POLÍTICA DE SEGURANÇA CIBERNÉTICA CRESUL

POLÍTICA DE SEGURANÇA CIBERNÉTICA CRESUL

Política Revisão: 00

1. OBJETIVO E CAMPO DE APLICAÇÃO

Esta política objetiva atender à resolução 4.658, de 26 de abril de 2018, do Banco Central do Brasil, que estabelece a implementação da Política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados de computação em nuvem e aplica-se para cooperativa dos Empregados do Sistema FIERGS- CRESUL, com vistas à:

– Garantir a integridade, confidencialidade, disponibilidade e autenticidade dos dados armazenados nos sistemas utilizados pela cooperativa;

– Estabelecer ações para prevenir e detectar tentativas de invasão e fraudes no sistema;

– Definir procedimentos para o controle de acesso à informação por parte dos empregados;

– Registrar e analisar a causa do impacto e o controle dos efeitos de incidentes relevantes para as atividades da instituição.

2. DESCRIÇÃO

- Lei 4658 – resolução do Banco Central que estabelece os critérios para atendimento à política de segurança cibernética;

- Conselho de Administração: O Conselho de Administração é composto de nove (9) membros efetivos e três (3) suplentes, todos associados, eleitos em Assembleia Geral, para um mandato de três (3) anos, podendo ser reeleitos ou destituídos em qualquer tempo, em Assembleia Geral, sendo obrigatória a renovação de um terço (1/3) dos seus componentes. O mandato será estendido até a posse de seus substitutos;

- Diretoria: A Diretoria Executiva é composta pelo Diretor Presidente, Diretor Administrativo e Diretor Financeiro, com mandato de 3 (três) anos, escolhidos dentre os membros do Conselho de Administração durante reunião desse conselho. O mandato será estendido até a posse de seus substitutos;

- Coordenação: exercida por empregado que assegura a execução das atividades administrativas de controle e apoio às operações da Cooperativa, em conformidade com as políticas, processos e padrões de trabalho preestabelecidos e de acordo com os regramentos do Banco Central;

- Risco cibernético: Riscos de ataques cibernéticos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede (DDoS e Botnets), fraudes externas, desprotegendo dados, redes e sistemas da empresa causando danos financeiros e de reputação consideráveis. Malwares:

-Vírus: software que causa danos à máquina, rede, softwares e banco de dados;

-Cavalo de Troia: aparece dentro de outro software e cria uma porta para a invasão do computador;

-Pyware: software malicioso para coletar e monitorar o uso de informações;

-Ransomware: software malicioso que bloqueia o acesso a sistemas e bases de dados, solicitando um resgate para que o acesso seja reestabelecido.

-Engenharia Social:

- Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento;

- Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais;

- Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais;

- Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais;

- Pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes que captam qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.

- Armazenamento e Hospedagem Nuvem: O armazenamento em nuvem é uma tecnologia que permite guardar dados na internet através de um servidor online sempre disponível. Nele, o usuário pode armazenar arquivos, documentos e outras informações sem precisar de um HD no seu computador.

- Internet: é um sistema global de redes de computadores interligadas que utilizam um conjunto próprio de protocolos com o propósito de servir progressivamente usuários no mundo inteiro. É uma rede de várias outras redes, que consiste de milhões de empresas privadas, públicas, acadêmicas e de governo, com alcance local e global e que está ligada por uma ampla variedade de tecnologias de rede eletrônica, sem fio e ópticas.

- Correio Eletrônico: é um método que permite compor, enviar e receber mensagens através de sistemas eletrônicos de comunicação. O Correio Eletrônico é tipicamente um modo assíncrono de comunicação. O termo "e-mail" é aplicado tanto aos sistemas que utilizam a Internet e que são baseados nos protocolos POP3, IMAP e SMTP, como àqueles sistemas conhecidos como intranets, que permitem a troca de mensagens dentro de uma empresa ou organização e que são, normalmente, baseados em protocolos proprietários.

- Senha de acesso: é uma palavra ou código secreto previamente convencionado entre as partes como forma de reconhecimento. Em sistemas de computação, senhas são amplamente utilizadas para autenticar usuários e conceder-lhes privilégios — para agir como administradores de um sistema, por exemplo, ou permitir-lhes o acesso a informações personalizadas armazenadas no sistema.

