Cybersecurity policy


LEGENDAS

starspay: OPP SERVICOS FINANCEIROS E COBRANCAS LTDA., proprietária dos produtos digitais “starspay.net”, “starspay.com.br”, “oppfinanceira.com” e “oppfinanceira.com.br”.

PSC: Política de Segurança Cibernética e da Informação

OBJETIVO

Garantir a aplicação e tratamento dos princípios e diretrizes de proteção da propriedade intelectual e das informações da organização, dos clientes e do público em geral, observando as regulamentações aplicáveis e melhores práticas de mercado.

A Política de Segurança Cibernética (“PSC”) tem por objetivo estabelecer as regras, procedimentos e controles de segurança cibernética, no intuito de minimizar as ameaças à imagem e aos negócios da starspay.

Deverá, assim, ser seguida por todos os seus colaboradores, independentemente do nível hierárquico ou função na instituição, bem como de vínculo empregatício ou prestação de serviços.

A “PSC” está de acordo com as leis, regulamentação e autorregulação aplicáveis, incluindo o Código ANBIMA de Regulação e Melhores Práticas para a Administração de Recursos de Terceiros, bem como as boas práticas de mercado.

O objetivo das regras sobre segurança cibernética é primordialmente assegurar a proteção de seus ativos de informação contra ameaças, internas ou externas, minimizar eventuais riscos à segurança das informações, reduzir a exposição a perdas ou danos decorrentes de falhas de segurança e garantir que os recursos adequados estarão disponíveis, mantendo um programa de segurança efetivo e conscientizando seus colaboradores a respeito.

INTRODUÇÃO

starspay Sociedade de Crédito Direto S.A, estabelece a presente “PSC” de Segurança da Informação e Segurança Cibernética, a fim de garantir a aplicação dos princípios e diretrizes de proteção da propriedade intelectual e das informações da organização, dos clientes e do público em geral. Nossa estratégia de Segurança da Informação e Segurança Cibernética foi desenvolvida para evitar violações da segurança dos dados, minimizar os riscos de indisponibilidade dos nossos serviços, proteger a integridade e evitar qualquer vazamento de informação. Para alcançarmos esse objetivo nossa estratégia está baseada na proteção de perímetro expandido, apoiado em processos de controle para detecção, prevenção, monitoramento e resposta a incidentes garantindo a gestão do risco de segurança cibernética.

O conceito de perímetro expandido considera que a informação deve ser protegida independentemente de onde ela esteja, seja em um prestador de serviço ou em uma unidade externa da sede da companhia, em todo momento que a informação estiver em posse de algum colaborador da Companhia, desde o momento que ela é coletada, passando pelo processamento, transmissão, armazenamento, análise e seu descarte.

PÚBLICO-ALVO

Colaboradores da starspay, e seu conglomerado. Para os fins do disposto nesta “PSC” o termo “colaboradores” abrange todos os empregados, menores aprendizes, estagiários e administradores da starspay.

REGRAS

Regra Geral Todas as “PSC”s de segurança da informação e segurança cibernética precisam estar disponíveis em local acessível aos colaboradores e devem ser protegidas contra alterações. As “PSC”s de segurança da informação segurança cibernética são revisadas anualmente pela starspay com aplicação no Brasil. Princípios de Segurança da Informação e segurança cibernética nosso compromisso com o tratamento adequado das informações da starspay, clientes e público em geral está fundamentado nos seguintes princípios: 

– Confidencialidade: garantimos que o acesso à informação seja obtido somente por pessoas autorizadas e quando ele for de fato necessário;

– Disponibilidade: garantimos que as pessoas autorizadas tenham acesso à informação sempre que necessário;

– Integridade: garantimos a exatidão e a completude da informação e dos métodos de seu processamento, bem como da transparência no trato com os públicos envolvidos.

