Para os fins desta Política, são considerados os Termos a seguir:

INFORMAÇÃO: Dados de qualquer natureza coletados e/ou mantidos em formato eletrônico ou outro formado e sob o controle direto e indireto da FIDELITY. 

ATIVOS DE TI: qualquer equipamento que armazene, manipule, processe, colete, transmita ou manuseie de outra forma a informação, incluindo, sem limitação, todo tipo de equipamente eletrônico ou não eletrônico para armazenamento de informação.

INTEGRIDADE: informação contra alteração não autorizada. 

CONFIDENCIALIDADE: informação contra acesso não autorizado.

DISPONIBILIDADE: garantir que um recurso esteja disponível sempre que necessário. 

SEGURANÇA DA INFORMAÇÃO: proteção de um conjunto de informações, no sentido de preservar a confidencialidade, integridade, disponibilidade, autenticidade e legalidade.

Declaração de Intenção da Alta Administração

A FIDELITY está comprometida em assegurar a disponibilidade, a integridade e a confidencialidade das informações que lhe foram confiadas pelas partes interessadas, incluindo direção, funcionários e outros parceiros de negócios.

A direção da FIDELITY é responsável pela melhoria contínua e definição, aplicação e suporte a Política de Segurança da Informação e seus ativos. No entanto, a responsabilidade pela manutenção e pelo suporte da segurança está implícita nas funções e nas tarefas diárias de todos os empregados e prestadores de serviços. 

Esta política aplica-se a todos os profissionais que utilizam os recursos de informática e sistemas de informação da FIDELITY.

Responsabilidade de Segurança da Informação

O responsável pela Segurança da Informação deve identificar todas as pessoas ou organizações que podem afetar ou serem afetadas pela gestão de segurança da informação e todas as obrigações legais, regulamentares, contratuais e outras obrigações relevantes. 

O responsável pela Segurança da Informação irá definir quem ficará responsável pela conformidade com cada requisito individual, e quais partes interessadas devem ser notificadas quando ocorrerem alterações. 

Cada funcionário na FIDELITY deve notificar o responsável pela Segurança da Informação se ele/ela encontrou qualquer nova obrigação legal, regulamentar, contratual ou outra obrigação que possa ser relevante para a gestão de segurança da informação e da continuidade de negócios.

Treinamento e Consciência

O responsável pela Segurança da Informação implantará e manterá um programa de conscientização a todos os usuários, sendo eles responsáveis por participar do treinamento.

O treinamento de segurança da informação será realizado anualmente, ou quando da admissão do novo funcionário para conscientizar e lembrá-los de suas obrigações e se certificar a compreensão de suas responsabilidades. Este treinamento deve compreender os passos necessários para manter a segurança, confidencialidade e integridade da Informação. Informativos sobre assuntos relacionados à segurança da informação por meio de comunicação corporativa podem ser providenciados. 

Acordo de Confidencialidade

O empregado deverá ler, entender e atuar de acordo com os termos contratuais importantes e aplicáveis a sua posição.

Será solicitado ao empregado a assinatura de documentação relacionada à segurança, a ser fornecida pela área de Recursos Humanos assim que for contratado. Tais documentos expressarão as responsabilidades gerais da segurança. Para terceiros o acordo de confidencialidade deve constar nos contratos entre as partes.

Recursos Humanos

Define os padrões de segurança que devem ser aplicados em relação aos funcionários para assegurar que medidas de precaução devam ser tomadas, em tempo adequado, quando da contratação, transferência ou desligamento de um funcionário de forma a comunicar em tempo hábil. Entretanto, a maior quantidade de problemas de segurança de computadores podem ser causadas por empregados descuidados, desinformados ou descontentes. Procedimentos devem ser implantados e dirigidos a estes riscos e que deem assistência na criação de um ambiente de trabalho seguro. 

Manipulação da Informação do Cliente

A transferência eletrônica ou física de informações entre a FIDELITY e terceiros deverá ser controlada da maneira planejada para assegurar a sua proteção e armazenamento adequado. Essas empresas, por receberem informações da FIDELITY deverão demonstrar que dispõem de políticas e práticas planejadas para assegurar a segurança, integridade, confidencialidade e capacidade de recuperação dos ativos de informação, de forma a atender ou exceder as políticas e práticas internas da FIDELITY.

