Este material foi elaborado pela DXA Investments e todos os seus direitos são reservados. Portanto, não se pode copiá-lo, reproduzi-lo ou distribuí-lo sem prévia e expressa concordância desta.
A presente política tem como objetivo detalhar as normas e procedimentos específicos de segurança da informação utilizados na DXA Investments (DXA), bem como a implementação de controles e processos para seu atendimento.
Desse modo, busca-se garantir que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
É de extrema importância que as informações e estratégias da gestora sejam mantidas em confidencialidade. Igual importância atribui-se à disponibilidade dessas informações. Somente os usuários autorizados podem ter acesso à informação e aos ativos correspondentes sempre que necessário.
Esta política está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país.
Este instrumento é projetado para assegurar que todos que utilizam os recursos de Tecnologia da Informação, sejam funcionários ou colaboradores, doravante denominados “Usuários”, tenham acesso à internet, correio eletrônico, dados da rede e telefonia providos pela DXA e possam fazer uso consciente e responsável dos mesmos.
A DXA poderá utilizar ferramentas, técnicas e tecnologias que permitirão o monitoramento, controle e armazenamento de registros de acesso e conteúdo por tempo indeterminado de quaisquer formas de comunicação que se utilizem da infraestrutura provida pela empresa.
A utilização dos recursos de acesso à internet, correio eletrônico, dados da rede e telefonia devem estar de acordo com o objetivo da DXA.
Todas as informações trocadas de acesso à internet, correio eletrônico, dados da rede e telefonia estarão vinculados ao login de acesso inicialmente fornecido, o qual é pessoal e intrasferível.
Todas as informações geradas pelos recursos de Tecnologia da Informação oferecidos aos seus funcionários e colaboradores dentro do ambiente de trabalho, sejam eles físicos ou lógicos são propriedade intelectual da DXA.
Responsabilidades
Cada usuário é responsável por sua conta corporativa, bem como suas respectivas senhas e pela segurança das informações trocadas e armazenadas sob sua responsabilidade, utilizar de forma ética e legal os recursos computacionais, dados de rede, internet, e quaisquer outros recursos fornecidos pela empresa para o cumprimento de sua função.
Existe um firewall que, atualmente, é o responsável pela coleta de dados e armazenamento de logs realizados ao acessar a internet.
É de responsabilidade de cada usuário manter as informações da empresa que estejam sob sua responsabilidade salvas no diretório de rede, que se encontra dividido em áreas e setores mapeados, de modo a garantir o backup e o sigilo das informações.
Proibições
É vedado ao usuário:
• Utilizar qualquer recurso de informação para difamar, prejudicar, subtrair, caluniar ou molestar outras pessoas ou empresas.
• Utilizar, examinar, copiar, armazenar, distribuir ou instalar programas ou qualquer material protegido por direito autoral (copyright).
• Quaisquer tipos de acesso e/ou alteração em dados não autorizados.
• Transmitir, difundir ou disponibilizar a terceiros informações, dados, conteúdos, mensagens, gráficos, desenhos, arquivos, som, imagem, fotografia, gravações, software ou qualquer classe de material que, de alguma forma, induza, incite ou promova atos ilegais, degenerativos, difamatórios, infames, violentos ou, em geral, contrários a lei e às políticas internas da DXA.
Usuários/ Senhas de acesso
Todos os computadores do escritório são administrados via domínio em um servidor Active Directory local. Este servidor possui a função de centralizar a administração de usuários e senhas de rede.
Cada usuário receberá um login de acesso com referência direta a primeira inicial do seu nome e seguida do seu último sobrenome, exceto nos casos em que for solicitada à área de Tecnologia da Informação.
Podem existir grupos de correio eletrônico com nomes referentes a áreas e/ou projetos, de modo a facilitar a comunicação interna ou externa. Esses devem estar vinculados a usuários reais, aos quais cabe a responsabilidade pela informação recebida ou encaminhada.
