1. OBJETIVO

Esta Política de Segurança da Informação e Cibernética (Externa) tem como objetivo estabelecer “Princípios” e “Diretrizes”, capazes de permitir aos nossos colaboradores, parceiros comerciais e prestadores de serviço, seguirem padrões de comportamento desejáveis e aceitáveis, de acordo com a legalidade e boas práticas, com o intuito de garantir a confidencialidade, a integridade e a disponibilidade das informações de propriedade do Banco Luso Brasileiro (“Banco”), ou informações mantidas sob sua guarda e visa reforçar o comprometimento da Alta Administração com a melhoria contínua dos procedimentos relacionados à Segurança da Informação e Cibernética.

2. DOCUMENTOS COMPLEMENTARES

Código de Conduta Ética

3. DOCUMENTOS DE REFERÊNCIA

Resolução CMN nº 4.893|21: Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

Lei 13.709/2018: Lei Geral de Proteção de Dados (“LGPD”).

4. DEFINIÇÕES, CONCEITOS E SIGLAS

Alta Administração: Estrutura organizacional compreendida a partir da Diretoria Estatutária e Conselho de Administração;

Ambiente Cibernético: Ambiente virtual no qual o usuário estabelece relações sociais;

Ameaça: Qualquer circunstância ou evento com o potencial de explorar vulnerabilidades e causar danos a sistemas, redes ou dados. Ela pode ser de natureza interna ou externa e pode incluir ações deliberadas, como ataques cibernéticos, ou acidentais, como falhas de sistemas;

ANPD: Agência Nacional de Proteção de Dados;

Ativo: Conjunto de bens e direitos do Banco;

BACEN| Banco Central do Brasil: Autarquia Federal integrante do Sistema Financeiro Nacional;

Colaboradores: Membros estatutários, funcionários, estagiários e menor aprendiz;

Criptografia: Conjunto de técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário, tornando impraticável a leitura por pessoa não autorizada.

Dados Pessoais: Qualquer informação relacionada a uma pessoa física identificada ou identificável;

Diretrizes: Objetivos e ações necessárias à efetivação e manutenção do direcionamento expresso pelas políticas;

Incidente de Segurança da Informação: Todo evento que fere um ou mais princípios da Segurança da Informação (confidencialidade, integridade, disponibilidade, autenticidade e a Irretratabilidade);

Informações Corporativas: Conjunto de dados organizados que fazem sentido e que geram valor para a organização;

Instrumentos Normativos (IN): Documento que estabelece padrões classificados como Políticas, Diretrizes, Normas e Procedimentos Normativos.

Irretratabilidade: Princípio de segurança da informação por meio do qual é garantido o não repúdio às informações fornecidas;

Hardening: É o processo de reforçar a segurança de sistemas e redes, reduzindo suas vulnerabilidades por meio da remoção de funcionalidades desnecessárias, aplicação de patches, configuração segura de serviços e implementação de controles rigorosos de acesso;

Malware: Termo genérico para descrever qualquer software malicioso que visa infectar, danificar ou obter acesso não autorizado a sistemas, redes ou dispositivos. Exemplos comuns incluem vírus, worms, trojans e ransomware;

Phishing: Técnica de fraude que envolve o uso de comunicações eletrônicas enganosas, como e-mails, mensagens de texto ou sites falsificados, para enganar indivíduos e induzi-los a revelar informações confidenciais, como senhas e dados financeiros;

Política: Direcionamento expresso pela visão, missão e valores do Banco.

Princípios: Preceitos elementares ou requisitos que o Banco deve observar na realização de suas atividades, buscando uma conduta exigida nos relacionamentos, operações e serviços, em seu ambiente interno ou externo.

Proteção da Informação: Qualquer ação que tenha como objetivo preservar o valor que as informações possuem para um indivíduo ou uma organização.

Ransomware: Outro tipo de malware que “sequestra” algum dado sigiloso do usuário ou bloqueia o celular da vítima e, posteriormente, cobra pelo “resgate” dessas informações ou desbloqueio do aparelho.

Responsabilidade: Consiste na obrigação de responder corporativa ou localmente por determinadas atribuições.

Risco: Definido como a quantificação da incerteza, no contexto da segurança da informação pode ser entendido como o potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto desses ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.