Nos casos de troca física ou eletrônica de informação entre a FIDELITY e qualquer outra organização, as partes deverão possuir um acordo por escrito que contenha cláusulas de proteção da informação em trânsito, contra perda, divulgação e dano, aplicáveis de acordo com a classificação da informação e natureza do relacionamento comercial, as regras também devem ser aplicadas se envolver dados de privacidade pessoal envolvidas.

Acesso ao Sistema

Todo usuário dos serviços de informação da FIDELITY deverá receber uma identificação exclusiva, para autenticação e atribuição das responsabilidades individuais. Há necessidade de autorização documentada para que a identificação do usuário seja emitida.

Os perfis de acesso deverão ser estabelecidos de forma a alinhar o acesso do usuário de acordo com suas necessidades específicas para o desempenho de suas funções.

O acesso administrativo aos recursos do sistema ou privilégios similares é de exclusividade do pessoal que executa a manutenção do sistema e funções administrativas relacionadas. O acesso privilegiado deverá ser usado apenas para as tarefas administrativas do sistema, para as quais tal acesso é necessário. 

Sistema de Gerenciamento de Senhas

Aplicativos ou qualquer outro recurso da FIDELITY, que hospede ou forneça acesso aos dados, deverão estar alinhados as normas aplicáveis de gerenciamento de senha.

Os usuários aprovados e autorizados pela FIDELITY a utilizar os sistemas, redes, aplicativos e a informação ali contida, são responsáveis pela proteção de suas respectivas senhas. As senhas de usuários deverão permanecer confidenciais, não devendo em hipótese alguma serem compartilhadas, enviadas ou divulgadas de qualquer outra maneira. As regras devem seguir a política de senha segura que define o uso de senha complexa: letra maiúscula, letra minúscula, caractere especial e número; mínimo de 8 caracteres; troca de senha a cada 90 dias; e não repetir as 5 últimas senhas utilizadas.

Toda informação da FIDELITY deve ter um responsável principal, entre as responsabilidades do proprietário da informação é garantir a classificação adequada entre os níveis estabelecidos pela FIDELITY.

Cada nível de classificação possui controles estabelecidos que devem ser seguidos em todo o ciclo de vida da informação, considerando a sua criação, publicação, transferência, armazenamento e descarte. As regras devem seguir a política que define a classificação da informação como: sem classificação para informações pública; interno para informações de uso exclusivo para FIDELITY; confidencial para informações que tenham dados pessoais de cliente.

Proteção de Intruso e Gerenciamento de Incidentes

As responsabilidades e procedimentos estabelecidos deverão ser projetados para evitar, detectar, atuar e resolver os incidentes que possam afetar a confidencialidade, disponibilidade ou integridade dos sistemas, informações ou processos de negócio da FIDELITY. A intensidade deverá ser compatível com o risco e nível crítico aos negócios da FIDELITY associada àquela rede, componente do sistema, ou risco agregado a um determinado grupo de redes e componentes. Como parte do processo de resolução, a análise do incidente deverá auxiliar a estabelecer as medidas preventivas, ou como suporte a uma eventual ação legal.

Terceirização e Aquisição

Os acordos ou contratos de terceirização devem incluir os requisitos da FIDELITY para administração de seus ativos de informação, de acordo com as políticas de segurança da informação.

Os requisitos de segurança da FIDELITY relativos a partes externas devem ser abordados e documentados em contrato entre as partes. Cláusulas contratuais devem ser estabelecidas, para proteger a segurança da informação mantida ou acessada pelos fornecedores.

Conformidade com Requisitos Legais e Contratuais

É responsabilidade da Segurança da Informação identificar e avaliar os requisitos de segurança, legais, regulamentares e contratuais aplicáveis às suas respectivas práticas de negócio, através dos procedimentos projetados para apoiar e monitorar a conformidade daqueles requisitos.