As senhas de acesso não devem ser compartilhadas ou divulgadas, evitando-se, assim, que outros usuários não permitidos tenham acesso a informações confidenciais ou que não lhes digam respeito.
As políticas de senhas de rede são:
• Mínimo de 12 caracteres.
• Devem ser alteradas a cada 60 dias.
• Não podem ser alteradas até 45 dias antes de sua expiração.
• São armazenadas de forma criptografada.
• Complexidade ativada e contendo o mínimo de 4 categorias abaixo em conjunto:
A quantidade máxima de tentativas inválidas não pode ir além de três, sendo o acesso bloqueado por 30 minutos de forma a evitar tentativas de descoberta de senhas por força bruta.
A senha de e-mail possui verificação em 2 etapas ativado, criando desta forma uma segunda forma de autenticação após a senha principal ser digitada. Todos os usuários possuem esta função implementada e mandatória.
Estações de trabalho
As estações de trabalho devem ser empregadas apenas para o cumprimento das funções atribuídas a cada usuário. Portanto, não é permitido a instalação e/ou acesso a qualquer aplicativo que possa reduzir o desempenho de suas atividades.
Nenhum usuário possui permissão de administrador para a realização de instalação de softwares e qualquer outra atividade que a função administrador seja necessária. Desta forma toda e qualquer necessidade desta natureza deverá ser encaminhada para a equipe de TI e após aprovada, será também executada por esta equipe.
A proteção de tela com bloqueio de senha a cada 15 minutos de inatividade, é obrigatória e imposta automaticamente através de GPO de forma que o usuário não possa desabilita-la.
Deve ser autorizada formalmente pela diretoria a utilização de qualquer dispositivo de entrada e saída de informações para backup temporário e/ou transferência de informações.
Gerenciamento de Rede, Uso e Acesso aos Sistemas
Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de suas atividades. É vedado, portanto, a execução de transações incompatíveis com suas funções.
Os acessos aos recursos críticos devem ser constantemente monitorados.
Deverão ser realizadas revisões periódicas das contas de usuários e seus respectivos privilégios. A organização deve padronizar os seguintes aspectos:
A comunicação dessas situações deve ocorrer por meio de procedimento efetuado pelo Departamento Pessoal e/ou Recursos Humanos imediatamente após o conhecimento/ciência do fato/motivo.
Descumprimento das regras e penalidades
O descumprimento ou inobservância de quaisquer regras ou políticas definidas neste instrumento ou em outros a serem implementados pela DXA estarão sujeitas a eventuais medidas internas e judiciais cabíveis.
Controle de acesso à informação privilegiada
A área de Risco e Compliance irá definir o acesso aos diretórios e sistemas de informações da Gestora, desta forma, somente os Colaboradores autorizados poderão acessar tais diretórios e sistemas de informação. Para o controle das informações, as seguintes premissas deverão ser observadas:
• Análise inicial e controle periódico a fim de verificar se o nível de acesso à determinado tipo de informação é adequado ao perfil do Colaborador;
• Informações mantidas em ambiente tecnológicos das Gestoras deverão manter registro de log acesso para inclusão, alteração e exclusão das informações;
• O acesso do Colaborador deverá ter identificação para controle (ID do Colaborador);
• Cancelamento imediato das autorizações de acesso concedidas a Colaboradores afastados ou desligados das Gestoras; e
• Documentos devem ser mantidos pelo prazo mínimo de 5 (cinco) anos, salvo se prazo superior for solicitado especificamente por órgão regulador e autorregulador.
