conheça a nossa política de segurança cibernética
A Política de Segurança Cibernética da Adiq estabelece as seguintes diretivas gerais:
1- objetivo
A presente Política de Segurança da Informação Cibernética (“Política”) da Adiq Instituição de Pagamento SA (“ADIQ”) tem como objetivo definir as diretrizes adotadas pela Adiq para regulamentar e disciplinar os procedimentos adequados para proteção de informações e dados, bem como determinar regras relativas à segurança em caso de eventual disponibilização destas informações e dados, com o objetivo de a minimizar os riscos sobre os ativos, incluindo pessoas, ambientes, tecnologias e processos da Adiq.
Ademais, esta Política visa:
- Garantir a confidencialidade, integridade e disponibilidade das informações da Adiq e de seus parceiros, garantindo que o acesso e o trânsito dessas informações sejam restritos apenas a indivíduos autorizados.
- Cumprir com todos os requisitos regulatórios e legislativos, garantindo que a Adiq funcione em conformidade com as normas e leis em vigor.
- Prevenir, detectar e tratar proativamente ameaças e vulnerabilidades aos ativos de informação da Adiq, através da implementação de controles de segurança adequados.
- Alinhar as obrigações em relação às diretrizes, procedimentos e responsabilidades quanto ao seu papel dentro do contexto de Segurança da Informação da Adiq.
2- aplicação
As disposições desta Política aplicam-se a todos os clientes, fornecedores e parceiros das empresas Adiq e Adiq Plus, doravante denominada “Adiq”.
3- diretrizes
A presente Política será regida pelas seguintes diretrizes, além de tratadas em normas e políticas específicas:
3.1- classificação da informação
Na Adiq reconhecemos a importância da proteção de nossos dados, por isso nossa abordagem de classificação é projetada para garantir que todas as informações da Adiq sejam devidamente classificadas e recebam o nível de proteção adequado. Essa classificação segue uma estrutura de quatro níveis definidos, sendo eles:
- Informação Pública.
Informação Privada.
- Informação Restrita.
- Informação Confidencial.
3.2- riscos
Um plano de identificação, avaliação e tratamento dos riscos deve existir para que seja reduzido e/ou evitado impactos negativos para a organização. Os riscos devem ser monitorados de acordo com a classificação para que seja definida a prioridade de tratamento de cada um deles.
3.3- trabalho remoto
Desenvolvemos a política de trabalho remoto que deve ser adotada conforme as diretrizes estabelecidas na política. Essas diretrizes apoiam os colaboradores a manterem as melhores práticas de trabalho remoto, garantindo a organização e mantendo o nível de qualidade nas atividades desenvolvidas.
3.4- plano de continuidade do negócio
A Política de Plano de Continuidade de Negócios tem como objetivo estabelecer as diretrizes e responsabilidades de modo a assegurar a continuação das operações vitais e a integridade das informações processadas, nos momentos posteriores a eventuais interrupções e durante a recuperação.
3.5- controles de acesso
Visando garantir a segurança de nossos sistemas e informações, apontamos que possuímos normas e diretrizes especificas que tratam do controle de acesso, monitoramento do ambiente lógico e físico, de acordo com as melhores práticas de mercado e regulamentações vigentes.
Nossa abordagem para uma gestão de segurança da informação eficaz reforça que as concessões de acesso devem ser distribuídas com base nas necessidades específicas de cada função, minimizando riscos de acesso indevido ou fraudulento. De forma similar, quando mudanças ocorrem, como transferências ou desligamentos, os acessos são prontamente revogados para manter a segurança dos nossos ativos. Além disso, mantemos um rigoroso gerenciamento de senhas, exigindo senhas complexas e incentivando a troca regular para minimizar riscos de acesso não autorizado.
3.6- armazenamento, descarte, destruição e reutilização
Na Adiq seguimos as diretrizes estabelecidas na nossa norma, para assegurar que todas as informações mantidas nos dispositivos e mídias sejam apagadas ou destruídas de forma segura antes do descarte ou da reutilização. Essa abordagem é essencial para proteger a integridade dos dados e evitar que terceiros não autorizados tenham acesso a informações sensíveis da Adiq.
3.7- gestão de regras de firewall
A Norma de Gestão de Regras de Firewall estabelece as diretrizes para implantação das regras de firewall na Adiq, visando controlar o tráfego de rede, prevenir acessos não autorizados, proteger nossos ativos e às informações sensíveis. Essas regras são submetidas a revisões periódicas, garantindo sua conformidade com as políticas de segurança vigentes.
3.8- gestão de incidente de segurança da informação
A Adiq adota uma abordagem proativa para garantir a segurança da informação no que diz respeito à gestão de incidentes. Nós adotamos as melhores práticas de mercado, permitindo que qualquer incidente de segurança da informação seja identificado, avaliado, registrado e tratado em tempo hábil. A pronta atuação na remediação, controle e retomada do ambiente afetado é essencial para minimizar os efeitos adversos nos negócios da Adiq.
3.9- monitoramento e controle de log
Em conformidade com as melhores práticas de segurança e regulamentações vigentes, implementamos a Norma de Gestão e Tratamento de Logs para assegurar que existam trilhas de auditoria com nível de detalhamento suficiente para realizar o rastreamento de possíveis falhas e fraudes. A gestão e análise de logs são fundamentais para investigar e responder a incidentes de segurança, além de verificar se as regras de segurança são efetivas.
3.10- softwares maliciosos
Na Adiq todos os ativos devem estar equipados com softwares de antivírus, devidamente monitorados e atualizados, de acordo com as melhores práticas de mercado e regulamentações vigentes.
3.11- hardening
A Norma de Hardening foi implementada com o objetivo de estabelecer recomendações para a configuração de segurança adequada de todos os sistemas e dispositivos da Adiq, visando minimizar possíveis ameaças e vulnerabilidades.
3.12- criptografia
Na Adiq desenvolvemos normativos que visam estabelecer requisitos específicos em conformidade com as melhores práticas do mercado, para a implementação segura da criptografia e o gerenciamento adequado das chaves criptográficas. Essas medidas são essenciais para garantir a integridade e a confidencialidade dos dados sensíveis.
3.13- desenvolvimento seguro
Comprometidos com a qualidade e segurança de nossas soluções, baseamos nossas práticas no referencial da OWASP. Assim, criamos a Norma de Desenvolvimento Seguro garantindo a adoção das melhores práticas para o desenvolvimento seguro de nossas aplicações.
3.14- gestão de vulnerabilidade
A Norma de Gestão de Vulnerabilidade tem como objetivo estabelecer procedimentos e controles para prevenir, detectar e reduzir incidentes que possam impactar as atividades da Adiq, de acordo com as melhores práticas de segurança e regulamentações vigentes.
3.15- mudanças
A Gestão de Mudança é um processo essencial que busca assegurar que todas as mudanças realizadas nos ambientes produtivos e pré-produtivos sejam conduzidas de forma controlada e segura. Essas mudanças são avaliadas, planejadas, testadas, comunicadas, implementadas e documentadas, com o objetivo de mitigar os riscos envolvidos nas mudanças tecnológicas em ambientes operacionais.
3.16- cópias de segurança
As cópias de segurança, mais conhecidas como backups, são fundamentais para garantir a integridade e a disponibilidade das informações da Adiq. E para garantir a efetiva adoção dessa prática, a Adiq instituiu a Norma de Backup, que estabelece recomendações alinhadas com as melhores práticas do mercado para o processo de backup.
3.17- gestão de ativos
Com o propósito de assegurar a efetiva implantação dos controles de segurança aplicados aos ativos da Adiq, estabelecemos uma norma de gestão de ativos. Essa norma visa assegurar não apenas a manutenção adequada dos ativos, mas também uma gestão abrangente de seu ciclo de vida.
3.18- uso de dispositivos e tecnologias
A Adiq estabelece diretrizes e recomendações por meio de normativos, visando a gestão e utilização segura dos dispositivos e tecnologias disponibilizados aos seus colaboradores para o desempenho de suas atividades profissionais. Essas normas têm como finalidade assegurar a segurança da informação, protegendo os dados que são acessados, processados ou armazenados, de acordo com as melhores práticas do mercado.
3.19- gestão de capacidade
A Adiq segue as melhores práticas de mercado na gestão de capacidade ao implementar um conjunto de estratégias para monitorar e otimizar os recursos disponíveis. Essas medidas têm como objetivo primordial assegurar a eficiência na utilização dos recursos, garantindo a capacidade necessária para atender aos níveis de desempenho exigidos.
3.20- seleção de fornecedores de tecnologia da informação
A Adiq realiza uma avaliação antes de contratar empresas prestadoras de serviços que lidam com dados ou informações sensíveis ou que são relevantes para suas atividades operacionais. Nesse processo, é verificado se essas empresas possuem procedimentos e controles voltados para a prevenção e tratamento de incidentes, bem como controles sólidos de segurança da informação.
Essa avaliação desempenha um papel fundamental na garantia de que os parceiros da Adiq estejam em conformidade com os requisitos de segurança e demonstrem um comprometimento efetivo com a proteção dos dados e informações adquiridos da empresa. Ao assegurar a contratação de empresas que adotam padrões de segurança robustos, a Adiq reforça de maneira significativa o seu compromisso com a proteção dos dados e a segurança da informação em todas as suas operações.
3.21- proteção de dados e privacidade
Na Adiq o compromisso com a privacidade e segurança de dados é primordial. A Adiq trabalha em compliance com as leis de privacidade de dados, como a LGPD, garantindo o tratamento adequado e responsável dos dados. A segurança de dados é assegurada por meio da implementação das melhores práticas do setor.
A segurança de dados é uma responsabilidade compartilhada por todos os colaboradores, e a transparência e responsabilidade guiam as ações da Adiq para construir relações de confiança com seus clientes e parceiros.
3.22- treinamento
A Adiq está comprometida em adotar as melhores práticas de mercado no que diz respeito ao treinamento de Segurança da Informação e Cibernética. Através de nossos programas de conscientização periódicos, nos capacitamos nossos colaboradores a compreenderem e se defenderem contra as ameaças em constante evolução no cenário digital.
3.23- auditoria e conformidade
A Adiq realiza regularmente testes e auditorias internas, para avaliar a conformidade de suas práticas com a Política de Segurança da Informação Cibernética, Normas Internas e Documentos de Referência. Essas ações têm como objetivo verificar a implementação efetiva e o cumprimento desta Política, assegurando que todas as medidas necessárias estejam em vigor para proteger os ativos de informação da Adiq.
3.24- canais de comunicação
Quaisquer desvios às diretrizes desta Política, o fato poderá ser relatado ao Canal da Ética (https://www.contatoseguro.com.br/adiq ou 0800 515 2223), podendo ou não se identificar.