Risco Cibernético: Exposição a danos e perdas resultantes da ocorrência de incidentes cibernéticos;

Segurança Cibernética: Refere-se ao conjunto de práticas, tecnologias e processos utilizados para proteger redes, dispositivos, programas e dados contra-ataques cibernéticos, danos ou acessos não autorizados. Seu objetivo é garantir os cinco pilares fundamentais da segurança da informação;

Confidencialidade: Garantir que apenas as pessoas autorizadas possam acessar as informações;

Integridade: Assegurar que os dados não sejam alterados indevidamente e se mantenham precisos e confiáveis;

Disponibilidade: Garantir que as informações e sistemas estejam acessíveis quando necessários;

Autenticidade: Verificar a identidade das partes envolvidas no acesso e na manipulação de informações;

Irretratabilidade (não-repúdio): Assegurar que ações ou transações não possam ser negadas pelas partes envolvidas.

Terceiros: Parceiros de negócio, prestadores de serviços e fornecedores;

Vulnerabilidade: Fragilidade ou falha em um sistema, software ou processo que pode ser explorada por uma ameaça para causar danos ou obter acesso não autorizado. As vulnerabilidades podem resultar de falhas de design, implementação ou configuração inadequada;

Vírus: Tipo de malware que infecta outros arquivos, alterando seu conteúdo, de forma que eles passem a ter códigos maliciosos.

Worm: Ao invés de infectar outros arquivos, este tipo de malware procura se espalhar para outros dispositivos, como por exemplo através de e-mail e mensagens via app de mensagens.

5. ABRANGÊNCIA

Estão obrigados a observar, cumprir e fazer cumprir os termos e condições desta política e demais regulamentos correlatos, os colaboradores do Banco em qualquer nível hierárquico, os Parceiros Comerciais, Fornecedores e Prestadores de Serviços contratados, nas suas esferas de competência, zelando pela materialização, realização eficaz das regras e princípios da segurança e proteção da informação, no compromisso com os critérios legais e éticos que envolvam o Banco, aplicando-se as mesmas orientações para terceiros.

6. DETALHAMENTO

6.1. Princípios

6.1.1. Princípios | Gerais

Ética e Legalidade: Atuar em conformidade com a legislação e regulação vigentes, com padrões de ética e conduta.

Transparência: Garantir a lisura do negócio para fortalecer os laços entre as partes interessadas, garantindo que haja boas relações e engajamento.

Melhoria Contínua: Compromisso de aperfeiçoar os padrões de ética e conduta, aplicação de medidas corretivas, adequados níveis de segurança, qualidade dos produtos ofertados e eficiência dos serviços.

6.1.2. Princípios | Segurança da informação

Confidencialidade: Garantir que o acesso às informações seja restrito apenas às pessoas autorizadas, prevenindo o uso indevido de dados sensíveis;

Integridade: Assegurar que as informações não sejam alteradas indevidamente, mantendo sua exatidão e confiabilidade, de modo a evitar a modificação não autorizada de dados;

Disponibilidade: Garantir que as informações e sistemas estejam acessíveis e operacionais sempre que necessário, permitindo que os processos de negócio funcionem sem interrupções;

Autenticidade: Verificar a identidade das partes envolvidas no processo de acesso e manipulação das informações, assegurando que os dados e sistemas sejam acessados apenas por usuários devidamente autenticados;

Irretratabilidade (Não-repúdio): Assegurar que nenhuma das partes envolvidas em uma transação ou comunicação possa negar a autoria de suas ações ou transações realizadas, garantindo rastreabilidade e responsabilidade.

6.2. Diretrizes

A fim de proteger as informações, o Banco estabelece diretrizes a serem seguidas, visando a implementação de controles de segurança que permeiam seu compromisso e responsabilidade com a segurança da informação por todos os níveis hierárquicos, sendo tais diretrizes as seguintes:

a) As informações do Banco, clientes e usuários, colaboradores e terceiros devem ser tratadas de forma ética, sigilosa e legal, evitando-se mau uso e exposição indevida;

b) Classificar os dados e as informações quanto a sua relevância;

c) O controle e o tratamento da informação de acesso restrito ficam limitados às pessoas que tenham necessidade de conhecê-la;

d) Definir parâmetros a serem utilizados para identificar a relevância dos eventos;

e) Utilizar mecanismos de segurança (Banco e terceiros) atualizados e modernos que acompanham a evolução tecnológica do mercado capazes de prestar suporte e proteção correspondentes ao Banco;

f) Utilizar as informações de forma transparente e apenas para a finalidade para a qual foi coletada;

g) Garantir identificação única a cada colaborador sendo pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;

