelecer proteções adequadas aos riscos identificados;


  1. antes de implementar em seu negócio sistemas de informação e novas tecnologias, realiza avalição para identificar vulnerabilidades, ameaças e impactos sobre os Ativos da Informação da Pignus e estabelecer proteções adequadas aos riscos identificados;


  1. restringe o acesso aos Ativos de Informação ao estritamente necessário para a realização das funções atribuídas a Colaboradores ou outras pessoas autorizadas;


  1. estabelece controles de acesso que permitem rastrear e identificar individualmente o Colaborador ou outra pessoa autorizada que tenha acesso aos Ativos de Informação da Pignus para que seja possível a responsabilização por suas ações;


  1. adota ações para prevenir, identificar, registrar e responder Incidentes de Segurança da Informação envolvendo a Pignus e que possam gerar impactos negativos, direto ou indiretos, para a Pignus;


  1. registra, classifica, analisa, monitora e trata de acordo com o nível de criticidade, relevância e impacto para a continuidade dos negócios os Incidentes de Segurança da Informação e Cibernética que sejam relevantes para desenvolvimento das atividades da Pignus, sejam eles detectados por Colaboradores ou prestadores de serviço; 


  1. realiza avaliação de prestadores de serviço que terão acesso a Ativos de Informação ou para verificar e avaliar se os procedimentos e controles por eles adotados para prevenir e lidar com Incidentes de Segurança da Informação são compatíveis com os desejados pela Pignus;


  1. após contratação, avalia periodicamente prestadores de serviços que têm acesso a Ativos de Informação com o propósito de avaliar os controles de segurança implementados para prevenir ou atuar diante de Incidentes de Segurança da Informação;


  1. classifica os Ativos de Informação de acordo com sua sensibilidade e estabelece as proteções necessárias contra acessos indevidos;


  1. realiza treinamentos anuais para capacitação e avaliação de Colaboradores com o intuito de fortalecer e fomentar a cultura de Segurança da Informação e Cibernética; e 


  1. disponibilizar informações a Clientes sobre precauções a serem adotadas na utilização de produtos e serviços por meio de canais oficiais de comunicação da Pignus.


  1. DISPOSIÇÕES GERAIS


Esta Política foi aprovada pela Diretoria da Pignus e entra em vigor nesta data, revogando qualquer documento anterior contrário às suas disposições. 

 

Essa Política será revista e atualizada anualmente ou quando ocorrerem eventos considerados relevantes pela Pignus. 

 

 

Rio de Janeiro, 01 de junho de 2024.

 

Pignus Serviços Financeiros Digitais Ltda. 



Transparência
Transparência
Contato