Política de Confidencialidade e Segurança da Informação
Política de Confidencialidade e Segurança da Informação
Objetivo
Estabelecer princípios e diretrizes de proteção das informações no âmbito da SR Consultoria de Valores Mobiliários (doravante “Empresa”).
A quem se aplica?
Sócios, diretores, funcionários prestadores de serviço, terceirizados, consultores e demais pessoas físicas ou jurídicas contratadas ou outras entidades, que participem, de forma direta, das atividades diárias e negócios, representando a Empresa (doravante, “Colaboradores”).
Responsabilidades
Os Colaboradores devem atender às diretrizes e procedimentos estabelecidos nesta Política, informando qualquer irregularidade ao responsável por Compliance, a quem caberá avaliá-las e submetê-las ao Comitê de Compliance e Controles Internos ou ao Conselho de Sócios, que tomará as medidas cabíveis.
O responsável pelo Compliance deve garantir o atendimento a esta Política.
Revisão e Atualização
Esta Política deverá ser revisada e atualizada a cada 2 (dois) anos, ou em prazo inferior, em função de mudanças legais/regulatórias.
Definições
São consideradas informações confidenciais aquelas não disponíveis ao público, que:
✓ Identifiquem dados cadastrais, pessoais ou patrimoniais;
✓ Dados financeiros gerais ou detalhados, patrimoniais, ou relativo a passivos de clientes, destacando seus ativos detidos e recomendações de investimento e planejamento financeiro às quais tenha acesso;
✓ Sejam objeto de acordo de confidencialidade celebrado com terceiros;
✓ Identifiquem ações estratégicas cuja divulgação possa prejudicar a gestão dos negócios ou reduzir sua vantagem competitiva;
✓ O Colaborador utiliza para autenticação de sua identidade (senhas de acesso ou crachás) de uso pessoal e intransferível;
✓ Quaisquer outras informações privadas de clientes e da empresa.
Não caracteriza descumprimento desta Política a divulgação de informações confidenciais em atendimento a ordens do Poder Judiciário ou autoridade administrativa ou legislativa, seja em âmbito municipal, estadual ou federal, bem como, quando a divulgação se justificar, por força da natureza do contexto da revelação da informação, a advogados, auditores e contrapartes.
Disposições Gerais
Os seguintes princípios norteiam a segurança da informação na Empresa:
Confidencialidade: o acesso à informação deve ser obtido somente por pessoas autorizadas, e quando ele for de fato necessário;
Disponibilidade: as pessoas autorizadas devem ter acesso à informação sempre que necessário;
Integridade: a informação deve ser mantida em seu estado original, visando a protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
As seguintes diretrizes devem ser seguidas por todos os Colaboradores da Empresa:
✓ As informações confidenciais devem ser tratadas de forma ética e sigilosa, e de acordo com as leis e normas internas vigentes, evitando-se mau uso e exposição indevida;
✓ A informação deve ser utilizada de forma transparente, e apenas para a finalidade para a qual foi coletada;
✓ A concessão de acessos às informações confidenciais deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;
✓ A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
✓ Segregação de instalações, equipamentos e informações comuns, quando aplicável;
✓ A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento.
Qualquer risco ou ocorrência de falha na confidencialidade e na segurança da informação devem ser reportados ao responsável pelo Compliance.
Processos e Controles
Para assegurar que as informações sejam adequadamente protegidas, a Empresa definiu os seguintes processos/controles:
Identificação da Informação
O Colaborador que recebe ou prepara uma informação deve identificar a natureza desta, conforme o item a seguir.
Classificação da Informação
Algumas informações podem ser classificadas como Confidenciais.
Para a classificação, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
Controles para Informações Classificadas como “Confidencial”
O acesso às informações confidenciais deve ser controlado e restrito aos profissionais com responsabilidade atinente a tais tópicos, com devido controle tecnológico e físico de acesso restrito.
Sempre que necessário, contratos de confidencialidade da informação devem ser assinados com terceiros.
Salvaguarda da Informação
A informação deve receber proteção adequada em todo o seu ciclo de vida, que
compreende: geração, manuseio, armazenamento e descarte.
O Colaborador responsável pela informação gerada deve ter conhecimento do tempo regulatório de salvaguarda e gerenciar o seu armazenamento e descarte.
Mesa Limpa
Nenhuma informação confidencial deve ser deixada à vista. Ao usar uma impressora coletiva, o documento impresso deve ser imediatamente recolhido.
Gestão de Acessos
Os equipamentos, ferramentas e sistemas concedidos aos colaboradores devem ser configurados com os controles necessários para cumprir os requerimentos de segurança aplicáveis à Empresa.
Apenas os Colaboradores devidamente autorizados terão acesso às dependências e sistemas a que estiverem liberados, bem como aos arquivos, diretórios e/ou pastas na rede da Empresa, mediante segregação física e lógica.
Quaisquer exceções deverão ser previamente solicitadas ao Compliance, que poderá ou não conceder a exceção.
Gestão de Riscos, Tratamento de Incidentes de Segurança da Informação, Continuidade de Negócio e Backups
Os riscos e incidentes de Segurança da Informação devem ser reportados ao responsável pelo Compliance, que adotará as medidas cabíveis.
Propriedade Intelectual
Tecnologias, marcas, metodologias e quaisquer informações que pertençam à Empresa não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas ou desenvolvidas pelo próprio Colaborador em seu ambiente de trabalho.
Rastreamento
É permitido o uso pessoal dos equipamentos de informática e de comunicação utilizados pelos Colaboradores para a realização das atividades profissionais. Lembrando que, como tais recursos (e-mails, sistemas, computadores, telefones etc.) pertencem à Empresa, estes são rastreáveis e sujeitos a monitoramento, bem como podem se tornar públicos em caso de auditoria e/ou exigência judicial.
Xxxxx xx Xxxxxxxxxxxx
Os Colaboradores devem aderir formalmente a um termo, comprometendo-se a agir de acordo com a Política de Segurança da Informação.
Os Colaboradores que tenham acesso a informações confidenciais ou participem de processo de decisão de investimento devem solicitar ao Compliance eventuais dúvidas e esclarecimentos sobre o tema de Segurança de Informação.