h) Assegurar que senhas de acesso sejam mantidas secretas e atribuídas a cada colaborador, sendo realizado o aculturamento quanto a proibição de seu compartilhamento;

i) Elaborar cenários de incidentes a serem considerados nos planos de contingência de negócios;

j) Definir procedimentos e controles preventivos e de tratamento dos incidentes a serem adotados por empresas terceiras que manuseiem dados ou informações sensíveis, ou relevantes para as atividades operacionais;

k) Implementar ações de capacitação e avaliação periódica;

l) Manter ações informativas aos clientes e usuários quanto a precauções na utilização de produtos e serviços financeiros;

m) Reportar para a área de Segurança da Informação todos os riscos relacionados às informações do Banco e seus clientes, para que sejam analisados, avaliados e tratados de acordo com a situação.

6.3. Governança

O Banco desde a sua concepção, preza pela relevância dos ativos de informação no mercado financeiro, de modo que as informações produzidas ou recebidas devem ser utilizadas com senso de responsabilidade, de modo ético e seguro em benefício exclusivo dos negócios corporativos.

Desse modo, para exercer de forma aprimorada a atividade bancária, o banco se baseia em princípios primordiais de segurança da informação, a fim de preservar, monitorar e tratar a propriedade da informação de maneira eficiente, observando sua confidencialidade, integridade e disponibilidade.

A área de Segurança da Informação deve orientar os processos de levantamento, avaliação e tratamento das vulnerabilidades e das ameaças capazes de deixar os ativos de informação em situação de risco considerada inaceitável pelo Banco Central do Brasil.

Assim, devem ser implementados controles e procedimentos específicos, incluindo aqueles voltados à rastreabilidade da informação, visando prevenir, detectar e reduzir vulnerabilidades técnicas, processuais e jurídicas, minimizando os riscos de incidentes relacionados ao Ambiente Cibernético, de forma a garantir a segurança das informações.

6.4. Abrangência do Conteúdo

O conteúdo desta política deve ser compatível com o porte, o perfil de risco e o modelo de negócio do Banco, a natureza das operações e a complexidade dos produtos, serviços, atividades e processos do Banco, a sensibilidade dos dados e das informações sob sua responsabilidade, observando os princípios e diretrizes definidos pela alta administração para implementação de procedimentos que visem assegurar a confidencialidade, a integridade e a disponibilidade das informações detidas e utilizadas pelo Banco.

6.5. Regras e Procedimentos

6.5.1. Tratamento das Informações

As informações corporativas devem ser classificadas de acordo com seu grau de importância, sigilo e disponibilidade em dados relevantes, dados sensíveis e classificadas por níveis que tratam informações confidenciais, uso interno e pública e deve abranger os serviços de processamento, armazenamento de dados e de computação em nuvens prestados no país ou no exterior, devendo estas serem disponibilizadas somente a pessoas autorizadas, visando a redução/mitigação de riscos como vazamentos e compartilhamentos indevidos.

6.5.2. Medidas de controle

O Banco deve monitorar e registrar o uso das informações tratadas e veiculadas em seu ambiente, estabelecendo procedimentos e controles, como trilhas de auditoria e registros de atividades em todos os pontos e sistemas que entender necessário, para reduzir a vulnerabilidade a incidentes de segurança de dados, bem como outras adversidades que possam vir a ocorrer, destaca-se as seguintes medidas técnicas a serem adotadas como: autenticação; prevenção a vazamento de informações; testes de intrusão; varredura de vulnerabilidades; controle contra software malicioso; Criptografia, rastreabilidade; segmentação de rede; manutenção de cópias de segurança dos dados e das informações.

O Banco deverá realizar uma análise robusta dos resultados de atividade de monitoramento, bem como definir a periodicidade de revisão do nível de sensibilidade das informações, quando necessário.

6.5.3. Contratação de Terceiros

O processo de contratação de terceiros relevantes que tratam informações dentro ou fora das dependências do Banco, devem ser orientados por regras e procedimentos claros a serem observados com rigor e devem se comprometer e agir de acordo com essa Política, observando e respeitando os pilares da Segurança da Informação, tais quais: Confidencialidade, Integridade e Disponibilidade.

No caso de qualquer nova contratação, alteração, adequação ou encerramento de contratos vigentes que se enquadrem nesta Política, deverá ser informada às áreas de Segurança da Informação e Prevenção a Fraudes e Jurídico para providências internas de efetivação ou do encerramento do relacionamento.

