Política de Segurança da Informação e Cibersegurança

A Guardian Sociedade de Crédito Direto S.A. ("Guardian SCD") reconhece a segurança da informação e a cibersegurança como elementos fundamentais para a continuidade das operações, a proteção de dados, a confiança dos clientes e a conformidade com as regulamentações aplicáveis. Esta Política estabelece diretrizes e controles para garantir a confidencialidade, integridade e disponibilidade das informações da instituição, seus clientes e parceiros.

1. Objetivo

Esta Política tem como objetivo estabelecer diretrizes, princípios e responsabilidades para a gestão da segurança da informação e cibersegurança, visando:

  • Proteger as informações da Guardian SCD, seus clientes, colaboradores e parceiros;
  • Garantir a confidencialidade, integridade e disponibilidade das informações;
  • Assegurar a continuidade dos negócios e a resiliência operacional;
  • Prevenir, detectar e responder a incidentes de segurança da informação;
  • Atender aos requisitos regulatórios e às melhores práticas de mercado;
  • Promover uma cultura de segurança da informação em toda a organização.

2. Abrangência

Esta Política aplica-se a todos os colaboradores, administradores, prestadores de serviços, fornecedores, parceiros comerciais e demais partes que tenham acesso às informações e sistemas da Guardian SCD.

Aplica-se também a todos os ativos de informação, incluindo dados estruturados e não estruturados, sistemas, aplicações, infraestrutura de TI, dispositivos móveis, ambientes de nuvem e informações em formato físico.

3. Princípios Fundamentais

A segurança da informação na Guardian SCD fundamenta-se nos seguintes princípios:

3.1. Confidencialidade

Garantir que as informações sejam acessadas somente por pessoas autorizadas e para finalidades legítimas, protegendo-as contra acessos não autorizados, divulgação indevida ou vazamento.

3.2. Integridade

Assegurar a exatidão, completude e confiabilidade das informações, protegendo-as contra alterações não autorizadas, corrupção ou perda acidental.

3.3. Disponibilidade

Garantir que as informações e sistemas estejam disponíveis e acessíveis quando necessário, mantendo a continuidade das operações e minimizando interrupções.

3.4. Conformidade

Assegurar o cumprimento de leis, regulamentações, normas e melhores práticas aplicáveis à segurança da informação e proteção de dados, incluindo a Resolução CMN nº 4.893/2021 e a Lei Geral de Proteção de Dados (LGPD).

4. Classificação da Informação

As informações da Guardian SCD são classificadas de acordo com seu grau de sensibilidade e criticidade:

  • Pública: Informações que podem ser divulgadas ao público sem restrições;
  • Interna: Informações de uso interno que não devem ser divulgadas externamente;
  • Confidencial: Informações sensíveis cuja divulgação não autorizada pode causar danos à instituição, clientes ou terceiros;
  • Restrita: Informações altamente sensíveis e críticas, cujo acesso é limitado a pessoas estritamente autorizadas.

Cada nível de classificação possui controles específicos de proteção, armazenamento, transmissão e descarte.

5. Gestão de Riscos de Segurança da Informação

A Guardian SCD mantém processo contínuo de gestão de riscos de segurança da informação, que inclui:

  • Identificação de ativos de informação e suas criticidades;
  • Avaliação de ameaças e vulnerabilidades;
  • Análise e avaliação de riscos;
  • Implementação de controles de mitigação;
  • Monitoramento e revisão contínuos dos riscos;
  • Testes periódicos de eficácia dos controles;
  • Atualização dos controles conforme evolução das ameaças.

6. Controles de Segurança da Informação

6.1. Controle de Acesso

O acesso às informações e sistemas é concedido com base no princípio da necessidade de conhecimento e menor privilégio necessário, observando:

  • Autenticação forte de usuários;
  • Autorização baseada em perfis e funções;
  • Revisões periódicas de acessos e privilégios;
  • Revogação imediata de acessos em caso de desligamento ou mudança de função;
  • Monitoramento e registro de acessos a informações sensíveis;
  • Controles de acesso físico a áreas críticas.

