RESUMO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA INFORMAÇÃO DA NEON

OBJETIVO

Estabelecer e descrever as diretrizes de Segurança Cibernética e da Informação, garantindo a proteção e a manutenção da privacidade, integridade, disponibilidade e confidencialidade das informações, seguindo as melhores práticas e framework de mercado. Ademais, informar às áreas e atribuir as responsabilidades para cumprimento desta Política e garantia de Segurança da Informação e dar ciência ao público em geral, sempre em conformidade com a legislação, normativos e os documentos internos aplicáveis.

ABRANGÊNCIA

Esta Política se aplica a todos os colaboradores, parceiros, fornecedores, prestadores de serviço e terceiros da Neon e esta versão resumida da Política será disseminada ao público interessado, conforme art. 5º da Resolução do Banco Central do Brasil nº 85/2021.

DIRETRIZES E PRINCÍPIOS

As diretrizes de Segurança da Informação da Neon, aplicáveis aos ambientes de computação em nuvem (cloud) e local (on premises), são:

  1. Garantir a privacidade, integridade, disponibilidade e confidencialidade das Informações dos seus clientes, de seus funcionários e terceiros, assim como da própria Neon, protegendo os dados e os sistemas de informação contra acessos indevidos e modificações não autorizadas;
  2. Assegurar que somente pessoas autorizadas tenham acesso às instalações da Neon, às informações e aos sistemas de informação;
  3. Garantir a continuidade dos negócios e proteger os processos críticos contra falhas ou desastres significativos;
  4. Atender aos requisitos regulamentares, legais e contratuais pertinentes à sua atividade;
  5. Assegurar o treinamento contínuo e atualizado nas políticas e nos procedimentos de Segurança da Informação, enfatizando as obrigações de todos em zelar pela segurança das informações da Neon;
  6. Criptografar todas as informações confidenciais, dados pessoais e sensíveis que trafeguem em redes públicas e abertas;
  7. Adotar e manter atualizados mecanismos de proteção contra malwares e outros tipos de ataque ao ambiente organizacional;
  8. Desenvolver sistemas e aplicativos de forma segura em acordo com as diretrizes estabelecidas na Norma de Desenvolvimento Seguro;
  9. Restringir o acesso às informações confidenciais, dados pessoais e sensíveis de acordo com a necessidade de conhecimento para o negócio;
  10. Identificar regularmente os riscos de Segurança da Informação aos quais a Neon ou empresas coligadas estejam expostas;
  11. Regulamentar o uso de recursos computacionais disponibilizados pela Neon aos colaboradores;
  12. Criar, manter e aprovar procedimentos para gerenciar os acessos de terceiros e pessoas externas às informações confidenciais, dados pessoais e sensíveis;
  13. Classificar todas as informações de acordo com a Norma de Classificação da Informação interna da Neon;
  14. Garantir que todos os colaboradores, parceiros, fornecedores, prestadores de serviço e terceiros conheçam a Política de Segurança Cibernética e da Informação e assinem o termo de aderência, garantindo assim que as informações serão acessadas e não serão divulgadas; e
  15. Prestar informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros.

A Neon se compromete a seguir as diretrizes acima, bem como a cumprir e conduzir suas atividades com ética e responsabilidade, com observância de legislação e regulamentações em vigor e dos seguintes princípios:

  • transparência;
  • segurança e privacidade de dados e de informações sobre serviços compartilhados;
  • qualidade dos dados;
  • interoperabilidade;
  • tratamento não discriminatório; e
  • reciprocidade.

No plano tático, estas diretrizes e princípios se traduzem em Normas de Segurança da Informação, que implementam controles para alcance dos objetivos definidos nesta Política.

RESPONSABILIDADE E AUTORIDADE

Diretor de Segurança da Informação

  • Apresentar a importância em assegurar a conformidade com a Política de Segurança Cibernética e da Informação, assim como os objetivos de segurança da informação;
  • Estabelecer comitês em que são deliberadas estratégias que ssegurem o cumprimento de políticas, assim como a aprovação das estratégias de segurança da informação;
  • Nomear representantes que promovam a conscientização quanto ao tema Segurança da Informação.

Gestão da Segurança da Informação

  • Elaborar e aplicar as revisões periódicas em normas e procedimentos de Segurança da Informação, que garantam a conformidade necessária e assegurar que os controles são efetivos;
  • Assegurar que controles possam ser aplicados durante a tratativa de incidentes e alterações relacionadas à Segurança da Informação;
  • Monitorar recursos e ambientes tecnológicos com o objetivo de garantir a proteção de possíveis ameaças e/ou o seu uso inadequado, assim como mantê-los em dia com suas atualizações e requisitos de negócios.

SEGURANÇA CIBERNÉTICA

São adotados mecanismos de proteção contra ataques cibernéticos, uso indevido, fraudes, danos, perdas, erros, sabotagens, roubo de informações e outros, em todo o ciclo de vida das informações, para cumprimento do objetivo de Segurança da Informação: prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

As áreas envolvidas atuam sempre de forma colaborativa com as áreas de Compliance, Risco Operacional e outras, com o propósito de avaliar e deliberar as opções de tratamento para os riscos identificados, inclusive os cibernéticos. A Diretoria, dentre outras funções, atua constantemente para que haja sempre o comprometimento na melhoria contínua dos procedimentos relacionados com a Segurança da Informação.

A Neon poderá tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou por determinação do Comitê de Segurança da Informação.

ESTRATÉGIAS ADOTADAS

Para garantir a Segurança da Informação, a Neon segue as seguintes estratégias não exaustivas, expostas de forma resumida:

  • Gestão de incidentes: Todos os incidentes passam por um processo de análise, tratamento e comunicação, onde são registradas todas as informações pertinentes aos incidentes; ademais, são feitas notificações a clientes quando pertinente. A Neon produz o relatório anual de incidentes relevantes previsto na Resolução BCB nº 85/21;
  • Gestão de vulnerabilidades: A Neon se preocupa com o ambiente tecnológico e os riscos que podem surgir caso uma vulnerabilidade seja explorada, então são realizadas análises regulares de vulnerabilidades que asseguram que nenhum sistema tenha sido negligenciado, com objetivo identificar as fragilidades no ambiente tecnológico e avaliar o potencial risco para o negócio, contemplando todo o ciclo, desde prevenção até identificação até as atividades de remediação de vulnerabilidades a incidentes relacionados com o ambiente cibernético;
  • Gestão e controle de acessos: O acesso às Informações e aos ambientes tecnológicos da Neon é permitido apenas às pessoas autorizadas pelo proprietário da informação, de acordo com o princípio do menor privilégio (apenas o necessário para o desempenho de seu trabalho) e a identificação de qualquer colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas. Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções, por meio da participação de mais de um colaborador ou equipe de colaboradores, para que a atividade não seja executada e controlada pelo mesmo colaborador ou equipe;
  • Uso aceitável de ativos: A Neon estabelece regras quanto a Ativos da Informação (tudo o que pode criar, processar, armazenar, transmitir e até excluir a informação), incluindo sobre informações externas nos recursos e ativos disponibilizados, internet, correio eletrônico, monitoramento de informações internas e externas para detecção de violações desta Política, normas e procedimentos de Segurança da Informação;
  • Segurança no desenvolvimento de sistemas de aplicação: O processo de desenvolvimento de sistemas de aplicação da Neon deve garantir a aderência às políticas e às boas práticas de segurança. Todas as aplicações na Neon estão sujeitas a auditorias regulares e testes de intrusão validam os padrões de segurança;
  • Relacionamento e gerenciamento de fornecedores e prestadores de serviço: A Neon se preocupa com o relacionamento com seus fornecedores e prestadores de serviço, por isso possui a responsabilidade de avaliar os aspectos de segurança no relacionamento com fornecedores e prestadores de serviço (on-premises e em nuvem), seja na aquisição, contratos ou privacidade de dados, incluindo a avaliação de potenciais fornecedores para o cumprimento das políticas e controles da empresa e finalidade de análise dos controles básicos de segurança. Os fornecedores e prestadores de serviços devem informar os incidentes relevantes relacionados às informações da Neon quando armazenadas ou processadas por eles em cumprimento a determinações legais e/ou regulamentares. A Neon segue todos os dispositivos da Resolução BCB nº 85/21 quanto à contratação de serviços relevantes nacionais ou estrangeiros;
  • Tratamento da informação: O tratamento de dados envolve seu processamento e armazenamento. A Neon possui critérios específicos e definidos para a contratações de serviços em que se requer o tratamento de dados. São fatores relevantes para Neon assegurar a disponibilidade, autenticidade e confidencialidade da informação de seus clientes. A Neon compartilha com o Banco Central do Brasil todo e qualquer tipo de incidente, incluindo os ocorridos em estruturas de parceiros; e
  • Disponibilidade, autenticidade e confidencialidade: Em comprometimento com um dos princípios de segurança da informação, a Neon mantém cópias de segurança (Backups) e testes de recuperação (Restore) de informações sempre que necessário; incluindo logs ou trilhas de auditoria do ambiente computacional para fins de auditoria e controles, bem como proteção contra modificações e acessos não autorizados. As informações devem ser classificadas conforme definido em política interna, orientando proprietários e consumidores das informações quanto aos controles aplicáveis, a julgar por sua sensibilidade e confidencialidade.

CONSCIENTIZAÇÃO E TREINAMENTO

Faz parte da estratégia de Segurança da Informação fomentar a cultura, conscientização, capacitação e educação contínua dos colaboradores, terceiros, prestadores de serviço, clientes e demais envolvidos sobre a disciplina de Segurança da Informação.

Estas campanhas são veiculadas por meio de e-mails, treinamentos, onboarding, redes sociais e outros recursos que sirvam ao propósito de elevar a consciência de todo o público sobre o seu papel fundamental na proteção aos colaboradores, terceiros e clientes.

CONTINUIDADE DE NEGÓCIOS

A Neon se preocupa com a continuidade de seus negócios e busca proteger todo o ambiente durante e após eventos de desastres, por isso acontinuidade de negócios, de sistemas de aplicativos e processos de negócios críticos foram planejadas e testadas.Pensando também na continuidade devido a incidentes cibernéticos realizando testes e simulando cenários.

SEGURANÇA FÍSICA DO AMBIENTE

Assim como no ambiente lógico, os controles de segurança física são aplicados aos ambientes nos quais são processadas informações da Neon e de seus clientes, usuários e outros. Para segurança destes ambientes, existem controles de acesso por parte de colaboradores, terceiros, prestadores de serviço e visitantes, mitigando o risco de acesso indevido e/ou não autorizado às informações e ao ambiente interno, bem como a proteção física e a disponibilidade de equipamentos e infraestrutura do escritório, entre outros.

MEDIDAS DISCIPLINARES

As violações a esta Política estão sujeitas às sanções disciplinares previstas nas políticas internas e na legislação vigente onde as empresas estiverem localizadas. A Neon disponibiliza um Canal de Denúncias totalmente anônimo para comunicação de qualquer contravenção ou perigo de contravenção a leis, normas, regulamentos internos ou exigências de entidades reguladoras.

DISPOSIÇÕES FINAIS E APROVAÇÕES

Para os casos de exceção ao cumprimento das regras previstas nesta Política, nas normas e nos procedimentos de segurança da informação, a área de Segurança da Informação apresentará a situação ao Comitê de Segurança da Informação para discussão e resolução.

Deve ficar à disposição do Banco Central do Brasil todo e qualquer documento cuja guarda é necessária conforme normativos, seguindo os critérios e datas ali citados.

Esta Política é declarada vigente a partir da aprovação e deverá ser revista anualmente ou em menor periodicidade sempre que houver alterações significativas no processo ou normas aplicáveis, o que ocorrer primeiro.