Assim que forem identificados, tais procedimentos devem ser desenvolvidos de forma a assegurar a adesão às normas em tempo hábil. A legislação e os regulamentos que forem identificados.

A FIDELITY deve cumprir e monitorar a conformidade das restrições legais acerca do uso de material para os quais haja direitos autorais ou de propriedade intelectual.

Inventário de Ativos

Deve ser mantido um inventário atual dos ativos de informação da FIDELITY contendo recursos de hardware, software, aplicações de negócio, equipamentos de rede, recursos humanos, instalações físicas e itens relevantes como terceiros e fornecedores.

O responsável pela Segurança da Informação deve manter o inventário atualizado considerando quaisquer alterações em ativo existente ou qualquer novo ativo no ambiente. Os dados do inventário deverão ser periodicamente revisados.

Descarte de Equipamentos e Destruição de Informações

Toda mídia deverá ser descartada quando se tornar desnecessária. A mídia não deverá ser reutilizada, doada para caridade ou descartada sem a devida autorização do responsável pela Segurança da Informação. Para minimizar o risco de divulgação acidental de informação sigilosa, deverá garantir a execução de uma forma segura de descarte (ou seja, incineração, fragmentação ou limpeza completa), destruindo completamente e de maneira irreversível toda e qualquer informação da FIDELITY. O descarte seguro deverá ser feito de acordo com as diretrizes de classificação da informação.

Segurança do Firewall e Segmentação de Rede

A FIDELITY deverá providenciar os recursos de segurança de rede, de acordo com o grau mais adequado para a natureza dos dados sendo transmitidos. É necessário limitar apenas ao pessoal interno e autorizado o acesso às transmissões de dados, devendo controlar o fluxo de dados entre as redes internas e as redes públicas externas, através do uso de firewalls de rede. 

Os controles implementados para a proteção da integridade da informação transmitida deverão incluir o uso de criptografia e autenticação de dispositivo, conforme aplicável.

Os requisitos de segurança física deverão ser definidos com base na tolerância para o nível de risco identificado através da avaliação de risco das instalações, além de um padrão razoável de cuidado. As políticas e procedimentos deverão delinear as etapas necessárias para preservar a integridade e segurança das instalações da FIDELITY, mantendo o nível máximo de segurança. 

Deverão seguir diretrizes de mesa limpa e tela limpa e monitoramento de informação sigilosa, documentos, laptops e outros ativos de propriedade da FIDELITY deixados sem supervisão, quando o empregado se ausenta de sua mesa de trabalho. As regras devem seguir a política de não deixar documentos com informações confidenciais dispostas na mesa enquanto o funcionário está ausente, a tela do computador deve ser bloqueada após ausência da estação de trabalho por mais de 15 minutos, não deve ter senha de sistemas anotadas em locais visíveis.

Gestão de Continuidade dos Negócios

A FIDELITY deve proteger adequadamente os seus ativos, informações e processos de negócio críticos contra os efeitos de falhas e desastres de grandes proporções, através do desenvolvimento e implantação de uma estratégia de continuidade de negócios, específica para os objetivos e prioridades da empresa, e que possa demonstrar através de testes ter a capacidade de suporte necessário à recuperação das atividades da FIDELITY.

Backup e Retenção

A FIDELITY deverá garantir periodicamente backups dos ativos de informação e que tais backups sejam retidos, de acordo com os requisitos de negócios e regulatórios. As regras devem seguir a política que define o backup full executado semanalmente e o backup incremental executado diariamente.

Desenvolvimento, Implementação e Manutenção de Aplicação

As considerações de segurança devem ser incluídas em todas fases do ciclo de vida do desenvolvimento dos sistemas, especialmente para assegurar que as políticas de segurança da FIDELITY sejam abordadas em tempo hábil e com eficiência de custos. Assim como os ambientes de desenvolvimento, testes e produção deverão ser segregados para minimizar a possibilidade de modificações não autorizadas ao ambiente de produção.

Uma análise de risco para cada novo aplicativo ou modificação importante em sistema deve ser executada. Os resultados da análise de risco deverão ser documentados e disponibilizados para uso posterior em testes de segurança e etapas de verificação.

