Política de Segurança da Informação e
Cibernética
1. OBJETIVO
Esta Política de Segurança da Informação e cibernética tem por objetivo expressar o posicionamento ao público em geral do Banco Topázio sobre os princípios e diretrizes que visam assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informações relacionadas à segurança cibernética.
a) Confidencialidade: garantir que as informações tratadas sejam de acesso exclusivo de pessoas especificamente autorizadas;
b) Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
c) Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a gerencia-las.
O desenvolvimento desta política realizou-se observando o porte, perfil de risco, modelo de negócio, natureza das operações e a complexidade dos produtos e serviços.
2. AMBITO
Aplica-se a todo e qualquer cliente/usuário (a) com acesso às informações do Banco Topázio, independentemente de seu vínculo com a Instituição.
3. VIGÊNCIA
Esta política deve ser revisada anualmente ou, quando necessário, caso ocorram mudanças na estrutura normativa do Banco Topázio ou por força de normativas do BACEN.
4. PREMISSA
4.1. Privacidade das Informações
Nós consideramos os ativos de informação como bens valiosos no mundo financeiro, logo a privacidade das informações de nossos clientes e parceiros tornam-se princípios da instituição. O Banco Topázio estabelece controles para segurança das informações de seus clientes através dos requisitos de confidencialidade, integridade e disponibilidade, buscando utilizar as melhores tecnologias e processos de mercado para manter seus dados protegidos contra ações de terceiros.
4.2. Processo de Autenticação e Acessos
O Banco Topázio estabelece como regra o acesso aos seus sistemas de processamento de informações através de identificação pessoal, inequívoca e intransferível. Logo o compartilhamento das credenciais de clientes para acesso a todo e qualquer sistema de informações não é recomendada. Internamente, concedemos aos nossos colaboradores e a terceiros somente o acesso às informações necessárias ao desempenho de suas funções e atribuições previstas em contrato ou por determinação legal.
4.3. Gestão de Fornecedores e Terceiros
Buscamos manter, além de reforçar, nossos requisitos de segurança da informação e cibernética na contratação de serviços ou de pessoas classificadas como prestadores de serviço, fornecedores e terceiros.
4.4. Gestão de Incidentes
O comportamento de possíveis ataques é identificado por meio de controles de detecção implementados no ambiente, como filtro de conteúdo, ferramenta de detecção de comportamentos maliciosos, Antivírus, Antispam, entre outros.
4.5. Conscientização de Segurança da informação
Desde o momento da contratação de nossos colaboradores, disseminamos a cultura de segurança da informação e cibernética através de programa permanente da instituição para sensibilização, conscientização e capacitação.
4.6. Prevenção a Vazamentos de Informações
Utilizamos controles internos e externos para prevenção de perda de dados, cuja finalidade é garantir que informações confidenciais não sejam roubadas. Possuímos processos para classificar informações como confidenciais, restritas, internas ou públicas, além de ferramentas tecnológicas como antivírus, antispam entre outros.
4.7. Gestão de Vulnerabilidades
Realizamos periodicamente varreduras de nossas redes internas e externas. As vulnerabilidades identificadas são tratadas e priorizadas de acordo com seu nível de criticidade. Possuímos a prática de executar testes de intrusão em nossos sistemas críticos regularmente a fim de manter estes seguros.
4.8. Rastreabilidade
Mantemos trilhas de auditorias automatizadas em nossos sistemas para reconstituir eventos como:
a) Autenticação de usuários (tentativas validas e invalidas);
b) Acessos a dados/informações;
c) Ações executadas por usuários como criação ou remoção de objetos em sistemas.