As diretrizes de “PSC” da starspay estabelecem as seguintes condições:

  • a) As informações da starspay, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando-se mau uso e exposição indevida. 
  • b) A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada. 
  • c) Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores, para que a atividade não seja executada e controlada pelo mesmo colaborador ou equipe. 
  • d) O acesso às informações e recursos só deve ser feito se devidamente autorizado. 
  • e) A identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas. 
  • f) A concessão de acessos deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades. 
  • g) A senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo proibido seu compartilhamento. 
  • h) Todo colaborador deve reportar os riscos às informações à área de Compliance. 
  • i) A área de Compliance deve divulgar amplamente as responsabilidades sobre esta “PSC” aos colaboradores, que devem entender e assegurar estas diretrizes. 

Para assegurar que as informações tratadas estejam adequadamente protegidas dentro das orientações deste “PSC”, a starspay adota os seguintes processos:

  • a) Gestão da Informação – Entende-se por informação tudo o que pode criar, processar, armazenar, transmitir e até excluir a informação. Podem ser tecnológicos (“software” e “hardware”) e não tecnológicos (pessoas, processos e dependências físicas). As informações, de acordo com sua criticidade, devem ser identificadas de forma individual, inventariados e protegidos de acessos indevidos, fisicamente (salas com acesso controlado).
  • b) Classificação da Informação – As informações devem ser classificadas de acordo com a confidencialidade e as proteções necessárias, nos seguintes níveis: Restrita, Confidencial, Interna e Pública. Para isso, devem ser consideradas as necessidades relacionadas ao negócio, o compartilhamento ou restrição de acesso e os impactos no caso de utilização indevida das informações.
  • c) Gestão de Acessos – As concessões, revisões e exclusões de acesso devem utilizar as ferramentas e os processos da starspay. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria possam identificar individualmente o colaborador, prestador de serviço, para que seja responsabilizado por suas ações.
  • d) Gestão de Riscos – Os riscos devem ser identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre as informações da starspay, para que sejam recomendadas as proteções adequadas.
  • e) Gestão de Riscos em Prestadores de Serviços – Os prestadores de serviços contratados pela Companhia são classificados considerando alguns critérios, tais como: Criticidade do segmento; Auditoria remota; Informações mais críticas manipuladas pelo fornecedor; Forma de acesso às informações; Frequência de acesso às informações; Histórico de fraude e/ou de vazamento de informação; Certificações; Data da última avaliação; classificação do risco identificado na última avaliação.

Dependendo da classificação do prestador de serviço referente aos critérios acima, deverá passar por avaliação de risco, que vai desde a validação in loco dos controles de segurança da informação, avaliação remota das evidências ou outros processos de avaliação, além do acompanhamento de eventuais correções e melhorias implementadas pelos prestadores de serviços. Para avaliação de risco, é utilizado um Baseline de Fornecedores, que consiste em um documento com diversos controles de segurança baseado em padrões internacionais e melhores práticas do segmento.

Os incidentes que são identificados pelos alertas são classificados com relação ao impacto de acordo com os critérios adotados pela starspay. Para o seu grau de relevância serão considerados aspectos como comprometimento de dados de clientes e impacto ao sistema financeiro. Todos os incidentes passam por um processo de tratamento e comunicação, onde são registradas todas as informações pertinentes aos incidentes como causa, impacto, classificação etc., de acordo com o procedimento operacional. Visando aprimorar a capacidade da starspay na resposta a incidentes cibernéticos, alguns cenários que possam afetar a continuidade de negócios são considerados nos testes. Os incidentes de Segurança da Informação e cibernéticos da starspay devem ser reportados à Diretoria de Compliance.

A área de Compliance elaborará um Relatório Anual contendo os incidentes relevantes ocorridos no período, ações realizadas de prevenção e respostas aos incidentes e resultados dos testes de continuidade. Este relatório deverá ser apresentado ao Conselho de Administração ou para Diretoria da Instituição, até dia 31 de março do exercício seguinte, conforme determinações legais e regulamentares.

  • g) Conscientização em Segurança da Informação e Segurança Cibernética a starspay promove a disseminação dos princípios e diretrizes de Segurança da Informação por meio de programas de conscientização e capacitação, com o objetivo de fortalecer a cultura de Segurança da Informação. Periodicamente, são disponibilizadas campanhas de conscientização ou treinamentos que podem ser on-line, relacionados a confidencialidade, integridade e disponibilidade da informação. Estas campanhas são veiculadas através de e-mails, portal corporativo, e-learning, mídia indoor, redes sociais aos colaboradores e clientes.
  • h) Áreas de Negócio e Tecnologia As iniciativas e projetos das áreas de negócio e tecnologia devem estar alinhadas com as diretrizes e arquiteturas de segurança da informação, garantindo a confidencialidade, integridade e disponibilidade das informações.
  • i) Segurança Física do Ambiente O processo de Segurança Física visa estabelecer controles relacionados à concessão de acesso físico ao ambiente somente a pessoas autorizadas, de acordo com a criticidade das informações previamente mapeadas e declaradas à Administração Predial.
  • j) Segurança no Desenvolvimento de Sistemas de Aplicação O processo de desenvolvimento de sistemas de aplicação deve garantir a aderência às “PSC”s de segurança da starspay e às boas práticas de segurança.
  • k) Gravação de LOGs É obrigatória a gravação de logs ou trilhas de auditoria do ambiente computacional de forma a permitir identificar: quem fez o acesso; quando o acesso foi feito; o que foi acessado e como foi acessado. As informações dos registros (logs) ou trilhas de auditoria devem ser protegidas contra modificações e acessos não autorizados. 
  • l) Programa de Segurança Cibernética da starspay é norteado pelos seguintes fatores:
  • m) Proteção de perímetro para proteção da infraestrutura da starspay o contra um ataque externo, utilizamos ferramentas e controles contra: ataques que afetem a disponibilidade (DDoS), Spam, Phishing, ataques avançados persistentes (APT), Malware, invasão de dispositivos de rede e servidores, ataques de aplicação e scan externos. No sentido de nos protegermos contra vazamento de informações, utilizamos diversas ferramentas preventivas contra vazamento de informação, instaladas em estações de trabalho, no serviço de correio eletrônico, no serviço de navegação WEB, no serviço de impressão, além de criptografia de disco em notebooks e solução de proteção de dispositivos móveis.

Quaisquer informações e propriedade intelectual que pertençam a starspay, ou por ela disponibilizadas, não devem ser utilizadas para fins particulares, nem repassadas a outrem, ainda que tenham sido obtidas, inferidas ou desenvolvidas pelo próprio colaborador em seu ambiente de trabalho Declaração de Responsabilidade Periodicamente os colaboradores e Prestadores de Serviços diretamente contratados pela starspay devem aderir formalmente a um termo, comprometendo-se a agir de acordo com as “PSC”s de Segurança da Informação e Segurança Cibernética. Os contratos firmados com a starspay devem possuir cláusula que assegure a confidencialidade das informações. Medidas Disciplinares As violações a esta “PSC” estão sujeitas às sanções disciplinares previstas nas normas internas das empresas da starspay, e na legislação vigente no Brasil.

RECICLAGEM E REVISÃO

starspay deverá manter o programa de segurança cibernética continuamente atualizado, identificando novos riscos, ativos e processos e reavaliando os riscos residuais.

Também realizará campanha de conscientização em cibersegurança, com o fim de garantir que todos os colaboradores tenham as habilidades necessárias para proteger as informações como parte de suas responsabilidades por meio do Programa de Treinamento da starspay.

O Responsável pela Segurança Cibernética, realizará a revisão e atualização desta “PSC” periodicamente, anualmente ou em prazo inferior sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Responsável pela Segurança Cibernética.

FORNECEDORES DE SERVIÇOS DE TECNOLOGIA

Como forma de demonstrar abertamente a qualidade dos serviços prestados aos nossos parceiros comerciais e usuários finais, dispomos de uma lista de prestadores de serviços de tecnologia.

  • BERNARDINO SERVIÇOS DE INTERNET LTDA.
  • AMAZON AWS SERVIÇOS DO BRASIL LTDA.
  • IBM CLOUD LTDA.
  • CLOUDFLARE BRASIL LTDA.
ÁREA DE COMPLIANCE

Informações gerais, denúncias ou instruções, enviar e-mail para [email protected], com prazo de 24 (vinte e quatro) horas úteis para o retorno.