Todos os usuários dos sistemas de informação são obrigados a utilizar os sistemas de maneira legalmente responsável. A FIDELITY possui medidas de segurança projetadas para proteger os seus sistemas de informação sendo de responsabilidade dos usuários a adesão a tais medidas.

Nos computadores e redes da FIDELITY, somente deverão ser instalados software e hardware licenciados e aprovado. Para a devida aprovação, todo e qualquer software e hardware deverá ser avaliado quanto aos aspectos comerciais, legais e de TI, além de requisitos de segurança e serem avaliados quanto ao risco. Tais análise e avaliações de risco deverão ser documentadas. 

Todo software e hardware aprovados deverão ser incluídos ao Inventário de Ativos da FIDELITY. Nenhuma informação pode ser armazenada ou processada em sistemas não aprovados, a menos que estejam classificadas como Público.

Gerenciamento de Vulnerabilidades

Há necessidade de realizar scan de vulnerabilidades, testes de intrusão e hardening nos ativos e sistemas de processamento. As análises críticas do sistema deverão ocorrer usando as assinaturas de identificação de ameaças atualizadas, obedecendo à frequência estabelecida pelo tipo classificação ou seguindo os critérios internos para definição de escopo.

A mitigação de vulnerabilidade e gestão de patches é realizada sempre que vulnerabilidades são descobertas nos sistemas da FIDELITY nos seguintes níveis:

• Vulnerabilidade Crítica - mitigação aplicada imediatamente, com o mínimo de testes.
• Vulnerabilidade Alta - mitigação aplicada dentro de 30 dias a partir da descoberta.
• Vulnerabilidade Média - mitigação aplicada dentro de 60 dias a partir da descoberta.
• Vulnerabilidade Baixa - mitigação aplicada durante o próximo ciclo de manutenção programada.

Software de Antivírus e Código Malicioso

Os controles de detecção e prevenção projetados para proteger a FIDELITY contra software de código malicioso e vírus deverão ser instalados em todos os ativos relacionados à informação da empresa.

A FIDELITY deverá estar em conformidade com os acordos de licença de software, sendo proibida a aquisição e o uso de software não autorizado. O software antivírus deverá ser instalado e configurado em todos os computadores, PCs, laptops e demais dispositivos móveis relacionados, além de servidores de rede, correio eletrônico, e servidores de Internet para varredura de arquivos infectados, novos e antigos.

Controles Criptográficos

Onde o grau de sensibilidade da informação, baseada na sua classificação definida, deve garantir que quando o ambiente onde é armazenada ou através do qual é transmitida não é seguro, a informação deve ser protegida através de criptografia e um sistema de gerenciamento de chaves associado.

A equipe de Segurança da Informação deverá pesquisar e cumprir com a legislação e os regulamentos aplicáveis, locais, nacionais e internacionais, relativos à importação, exportação e uso da tecnologia criptográfica.

Registros de eventos

O Responsável pela Segurança da Informação deve analisar criticamente os registros de logs/eventos das atividades do usuário, exceções, falhas e eventos de segurança da informação em intervalos periódicos.

Os registros devem ser armazenados em local com restrição de acesso evitando acessos indevidos e fraudulentos. Os sistemas de monitoramento automático devem possuir a funcionalidade de gerar relatórios consolidados e alertas.

Gestão de Mudanças

Todas as mudanças e modificações significativas para o ambiente da FIDELITY que possa causar impactos à confiabilidade de aplicações ou falhas de segurança ou de sistemas, devem ser registradas a fim de controlar de maneira satisfatória todas as mudanças.

Sincronização dos relógios

Os relógios de todos os sistemas de processamento de informação relevantes para o negócio devem ser sincronizados com o servidor “NTP.br” para garantir a confiabilidade dos sistemas em caso de investigações necessárias.

Esta Política pode ser atualizada sempre que considerar necessário. Comunicaremos tais atualizações por e-mail e pelo site. 

* * *

Se você tiver alguma dúvida sobre nossa Política e práticas de segurança da informação, entre em contato por meio do e-mail Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo..