Conta Digital Blu

Politica de Segurança

1. OBJETIVO

Definir diretrizes públicas para proteção dos sistemas e serviços da Blu que se encontram em espaço cibernético (internet).

2. ABRANGÊNCIA

Esta política aplica-se a todos os colaboradores, bem como as empresas que fazem parte do Grupo Blu.

3. NORMAS E CERTIFICAÇÕES

〿AUDITORIA 〿LEIS e REGULAMENTAÇÕES (Bacen)
☐ISO ☐PCI
☐NENHUMA DAS NORMAS

4. DOCUMENTOS DE REFERÊNCIA

Código de Ética e Conduta Política de segurança da informação Política de privacidade da Blu Lei N° 13.709/2018 (LGPD) Resolução 4.658 do Banco Central (26/04/2018) Circular 3.909 do Banco Central (16/08/2018) PCI-DSS Requirements and Security Assessment Procedures (v3.2.1) ABNT NBR ISO/IEC 27001:2013 ABNT NBR ISO/IEC 27701:2019

5. DISPOSIÇÕES GERAIS

Todo normativo que esteja fora do prazo de vidência é considerado obsoleto até sua atualização. Os colaboradores envolvidos no processo em questão estão cientes de que as diretrizes definidas neste documento poderão ser auditadas. Portanto, recomenda-se não salvar cópias dos normativos na área de trabalho/diretórios da rede ou imprimi-los. O colaborador deve sempre acessar a ferramenta Convenia.

6. DEFINIÇÕES

Auditoria: processo que visa avaliar a conformidade das ações de seus colaboradores, estagiários, terceiros, fornecedores e parceiros em relação ao estabelecido nesta política e na legislação aplicável. Confidencialidade: é a propriedade da informação pela qual deve garantir que a informação não estará disponível ou será divulgada a indivíduos, entidades ou processos sem autorização. Conformidade: processo de garantia do cumprimento de um requisito com aspectos legais e regulatórios relacionados aos princípios éticos e de conduta estabelecidos pela Blu. Dados: parte inicial de uma informação que permite chegar a elementos completos. Disponibilidade: é a propriedade da informação pela qual deve garantir que a informação estará acessível e utilizável a quem se destina para atendimento aos requisitos de negócio da Blu ou sob demanda por uma entidade autorizadora, ou seja, estejam disponíveis a todos os usuários autorizados a tratá-las. Informação: é o resultado do processamento, manipulação e organização de dados, de tal forma que represente conhecimento do sistema (humano ou máquina) que a recebe. Integridade: é a propriedade da informação pela qual deve garantir que a informação é confiável, ou seja, garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais. Risco: a possibilidade de um determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a Blu. Segurança da informação: é o conjunto de ações e controles com o objetivo de garantir a preservação dos aspectos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações. Vulnerabilidade: bug, ponto fraco, brecha ou falha existente num determinado sistema ou recurso computacional, que pode ser explorada, causando prejuízo ao sistema ou recurso em questão. Também pode ser um conjunto de fatores internos ou causa potencial de incidente indesejado que podem resultar em risco para um sistema ou organização.

7. DIRETRIZES

A fim de proteger as informações presentes nos nossos sistemas, ambientes tecnológicos, processos e demais ativos de informação, a Blu implementa controles de segurança de acordo com as melhores práticas de mercado, como ISO 27001, ISO 27701, PCI DSS, resoluções e circulares do BACEN, entre outras. Atento às diretrizes e regulamentações do mercado o qual está inserido e, portanto, em aderência ao PCI-DSS (Payment Card Industry Data Security Standards – Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), a Blu não armazena os dados completos de portador de cartão de pagamento em seus sistemas. Informações sensíveis como dados pessoais dos clientes e colaboradores, dados de transações financeiras e demais informações relevantes para o negócio da Blu são protegidas de acesso indevido e alteração indevida através da implementação de eficientes controles de acesso lógico e físico. Entre os controles, estão incluídos: gestão de vulnerabilidades tecnológicas, controle de acesso a sistemas, implementação de hardening nos ativos tecnológicos, controles criptográficos em dados sensíveis, uso de tecnologias para proteção a ataques (detecção e prevenção de intrusão), uso de solução antimalware, mecanismos para a prevenção da perda de informações, configuração de trilhas de auditoria, contingenciamento de sistemas. Além disso, a Blu utiliza os melhores serviços de infraestrutura disponíveis no mercado a fim de garantir alta disponibilidade dos nossos recursos tecnológicos. A Blu garante que todas as responsabilidades pela segurança da informação nos ambientes contratados por ela estejam claramente definidas e que os fornecedores contratados são competentes e capazes de cumprir com as atribuições de segurança da informação da Blu. Além disso, todo fornecedor que capturar, transmitir ou armazenar informações consideradas sensíveis pela Blu deve assinar um contrato de confidencialidade para garantir que as estas informações, na prestação de serviços, não serão divulgadas. Todos os sistemas desenvolvidos pela Blu possuem orientação à segurança do código. Testes regulares são realizados em nossos sistemas para garantir que possuem um nível adequado de segurança. Para garantir que os colaboradores da Blu possuem conhecimento sobre as melhores práticas de segurança, todos passam por treinamentos regulares para conscientização e aculturamento deste tema. De maneira a se precaver ou tentar evitar incidentes de segurança e fraudes na utilização de produtos e serviços financeiros, a Blu pode, a qualquer tempo, compartilhar informações sobre segurança ou boas práticas de segurança com seus clientes e fornecedores. A fim de garantir a eficiência dos controles e o adequado nível de segurança de nossos processos e sistemas, a Blu realiza, em intervalos regulares, análises de riscos de segurança da informação e auditoria nos principais processos. As oportunidades de melhorias encontradas nestas análises fazem parte do insumo utilizado na melhoria contínua dos controles relacionados à segurança da Blu. Sempre que necessário, a Blu efetua também análise dos controles de segurança de seus fornecedores e parceiros comerciais a fim de garantir que a cadeia de suprimentos está adequadamente protegida. Os serviços da Blu possuem uma forte base de conhecimento para o gerenciamento e resposta a incidentes de segurança da informação, além de contar com monitoramento constante dos principais serviços e ativos de tecnologia. Entretanto, caso alguém identifique um incidente ou um potencial incidente de segurança em algum dos serviços ou ativos da Blu, pode entrar em contato conosco através do e-mail: csirt@useblu.com.br – os incidentes que são notificados para a Blu são investigados e classificados. Uma vez confirmados pela Blu, os incidentes serão tratados de acordo com os procedimentos internos existentes. A fim de garantir a disponibilidade de seus serviços mais críticos, a Blu elabora cenários de incidentes para testar os controles existentes. O time de segurança da informação e demais colaboradores da Blu estão sempre focados em manter a proteção dos seus serviços e dos dados de seus clientes, de seus parceiros comerciais e dos dados da Blu.

8. RESPONSABILIDADES

Gente, Gestão & Ouvidoria: promover treinamentos de forma a auxiliar no aculturamento dos temas de segurança da informação. Jurídico & Compliance: analisar as diretrizes de segurança da informação da Blu a fim de verificar a aderência destas às regulamentações e às leis vigentes. Segurança da Informação: gerir a segurança da informação, definir e documentar as diretrizes de segurança da informação, monitorar a aderência às diretrizes de segurança da informação e conduzir ações de melhoria aos controles e processos ou de resposta a incidentes aos desvios às diretrizes de segurança da informação. Sanar dúvidas e mostrar as melhores práticas de segurança da informação, bem como analisar sugestões para melhoria das diretrizes de segurança da informação. Manter contatos com grupos especiais de segurança da informação. Comitê de Segurança da Informação: composto por pessoas de diversas áreas da companhia, deve deliberar sobre a aplicabilidade das diretrizes de segurança da informação antes da sua publicação e divulgação, deliberar sobre os casos de tratamento de exceção as diretrizes de segurança da informação e apoiar as iniciativas de segurança da informação.

9. CONTROLE DE REVISÕES

Edição: 1

Data: 19/03/2021

Descrição da Edição: Criação do documento

Responsável: Jéderson Freitas