O Banco ao efetuar a contratação de determinado parceiro, prestador de serviços e fornecedor, com o qual serão compartilhadas informações confidenciais e sensíveis, necessita:

a) Assegurar que a contratação não poderá causar prejuízos ao regular funcionamento do Banco, tampouco qualquer embaraço à atuação do Banco Central do Brasil;

b) Definir, em momento anterior à contratação, quais os países e as regiões em cada país onde os serviços poderão ser prestados e os dados e informações poderão ser armazenados e processados;

c) Considerar as alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato;

d) Analisar a criticidade do serviço e o nível da sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados, considerando a classificação dos dados e das informações quanto à relevância;

e) Documentar a avaliação de capacidade técnica do parceiro, prestador de serviços e fornecedor.

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, deve ser comunicada ao Banco Central do Brasil, contendo a denominação da empresa contratada, os serviços relevantes contratados e a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, bem como alterações contratuais ocorridas nessas informações, sendo observado o prazo de dez dias após a contratação ou alteração dos serviços. No ato da assinatura do contrato deverá ser assinado o termo aditivo contemplando as obrigações e responsabilidades da empresa contratada em relação a Resolução CMN nº4.893/21.

6.5.4. Ações de Aculturamento e Responsabilidades

Os colaboradores, parceiros, prestadores de serviços e fornecedores relevantes do Banco, devem ter conhecimento dessa Política, versão interna e/ou externa conforme o caso, sendo comunicada e divulgada adequadamente.

Os colaboradores e terceiros relevantes que realizem qualquer forma de acesso, manipulação de informações ou utilização de recursos tecnológicos do Banco devem se comprometer e agir de acordo com essa Política, observando e respeitando os pilares da Segurança da Informação.

6.5.5. Treinamento e Capacitação

O Banco promoverá periodicamente, treinamentos para os seus colaboradores e terceiros relevantes sobre a presente Política, no início de relacionamento ou quando de atualizações, e, aplicar testes de avaliação da assimilação do conteúdo para os conhecimentos adquiridos.

6.5.6. Medidas de Prevenção para Clientes e Usuários

O Banco trabalha constantemente para manter seu ambiente cibernético seguro, tornando a Segurança da Informação a sua prioridade, o que é visível em suas políticas e procedimentos.

Em contrapartida, é essencial destacar que a responsabilidade pela Segurança da Informação também depende de seus clientes e usuários, os quais devem estar atentos às “pegadinhas”, “golpes cibernéticos” e softwares maliciosos que circulam pela internet.

Os cibercriminosos, por meio dos artifícios supracitados, buscam a obtenção de dados e informações de forma ilícita, para, assim, angariar vantagens indevidas.

Dessa forma, a fim de orientar os clientes e/ou usuários a colaborarem para a manutenção de um ambiente online seguro, o Banco Luso Brasileiro recomenda o que se segue:

a) Os dados de identificação (login e senha) devem ser memorizados, não sendo registrados em outros ambientes digitais ou físicos, tampouco informados a terceiros, ainda que sejam de seu convívio familiar. Tal medida corrobora para a manutenção da confidencialidade de suas informações;

b) A senha deve ser alterada não apenas periodicamente, mas sempre que suspeitar da violação de sua confidencialidade;

c) Devem ser elaboradas senhas de qualidade, o que significa dizer que devem ser fortes (contendo letras, números, caracteres especiais) e únicas, não devendo ser repetidas;

d) Não deve ser autorizado o uso do equipamento pessoal do cliente e/ou usuário por outras pessoas enquanto estiver conectado com sua identificação (login e senha);

e) O equipamento pessoal do cliente e/ou usuário deve estar sempre bloqueado no caso em que ele for se ausentar do local.

6.6. Responsabilidades

6.6.1. Conselho de Administração

a) Aprovar a Política de Segurança da Informação e Cibernética Externa.

