Objetivo
A política de segurança cibernética visa definir as diretrizes e procedimentos para o gerenciamento da segurança da informação cibernética da F2b, a fim de prevenir, detectar e reduzir vulnerabilidades a incidentes relacionados com o ambiente cibernético, assim como assegurar a confidencialidade, a integridade e a disponibilidade das informações dos clientes e da empresa, observando as regulamentações aplicáveis e melhores práticas de mercado.
Diretrizes
A F2b tem como diretrizes básicas os seguintes princípios de segurança da informação:
Gestão da Segurança Cibernética
Para assegurar que as informações estejam adequadamente protegidas, a gestão da segurança cibernética da F2b compreende a adoção de procedimentos e controles que visam (i) a redução da vulnerabilidade a incidentes, (ii) a rastreabilidade da informação, sobretudo aquelas consideradas como sensíveis, e (iii) o registro, a análise da causa raiz e do impacto, bem como o controle dos efeitos de eventuais incidentes relevantes para as atividades da instituição.
Para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético e também garantir a rastreabilidade da informação, a F2b conta com mecanismos do ambiente computacional na nuvem como autenticação, criptografia, firewall e firewall de aplicativo, além de filtros e travas implementados nos aplicativos que previnem contra vazamento de informações e as ações de softwares maliciosos.
Gestão de Riscos em Prestadores de Serviços
A área de TI da F2b atua constantemente em parceira com os fornecedores de prestação de serviços, a fim de que, quaisquer ocorrências de incidentes relevantes relacionados com as informações armazenadas ou processadas da F2b, sejam tempestivamente comunicadas à Diretoria Executiva e devidamente sanadas.
Classificação dos Dados e das Informações
As informações são classificadas de acordo com a criticidade e sensibilidade dos dados dos clientes e da própria instituição. Os níveis de classificação adotados pela F2b consideram a informação como restrita, confidencial, interna e pública. A F2b considera que todos os dados de clientes são confidenciais. As demais informações são classificadas de acordo com as necessidades relacionadas ao negócio, o acesso ou sua restrição, e os impactos no caso de uso indevido.
Gestão de Acessos
Os acessos aos dados dos clientes e informações da F2b, sejam aqueles concedidos aos colaboradores ou prestadores de serviços, ocorrem mediante análise das necessidades.
Todos os acessos efetuados por colaboradores ou prestadores de serviços são rastreáveis e, revisados e excluídos periodicamente, o que permite identificar: (i) quem fez o acesso; (i) quando foi feito o acesso, (iii) o que foi acessado, (iv) quanto tempo de acesso, e (v) como o acesso foi realizado. As informações dos registros (logs) ou trilhas de auditoria são protegidas e bloqueadas contra quaisquer modificações e acessos não autorizados.
Conscientização sobre Segurança Cibernética
Os clientes da F2b contam com uma cartilha de segurança cibernética disponível em seu sítio, a qual presta informações sobre precauções na utilização de produtos e serviços oferecidos pela instituição. Dentre as orientações, está a recomendação pela utilização do teclado virtual que, por ser mais seguro, não deixa registros dos números digitados no computador, ou mesmo na rede, bem como a possibilidade de restrição de acesso de IPs.
Plano de Respostas a Incidentes de Segurança Cibernética
É papel e responsabilidade da área de TI da F2b, efetuar o monitoramento da segurança do ambiente tecnológico, bem como realizar o registro e controle dos efeitos de incidentes relevantes da instituição. Todos os incidentes são avaliados, registrados e comunicados à Diretoria Executiva.
O tratamento para prevenção e resposta a incidentes na F2b, considera a análise de eventos e alertas que são classificados de acordo com os critérios estabelecidos pela instituição, levando em consideração a sensibilidade dos dados, a causa raiz e o impacto na operação.
Canal de Comunicação
No caso de alertas de segurança e/ou incidentes, as notificações devem ser enviadas para suporte@f2b.com.br.