6.2. Criptografia

Informações sensíveis devem ser protegidas por criptografia adequada:

  • Criptografia de dados em trânsito (comunicações e transferências);
  • Criptografia de dados em repouso (armazenamento);
  • Uso de algoritmos e padrões de criptografia reconhecidos e seguros;
  • Gestão segura de chaves criptográficas;
  • Revisão e atualização periódica dos controles criptográficos.

6.3. Segurança de Redes e Comunicações

A infraestrutura de redes e comunicações é protegida por:

  • Segmentação de redes e implementação de zonas de segurança;
  • Firewalls e sistemas de detecção e prevenção de intrusões;
  • Proteção contra ameaças cibernéticas (malware, ransomware, phishing);
  • Monitoramento contínuo de tráfego de rede;
  • Proteção de perímetro e conexões externas;
  • Uso de redes privadas virtuais (VPN) para acessos remotos.

6.4. Segurança de Aplicações

O desenvolvimento e manutenção de aplicações observam práticas de segurança, incluindo:

  • Desenvolvimento seguro (Secure Development Lifecycle);
  • Testes de segurança e análise de vulnerabilidades;
  • Validação de entradas e tratamento seguro de dados;
  • Gestão de vulnerabilidades e aplicação de patches;
  • Revisão de código e testes de penetração;
  • Controles de mudança e versionamento.

6.5. Proteção contra Malware

Controles de proteção contra códigos maliciosos incluem:

  • Implementação de soluções antimalware e antivírus;
  • Atualização contínua de assinaturas e definições;
  • Varreduras periódicas de sistemas e dispositivos;
  • Proteção de endpoints e dispositivos móveis;
  • Filtros de conteúdo web e e-mail;
  • Educação de usuários sobre ameaças.

6.6. Backup e Recuperação

A continuidade e recuperação de informações são asseguradas por:

  • Realização periódica de cópias de segurança (backups);
  • Armazenamento seguro e redundante de backups;
  • Testes regulares de restauração;
  • Proteção de backups contra acessos não autorizados;
  • Retenção de backups conforme requisitos regulatórios;
  • Procedimentos documentados de recuperação.

7. Gestão de Incidentes de Segurança da Informação

A Guardian SCD mantém processo estruturado para gestão de incidentes de segurança da informação:

  • Identificação e detecção de incidentes;
  • Classificação e priorização conforme severidade e impacto;
  • Resposta e contenção imediata;
  • Investigação e análise de causa raiz;
  • Erradicação e recuperação;
  • Comunicação a partes interessadas e autoridades, quando aplicável;
  • Lições aprendidas e melhorias nos controles;
  • Registro e documentação de todos os incidentes.

Todos os colaboradores devem reportar imediatamente qualquer suspeita de incidente de segurança aos canais designados.

8. Continuidade de Negócios e Resiliência

A Guardian SCD mantém Plano de Continuidade de Negócios e Plano de Recuperação de Desastres para assegurar a resiliência operacional, incluindo:

  • Análise de impacto nos negócios (BIA);
  • Definição de objetivos de tempo de recuperação (RTO) e ponto de recuperação (RPO);
  • Implementação de infraestrutura redundante e redundância de sistemas críticos;
  • Procedimentos de failover e recuperação;
  • Testes periódicos dos planos de continuidade;
  • Capacitação das equipes em procedimentos de continuidade;
  • Revisão e atualização contínua dos planos.

