Política de Segurança da Informação da Plataforma
Última atualização: 01/03/2024
1. Introdução
A DIVIFY OPERACAO DE PLATAFORMA ELETRONICA – LTDA (“Plataforma” ou “nós”), Plataforma de Investimento Coletivo, devidamente regulada pela Comissão de Valores Mobiliários (“CVM”), inscrita no CNPJ/ME sob o n. 34.523.457/0001-00 e com sede na Rua Coronel Irlandino Sandoval, nº 266, Jardim Paulistano, Cidade de São Paulo, Estado de São Paulo, CEP 01457-010, por meio da presente Política de Segurança da Informação (“Política”) que tem o objetivo de estabelecer as principais diretrizes para o tratamento de dados pessoais pela Plataforma, que deve observar total regularidade com a legislação e regulamentos vigentes e as melhores práticas aplicáveis conforme o tipo de informação e processamento. Seu foco é estabelecer diretrizes que permitam à Plataforma salvaguardar seus ativos de informação, nortear a definição de normas e procedimentos específicos de segurança cibernética e da informação, bem como a implementação de controles e procedimentos para reduzir a vulnerabilidade da Plataforma a incidentes.
Ela se destina a todas as pessoas físicas e jurídicas que, no exercício regular de suas atividades e contratos, tenham acesso a dados pessoais em nome da Plataforma, incluindo sócios, acionistas, administradores, diretores, conselheiros, colaboradores próprios, parceiros, e qualquer pessoa envolvida nas operações da Plataforma, nos seus respectivos limites de atuação.
2. Definições
Segurança da Informação: Conjunto de conceitos, técnicas e estratégias, as quais visam proteger os ativos de informação da Plataforma.
Segurança Cibernética: Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado.
Stakeholders: Públicos relevantes com interesses pertinentes à Plataforma, bem como indivíduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da sociedade. Entre outros, destacam-se: acionistas, investidores, colaboradores, sociedade, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários dos meios eletrônicos e organizações não-governamentais.
Clientes: pessoas naturais ou jurídicas credenciadas na Plataforma.
Dado(s) e/ou Informação(ões): são todos os dados referentes às atividades desenvolvidas pela Plataforma na execução de seu objeto social, incluindo dados de Clientes, pessoais ou não, e classificados de acordo com a norma interna específica sobre o tema.
Incidentes: Qualquer ocorrência que realmente ou potencialmente comprometa a confidencialidade, integridade ou disponibilidade de um sistema de informação ou a informação que o sistema processa, armazena, transmite ou que constitui uma violação ou ameaça iminente de violação de políticas de segurança, procedimentos de segurança ou políticas de uso aceitáveis.
Prestador de Serviço: pessoa física ou jurídica, devidamente contratada pela Plataforma, prestadora de serviços: (i) de tecnologia; (ii) de armazenamento ou qualquer forma de tratamento de Dados e Informações; ou (iii) que venha a ter acesso, por conta do escopo de sua contratação, a Dados confidenciais, como classificados nesta Política.
Riscos Cibernéticos: são os riscos de ataques cibernéticos, oriundos de malware, técnicas de engenharia social, invasões, ataques de rede (DDoS e Botnets), fraudes externas, entre outros, que possam expor Dados, redes e sistemas da Plataforma, causando danos financeiros e/ou de reputação consideráveis, podendo, em algumas circunstâncias, prejudicar a continuidade das atividades da Plataforma.
3. Princípios, Regras e Procedimentos
Para garantir a segurança da informação, a Plataforma exerce suas atividades baseada nos seguintes pilares:
- Confidencialidade: garantia de que a informação somente estará acessível para pessoas autorizadas;
- Integridade: garantia de que a informação, armazenada ou em trânsito, não sofrerá qualquer modificação não-autorizada, seja esta intencional ou não;
- Disponibilidade: garantia de que a informação estará disponível sempre que for necessária.
Considera-se ativos de informações todas as informações geradas ou desenvolvidas para o negócio, e podem estar presentes em diversas formas, tais como: arquivos digitais, equipamentos, mídias externas, documentos impressos, sistemas, dispositivos móveis, bancos de dados e conversas.
Determina-se que independentemente da forma apresentada, compartilhada ou armazenada, os ativos de informação devem ser utilizados apenas para a sua finalidade devidamente autorizada, sendo sujeitos a monitoramento e auditoria.
Estabelece-se que todo o ativo de informação de propriedade da Plataforma tenha um responsável, seja devidamente classificado de acordo com os critérios estabelecidos em norma específica e adequadamente protegido de quaisquer riscos e ameaças que possam comprometer o negócio.