5. PRINCIPAIS RECOMENDAÇÕES AOS USUÁRIOS
5.1. Uso de senhas e autenticação
É de responsabilidade do cliente o armazenamento e guarda seguro de seus dados de identificação junto aos sistemas do banco (login / senha), que é único e exclusivo de cada cliente. Assim recomendamos que:
a) Mantenha a confidencialidade, memorize e não registre a senha em lugar algum. Evitar compartilhar sua senha com outros usuários;
b) Evitar não anotar em papel ou quadro visível;
c) Deve-se alterar a senha sempre que existir uma suspeita do comprometimento dela;
d) Na criação de senhas sempre optar por usar um bom grau de complexibilidade (usar caracteres especiais, números e letras maiúsculas), de
modo que sejam complexas e de difícil adivinhação;
e) Evitar que outras pessoas usem seu computador/dispositivo móvel enquanto você estiver conectado (login ativo) aos sistemas do banco;
f) Bloquear sempre seu equipamento (computador/dispositivo móvel) ao se ausentar.
5.2. Proteção contra vírus (antivírus)
É altamente recomendado que o cliente possua uma solução de antivírus instalada e atualizada em seu computador utilizado nos acessos aos serviços do Banco Topázio. Sempre mantenha seu sistema operacional atualizado com as últimas atualizações lançadas pelo fabricante.
5.3. Engenharia social
Desconfiar de e-mails ou contatos com promessas de ganhos financeiros ou bens de valor elevado em troca de alguma informação sigilosa do cliente. Este tipo de procedimento se enquadra em táticas de engenharia social, no contexto de segurança da informação que visam abusar da confiança ou ingenuidade do cliente.
5.4. Phishing
É uma técnica utilizada por cibercriminosos para enganar os usuários, através de envio de e-mails maliciosos, afim de obter informações pessoais como senhas, cartão de crédito, CPF, número de contas bancárias, entre outros. Abaixo seguem tipos de abordagens utilizadas em e-mails de phishing:
a) Quando procuram atrair as atenções dos usuários, seja pela possibilidade de obter alguma vantagem financeira, seja por curiosidade ou seja por caridade;
b) Quando tentam se passar pela comunicação oficial de instituições conhecidas como: Bancos, Lojas de comércio eletrônico, entre outros sites populares;
c) Quando tentam induzir os usuários a preencher formulários com os seus dados pessoais e/ou financeiros, ou até mesmo a instalação de softwares maliciosos que possuem o objetivo de coletar informações sensíveis dos usuários;
5.5 Golpes e Fraudes
Orientamos a todos clientes do Banco Topázio a ficarem atualizados quanto aos golpes aplicados envolvendo transferências financeiras. Abaixo listamos alguns golpes conhecidos:
Golpe relacionado a transferência bancária:
Os fraudadores entram em contato por ligação ou mensagens em aplicativos de conversas como o WhatsApp, informando que há algum tipo de irregularidade em sua conta. Durante a ligação, simulam um atendimento onde induzem ou conduzem a realizar transferências.
Falsa Centra Telefônica
No golpe da Central Telefônica, o fraudador faz com que você realize uma ligação para uma central de atendimento falsa e quando você liga, simulam uma central de atendimento muito parecida com a central verdadeira. Como objetivo eles buscam obter os dados da sua conta, sua e demais dados pessoais (números de cartões e códigos de segurança).
Pix Agendado
Fraudadores podem entram em contato por mensagens ou ligação citando a existência de um Pix agendado ou um problema suspeito na sua conta. Em alguns casos, eles disponibilizam um número de uma central 0800 falsa e, a partir disso, trazem orientações para regularizar a suposta situação com links, rotas no aplicativo e até mesmo QR Code para simular testes. Neste golpe o objetivo é induzir você a realizar transferências para ele.
6. COMUNICAÇÃO
Caso o cliente/usuário (a) identifique indícios de irregularidades no cumprimento das determinações desta Política, este (a) deve entrar em contato com nossos canais de atendimento imediatamente.
7. LEGISLAÇÃO E NORMATIVOS APLICÁVEIS
– Resolução BACEN CVM 4.893/2021
– Lei 13.709/2018 – Lei geral de Proteção de Dados
– ISO/IEC 27001/2013 – Sistema de Gestão da Segurança da Informação