Barreiras de controle das informações
Os Colaboradores detentores de Informações Confidenciais, em função de seus cargos ou atribuições na Gestora, devem estabelecer uma barreira de informações para os demais Colaboradores. De forma não exaustiva, as seguintes condutas devem ser observadas:
• O Colaborador deverá seguir as orientações do seu superior hierárquico para realizar o descarte das Informações Confidenciais mantidas em meios eletrônicos;
• Os Colaboradores que tiverem o acesso a determinados diretórios autorizado por controle de acesso não poderão reproduzi-los a terceiros ou a Colaboradores não autorizados;
• O Colaborador deve evitar transitar, em ambientes externos à sede da Gestora, com cópia de arquivos que contenham Informações Confidenciais. Caso seja necessário o transito do arquivo, este deverá ser protegido através senha de acesso;
• As Informações Confidenciais são tidas como informações sensíveis aos clientes e às Gestoras, desta forma, os Colaboradores devem evitar a discussão de tais assuntos em ambientes públicos ou em áreas expostas a grande circulação de pessoas;
• O ambiente virtual comporta diversas ameaças à segurança da informação, desta forma, o Colaborador deve manter níveis de segurança e comportamento adequados a evitar que tais ameaças possam afetar a segurança das Informações Confidenciais;
• As Gestoras disponibilizam ao Colaborador um e-mail corporativo que deverá ser utilizado exclusivamente para fins relacionados à sua atividade desenvolvida nas Gestoras. A utilização moderada daquele e-mail para assuntos particulares poderá ser tolerada, e caberá à área de Risco e Compliance monitorar a sua utilização.
A DXA mantém seus servidores/serviços trabalhando sempre em redundância, mantendo alta disponibilidade e minimizando o risco de inoperância de um recurso técnico (sistemas, comunicações, componentes, etc.). A DXA estabeleceu um conjunto de cenários de inoperância previamente definido e respectivos procedimentos, destinados a manter a continuidade dos processos e/ou serviços para cada aplicativo:
• Servidor de arquivos – File Server local e replicação automática para cloud.
• Firewall/Links de Dados – Firewall com links redundantes com regras de failover.
• Backup on-Site – Rotina diária de backup com retenção de 180dias.
• Backup Off-Site - Backup realizado para datacenter externo respeitando a ISO 27002 através de Dropbox.
O procedimento de backup é realizado diariamente, sendo certo que os dados são criptografados antes da transferência, através de conexão segura.
Manutenção de registros e Logs
Todos os documentos mantidos na base de dados da Gestora são confidenciais e somente poderão ser disponibilizados a terceiros em cumprimento às decisões judiciais ou solicitações oriundas de órgãos reguladores e autorreguladores no âmbito de suas atribuições e funções.
A rigor, as informações contidas na base de dados da Gestora deverão ser mantidas por, no mínimo, 5 (cinco) anos ou por prazo superior caso solicitado pela CVM, conforme determinado pela Instrução CVM nº 558/15. A área de Compliance informará às demais áreas sobre períodos de manutenção que excedam o prazo mencionado nesta Política.
Manutenção de registros eletrônicos
Os recursos computacionais da Gestora devem: (i) ser protegidos contra adulterações; e (ii) permitir a realização de auditorias e inspeções.
Todos os registros eletrônicos realizados pelas Gestoras deverão ser mantidos e estar disponíveis para atender os prazos legais e regulatórios, conforme indicado acima.
As informações mantidas em meios eletrônicos devem ser salvas em bases replicadas (backups) e devem permanecer íntegras e acessíveis durante todo o período de manutenção referido acima. O acesso a essas bases deve ser limitado somente a pessoas autorizadas pela área de Compliance
Backups
Deverão ser adotados, procedimentos de cópias de segurança (backup) e recuperação (restore) de informações.
Para implementação da cópia de segurança, deve-se levar em consideração a importância da informação, o nível de classificação utilizado, sua periodicidade de atualização e, também, sua volatilidade, conforme as seguintes premissas:
São de responsabilidade da prestadora de serviços de tecnologia da informação da DXA Investments os seguintes procedimentos relacionados à política de backup de dados:
A política de backup, de acordo com o que se busca, deverá ocorrer da seguinte maneira:
Esses backups devem ser automáticos e, preferencialmente, em períodos que não prejudique o desempenho das atividades da DXA
Antes do descarte de discos ou outros equipamentos deverá ser assegurado que as informações importantes foram salvas em cópias de segurança e que as informações não poderão ser recuperadas a partir desses discos ou equipamentos descartados
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.