9. Segurança na Relação com Terceiros

A contratação e gestão de prestadores de serviços, fornecedores e parceiros observam requisitos de segurança da informação:

  • Avaliação de riscos de segurança na contratação;
  • Inclusão de cláusulas de segurança da informação e proteção de dados em contratos;
  • Definição de requisitos mínimos de segurança;
  • Monitoramento contínuo da conformidade dos terceiros;
  • Auditorias e avaliações periódicas;
  • Gestão de acessos de terceiros aos sistemas e informações;
  • Procedimentos de encerramento seguro de relacionamentos.

10. Segurança em Ambientes de Nuvem

A utilização de serviços em nuvem observa controles específicos de segurança:

  • Avaliação de provedores quanto a certificações e conformidade;
  • Classificação de dados e definição de controles adequados;
  • Criptografia de dados armazenados em nuvem;
  • Gestão de identidades e acessos;
  • Monitoramento de atividades e eventos de segurança;
  • Definição de responsabilidades compartilhadas com provedores;
  • Procedimentos de portabilidade e saída de dados.

11. Segurança Física e Ambiental

A proteção física de instalações, equipamentos e informações inclui:

  • Controles de acesso físico a áreas críticas;
  • Sistemas de monitoramento e vigilância;
  • Proteção contra ameaças ambientais (incêndio, inundação, etc.);
  • Condições ambientais adequadas para equipamentos;
  • Descarte seguro de equipamentos e mídias;
  • Proteção de documentos físicos sensíveis;
  • Política de mesa limpa e tela limpa.

12. Conscientização e Treinamento

A Guardian SCD promove programas contínuos de conscientização e treinamento em segurança da informação:

  • Treinamento inicial para novos colaboradores;
  • Treinamentos periódicos de atualização e reciclagem;
  • Campanhas de conscientização sobre ameaças e boas práticas;
  • Simulações de ataques (phishing, engenharia social);
  • Orientações específicas para áreas de maior risco;
  • Disponibilização de materiais de consulta e orientação;
  • Comunicação de incidentes e lições aprendidas.

13. Conformidade e Auditoria

A Guardian SCD assegura a conformidade com requisitos regulatórios e realiza auditorias periódicas:

  • Monitoramento contínuo da conformidade com leis e regulamentações;
  • Auditorias internas periódicas dos controles de segurança;
  • Auditorias externas independentes;
  • Avaliações de conformidade com frameworks e normas (ISO 27001, NIST, etc.);
  • Registro e documentação de controles e evidências;
  • Tratamento de não conformidades e implementação de melhorias;
  • Comunicação com reguladores quando aplicável.

14. Responsabilidades

Todos os colaboradores, administradores e terceiros são responsáveis pela segurança da informação. As responsabilidades específicas incluem:

  • Alta Administração: Aprovar políticas, garantir recursos adequados e promover a cultura de segurança da informação;
  • Área de Segurança da Informação: Implementar, monitorar e revisar controles, coordenar a resposta a incidentes e promover a conscientização;
  • Área de Tecnologia: Implementar controles técnicos, manter a infraestrutura segura e aplicar patches de segurança;
  • Gestores: Garantir que suas equipes conheçam e cumpram esta Política, identificar e reportar riscos e incidentes;
  • Colaboradores: Proteger informações sob sua responsabilidade, seguir as diretrizes de segurança, reportar incidentes e participar de treinamentos;
  • Terceiros: Cumprir os requisitos de segurança estabelecidos em contratos e observar esta Política.

15. Sanções

O descumprimento desta Política sujeitará os responsáveis às sanções cabíveis, que podem incluir advertências, suspensão, rescisão contratual, exclusão de cadastro de fornecedores e parceiros, além de possíveis ações legais.

16. Disposições Finais

Esta Política será periodicamente revisada e atualizada para assegurar sua adequação às melhores práticas, evolução de ameaças e mudanças na legislação aplicável.

Dúvidas sobre interpretação ou aplicação desta Política devem ser direcionadas à área de Segurança da Informação.

O cumprimento desta Política é fundamental para a proteção dos ativos de informação e a manutenção da confiança de clientes, parceiros e reguladores.