6.6.2. Parceiros, Prestadores de Serviço e Fornecedores

Todos os parceiros, prestadores de serviço e fornecedores relevantes que tratam informações dentro ou fora das dependências do Banco, além de observarem os instrumentos normativos relacionados à contratação de terceiros, deverão cumprir e fazer cumprir as seguintes determinações:

a) Certificar total conhecimento dos requisitos a serem cumpridos nos contratos firmados, alinhados a legislação e regulamentação vigente;

b) Fornecer acesso ao Banco aos dados e às informações a serem processadas ou armazenadas no momento da prestação de serviços;

c) Quando solicitado, responder ao questionário de adoção de práticas de governança corporativa e de Segurança da Informação.

d) Observar os princípios basilares da Segurança da Informação, tais quais: a confidencialidade, a integridade e a disponibilidade, bem como a recuperação dos dados e das informações processadas ou armazenadas pelo prestador de serviço;

e) Comprovar a aderência às certificações exigidas pela instituição para a prestação do serviço a ser contratado, quando solicitado;

f) Autorizar o acesso do Banco aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

g) Disponibilizar informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

h) Identificar e proceder com a segregação dos dados dos usuários finais do Banco por meio de controles físicos ou lógicos;

i) Garantir qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais do Banco;

j) No caso da execução de aplicativos por meio da internet, deve-se adotar controles que mitigam os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo;

k) Certificar total conhecimento sobre todos os itens desta política e firmar termo de responsabilidade, assumindo o compromisso para o cumprimento integral de todos os itens nela constantes.

6.6.3. Segurança da Informação e Prevenção a Fraudes

a) Assegurar a devida segregação de função nos sistemas do Banco, mitigando o risco de conflito de acessos;

b) Revisar anualmente os acessos dos sistemas, a fim de realizar adequações em usuários/perfis/sistemas necessários;

c) Participar da implantação de novos sistemas do Banco, a fim de definir ou direcionar os perfis de acesso dos usuários, assegurando a devida segregação de função já na implantação;

d) Coordenar o Comitê de Segurança da Informação e Privacidade dos Dados;

e) Apresentar anualmente as melhorias e respostas à incidentes através de Relatório anual regulamentar;

f) Revisar anualmente o Plano de Continuidade de Negócios, realizando a atualização, se necessário, dos documentos relacionados;

g) Registrar eventuais ocorrências relevantes ocorridas, as principais ações tomadas para solução e planos de ação quando necessário, para mitigação de riscos identificados;

h) Comunicar e promover treinamentos periódicos de colaboradores e parceiros em relação à Segurança da Informação e Continuidade de Negócios;

i) Promover a gestão da Segurança da Informação no que se refere aos processos corporativos;

j) Revisar, quando se fizer necessário, a Política de Segurança da Informação e Cibernética e, após a aprovação do Conselho de Administração, acompanhar sua publicação nos canais disponíveis para conhecimento dos envolvidos;

k) Estar em conformidade com a legislação pertinente e vigente.

6.6.4. Segurança da Informação e Prevenção a Fraudes | Tecnologia da Informação

a) Promover a gestão da Segurança da Informação no que se refere aos processos tecnológicos e ferramentas utilizadas;

b) Analisar tecnicamente os incidentes de Segurança da Informação e de Prevenção a Fraudes;

c) Atuar na implementação de soluções para melhoria contínua da Segurança Tecnológica;

d) Promover o processo de Hardening do ambiente tecnológico;

e) Monitorar o ambiente tecnológico, realizando a atualização e análise de tentativas de ataques identificadas;

f) Atuar em situações que necessitem de investigação Forense, quando necessário; comunicar imediatamente à Diretoria e ao Encarregado (“DPO”) sobre incidentes que tenham como consequência o vazamento de Dados Pessoais sobre tratamento do Banco, independente de quem sejam os titulares dos dados vazados.

Fornecer ao DPO as informações e demais subsídios a respeito dos incidentes, a fim de viabilizar o atendimento e/ou reporte de informações a que o Banco está obrigado, seja para a ANPD, BACEN e/ou titulares dos Dados Pessoais.

6.6.5. Encarregado (“DPO”)

a) Apoiar as áreas de Tecnologia e Segurança da Informação e Prevenção a Fraudes em assuntos e demandas relacionadas à legislação que dispõe sobre o tratamento de dados pessoais, emitindo pareceres, bem como fornecendo subsídios para tomada de decisão pela diretoria.

b) Realizar a interlocução entre o Banco e a Agência Nacional de Proteção de Dados (“ANPD”) em assuntos relacionados ao tratamento de dados pessoais pelo Banco.

7. VIGÊNCIA

Esta Política entra em vigor na data de sua publicação e vigorará por prazo indeterminado, devendo ser revisada, no mínimo, anualmente, ou, quando necessário, caso haja alguma mudança nas normas internas do Banco, na alteração de Diretrizes de segurança da informação e cibernética, nos objetivos de negócio e, ainda, caso seja requerido pelo órgão regulador competente.