3. RESPONSABILIDADES

3.1 – Conselho de Administração e Diretoria

3.1.1 - Aprovar, supervisionar e revisar, sempre que necessário a presente política, garantindo a gestão de toda segurança cibernética da cooperativa.

3.1.2 – Designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

3.1.3 – O Conselho deve, em conjunto com a Coordenação, elaborar relatório anual do plano de ação e resposta a incidentes.

3.2 – Coordenação Administrativa

3.2.1 – Definir as permissões de acesso ao sistema, conforme requisitos da função restringindo e controlando o acesso dos usuários;

3.2.2 – Definir em conjunto com a empresa responsável pela infraestrutura de rede, os softwares de detecção de vírus, mantendo suas versões sempre atualizadas;

3.2.3 – Divulgar a presente política aos empregadoes, cooperados e prestadores de serviços.

4. APLICABILIDADE DA POLITICA DE SEGURANÇA CIBERNÉTICA

4.1. Os objetivos de controle aqui estabelecidos deverão ser seguidos por todos os empregadoes, diretores, cooperados e prestadores de serviços que tenham alguma relação contratual com a CRESUL. São aplicáveis a toda informação da cooperativa, em qualquer meio, sejam elas mídias físicas, eletrônicas ou transmissão de dados e/ou verbal;

5 CLASSIFICAÇÃO DA INFORMAÇÃO

5.1 A informação é um ativo e possui valor diferente dependendo do seu conteúdo. Para tanto a classificação da informação pode definir os controles necessários para proteção. A classificação está definida em 3 (três) níveis em ordem crescente:

5.1.2 Públicas: são todas as informações publicadas para todos os empregadoes, diretores, cooperados, prestadores de serviços e público em geral, através da internet ou qualquer outra mídia;

5.1.3 Internas: são informações disponíveis apenas para os empregadoes, diretores ou cooperados através de autorização. Essa informação é de responsabilidade da CRESUL e não poderá ser divulgada na internet e nem disponibilizada para outros;

5.1.4 Confidencial: são informações de acesso restrito mantidas em arquivos físicos ou eletrônicos com níveis de segurança compatíveis, como cofres, armários com chaves e diretório.

6 DO USO DAS FERRAMENTAS CORPORATIVAS

6.1 Serão fornecidos aos s da CRESUL o acesso a conta de correio eletrônico, o acesso a internet e outras ferramentas de produtividade para a execução do trabalho;

6.2 O uso das ferramentas estará sujeito à aplicação da política de segurança e deverá ser respeitada;

6.3 O terá acesso aos aplicativos e informações que forem estritamente necessários para a realização e execução do seu trabalho;

6.4 Toda informação gerada é de propriedade da Cresul;

7 INTERNET

7.1 O acesso a internet é permitido em sites de conteúdo relevante a execução do trabalho do empregado, sempre de acordo com a política de segurança e bloqueios de sites classificados como inseguros ou não confiáveis;

7.2 É terminantemente proibido o acesso a sites que contenham material pornográfico e assemelhados, jogos de azar, conteúdo ilegal ou não ético, sites com conteúdo ofensivo ou que causem danos a outrem;

8 CORREIO ELETRÔNICO

8.1 O correio eletrônico fornecido pela Cresul é uma plataforma de comunicação de uso exclusivo de trabalho, não devendo ser utilizado para outros fins;

8.2 Toda informação contida nas mensagens eletrônicas é de propriedade da Cresul, podendo ser monitorada a qualquer tempo, sem aviso ou notificação, para fins de auditoria;

8.3 As informações classificadas como confidenciais devem ter um cuidado especial ao serem enviadas via correio eletrônico, obedecendo a distribuição conforme item 5.1;

9 SENHAS DE ACESSO

9.1 A senha de acesso é de uso pessoal e intrasferível, sendo de inteira responsabilidade do empregado a guarda e responsabilidade pelo uso da mesma;

9.2 É recomendada a utilização de senhas fortes, misturando letras, números e caracteres especiais;

10 BLOQUEIO DA ESTAÇÃO DE TRABALHO

10.1 Ao se afastar de sua estação de trabalho, o empregado deverá tomar medidas para evitar o acesso não autorizado ao conteúdo de sua estação de trabalho;

10.2 Toda ação feita no ambiente computacional é de responsabilidade do empregado associado às credenciais de acesso.

11 DO ARMAZENAMENTO E HOSPEDAGEM EM NUVEM

A Cooperativa mantém contrato firmado conforme o anexo 1 para armazenamento e hospedagem em nuvem.

12 DA OPERACIONALIZAÇÃO

- A presente política será avaliada/revisada/alterada anualmente em reunião do Conselho de Administração e Diretoria

- A Coordenação realizará as permissões de acesso necessárias aos s e terceirizados da cooperativa de acordo com o perfil do cargo e responsabilidades definidas em contrato.

- Em caso de identificação de incidentes a coordenação deverá reportar a diretoria sobre o ocorrido relatando a situação e os impactos para as devidas providências.

13 PROCEDIMENTO EM CASO DE INCIDENTE

Em caso de caracterização de incidente, de acordo com o impacto e os riscos do mesmo (mercado, crédito, operacional, crédito, imagem), deverão ser adotados os seguintes procedimentos:

- Abrir chamado junto ao suporte de TI e empresas contratadas pela CRESUL para avaliação do impacto do incidente;

- Análise pela Coordenação, Diretoria e Conselho do impacto e medidas a serem tomadas;

Potenciais medidas que poderão ser tomadas a partir da avaliação, dentre outras:

- Registro de boletim de ocorrência ou queixa crime;

- Contratação de consultoria específica;

- Ações de comunicação interna e/ou externa para posicionamento e esclarecimento;

- Acompanhamento periódico pela coordenação e conselho das ações saneadoras;

14 NORMAS GERAIS

A hospedagem em nuvem seguirá os seguintes procedimentos:

14.1 - A hospedagem em nuvem dispensa a aquisição de licenças dos softwares de banco de

dados, sistema operacional e antivírus, necessários aos servidores em nuvem;

14.2 – A empresa contratada realizará o backup em nuvem, totalmente automatizado, em ambiente de alta disponibilidade e durabilidade, com garantia da integridade dos dados por meio de restaurações periódicas em ambiente de homologação e confidencialidade das informações;

14.3 – A empresa contratada monitorará o banco de dados, incluindo o dimensionamento, instalação e configuração até tuning, backup/recover, monitoramento e aplicação de patches;

14.4 – A empresa contratada realizará o monitoramento de servidores e serviços, notificando em caso de falhas, mantendo características proativas (ações para antecipação de falhas), reativas (ações de respostas a eventuais falhas) e preventivas (ações para minimizar probabilidade de falhas);

14.5 – A empresa contratada deverá implementar e manter controles de segurança incluindo, sem limitação, segurança de hardware e software, firewalls, filtros e outras ferramentas de segurança;

14.6 – A empresa contratada se responsabilizará por armazenar e transmitir as credenciais de acesso e demais informações confidenciais de maneira criptografada;

14.7 – A empresa contratada deverá garantir a segregação de acesso entre os ambientes de seus diferentes clientes, impedindo o acesso não autorizado às informações;

14.8 – Caberá à empresa contratada disponibilizar informações para esta cooperativa e auditorias quando solicitada;

14.9 – O Backup citado no item 5.2 deverá ser realizado de acordo com a periodicidade abaixo descrita, mantendo cada um dos backups efetuados sob a política cíclica de armazenamento, que garante a disponibilidade de restauração de backup dos 7 (sete) últimos dias, com as seguintes características:

14.9.2 – para garantir a sua integridade, os backups serão testados semanalmente pela empresa contratada;

A presente política de segurança cibernética deverá ser divulgada a todos os empregadoes, cooperados e as empresas prestadoras de serviços terceirizados.

Política de Segurança Cibernética Revisada pelo Diretoria em 19 / 09 / 2019 Revisada pelo Conselho de administração em 19/12/2019.

m a empresa Xxxxx Xxxxxxxx Informática Ltda – Fácil Informática, onde todo o sistema Faccred

– e os dados operacionalizados por ele – hospedados em DataCenter com disponibilidade de tempo (99,97%), em nuvem, utilizando a estrutura da empresa AMAZON.

14.9.1 – backup diário de todo o Banco de Dados, utilizando ambiente redundante (replicado) e de alta disponibilidade (99,9999999% de durabilidade e de 99,97% de disponibilidade), inclusive nos sábados, domingos e feriados nacionais; e