4. Diretrizes Gerais de Segurança da Informação
Com relação à segurança informação, a Plataforma dispõe das seguintes diretrizes gerais:
- Resguardar a proteção dos dados contra acessos indevidos, bem como contra modificações, destruições ou divulgações não autorizadas;
- Realizar a adequada classificação das informações e garantir a continuidade do processamento das mesmas, conforme os critérios e princípios indicados nos normativos internos vigentes sobre o tema;
- Garantir que os sistemas e dados sob sua responsabilidade estejam devidamente protegidos e sejam utilizados apenas para o cumprimento de suas atribuições;
- Zelar pela integridade da infraestrutura tecnológica na qual são armazenados, processados ou de qualquer outra forma tratados os Dados, adotando as medidas necessárias para prevenir ameaças lógicas, como vírus, programas nocivos ou outras falhas que possam ocasionar acessos, manipulações ou usos não autorizados a Dados internos e confidenciais, por meio, dentre outros aspectos: (i) da manutenção de softwares antivírus e firewall instalados e atualizados; (ii) da manutenção dos programas de computador instalados no ambiente; e
- Atender às leis e normas que regulamentam as atividades da Plataforma.
Em vistas ao cumprimento das diretrizes acima elencadas, a Plataforma:
- Possui como objetivo de segurança cibernética a prevenção, detecção e redução de vulnerabilidades relacionadas ao ambiente cibernético, aplicando regras claras no uso de sistemas de informação, controles, métricas e requisitos para proteção de dados sensíveis ou não;
- Com relação às medidas de segurança, adota procedimentos e controles para reduzir a vulnerabilidade da Plataforma a incidentes e atender aos objetivos de segurança cibernética, dentre eles: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações, conforme normativos internos vigentes;
- Controla, monitora, restringe o acesso aos ativos de informação a menor permissão e privilégios possíveis, aplicando regras de restrição de acesso a equipamentos, instalações, informações e outros ativos do negócio, conforme descrito em normas internas específicas;
- Aplica os procedimentos e controles citados anteriormente, inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da Plataforma;
- Realiza o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Plataforma, que abrange inclusive informações recebidas de empresas prestadoras de serviços a terceiros, estabelecendo processos de resposta rápida com os mínimos efeitos possíveis sobre a operação;
- Elabora planos de resposta às crises cibernéticas, com respectiva avaliação de risco e os testa anualmente para gerar novas soluções e garantir a eficácia dos processos da Plataforma;
- Classifica os incidentes de segurança conforme sua relevância e de acordo com (i) natureza do incidente; (ii) sistemas afetados; (iii) a classificação das informações envolvidas; e (ii) o impacto na continuidade dos negócios da Plataforma, descritos em normas internas específicas;
- Realiza a avaliação periódica de empresas prestadoras de serviço que realizam o tratamento de informações relevantes à Plataforma com objetivo de acompanhar o nível de maturidade de seus controles de segurança para a prevenção e o devido tratamento dos incidentes;
- Possui critérios para classificação da relevância dos serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, conforme procedimento interno;
- Adota processo de gestão de continuidade de negócios relativo à segurança cibernética e da informação, incluindo suporte a incidentes técnicos e organizacionais, bem como todos os dados para recuperação em caso de falhas no sistema ou possíveis inconsistências, conforme descrito em normativo interno específico;
- Estabelece regras e padrões para assegurar que a informação receba o nível adequado de proteção quanto à sua relevância conforme normativo interno. Toda informação possui um proprietário, é obrigatoriamente classificada e recebe os devidos controles que garantam a confidencialidade da mesma, condizente com as boas práticas de mercado e regulamentações vigentes;
- Realiza ações para prevenir, identificar, registrar e responder incidentes e crises de segurança que envolvam o ambiente tecnológico da Plataforma e que possam ocasionar o comprometimento dos pilares de segurança da informação ou gerar impacto de imagem, financeiros ou operacionais. A definição de relevância dos incidentes no ambiente tecnológico segue padrão corporativo de riscos estabelecido em norma específica; e
- Adota iniciativas para compartilhamento de informações sobre os incidentes relevantes por meio de filiação em fóruns de discussão.
5. Gestão de Consequências
Todos os abrangidos por essa Política que observarem quaisquer desvios às suas diretrizes poderão relatar à Diretoria. Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento.
Neste sentido, será observada a seguinte divisão de responsabilidades:
- Administradores e Colaboradores: Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar a área de tecnologia para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas. É imprescindível que cada pessoa compreenda o papel da segurança da informação em suas atividades diárias e participe dos programas de conscientização.
- Área de Segurança Cibernética e da Informação: Cumprir as diretrizes estabelecidas nesta Política, mantê-la atualizada anualmente de forma a garantir que quaisquer alterações no direcionamento da Plataforma sejam incorporadas a mesma e esclarecer dúvidas relativas ao seu conteúdo e a sua aplicação.
6. Responsável
O Edson Nagassawa Ishigami é o responsável pela edição, implementação e fiscalização desta Política, cabendo-lhe a adoção de todas as medidas cabíveis para sua fiel observância.
7. Vigência
A presente Política entra em vigor a partir da data de sua publicação e será periodicamente revisada e atualizada pelo Responsável, cuja frequência mínima é de uma vez a cada 12 (doze) meses.