1. INTRODUÇÃO SOBRE A CORRETORA
Este documento se destina a estabelecer uma política de Segurança Cibernética, nos termos preconizados pela Resolução nº 4.658, de 26 de abril de 2018.
1.1. Porte
A Invest Corretora de Câmbio é uma instituição de pequeno porte, que se dedica a efetuar operações de câmbio em espécie, cartões pré-pagos, remessas e de importação e exportação, apresentando risco operacional de nível baixo, pouca exposição cambial. Seus negócios se dão por acesso dos clientes à sede da instituição, à Rua dos Andradas nº 1001, Conjunto 1602, Porto Alegre / RS.
1.2. Natureza das Operações e Complexidade dos produtos
Por se tratar de uma Corretora de Câmbio, suas operações são presenciais, na sede ou nos estabelecimentos correspondentes no país, sendo operações, como já exposto, de câmbio manual (compra ou venda de moeda estrangeira) e de prestação de serviços de câmbio para importação e exportação, sendo a operação cambial propriamente dita efetuada por bancos autorizados a operar em câmbio. Os serviços prestados se referem a elementos de pouca complexidade, exatidão de dados requerida e responsabilidade quanto à prevenção à lavagem de dinheiro.
1.2.1. Serviços de armazenamento e processamento utilizados
Os sistemas são armazenados fora da corretora, no sul do Brasil, em ambientes com alta proteção física, ambiental e virtual, com redundâncias de energia, refrigeração, links de internet e servidores para garantir maior disponibilidade.
1.3. Sensibilidade dos dados e informações sob a responsabilidade da Corretora
Os dados são todos amparados pelo sigilo, e seu maior risco é a utilização de operações cambiais para lavagem de dinheiro ou financiamento ao terrorismo ou a invasão e apropriação de dados dos clientes. Mesmo a sensibilidade ao ataque, para roubar informações ou desviar recursos é relativamente pequena, dada a sistemática de execução dos serviços. As operações são transmitidas do balcão para os sistemas por transferência de dados via internet em dados criptografados através de nossos sistemas de câmbio, onde somente pessoas autorizadas tem acesso aos dados previamente autorizados, com backup rotineiro de todos dados e estrutura de hospedagem.
2. OBJETIVOS DE TER UMA POLÍTICA DE SEGURANÇA CIBERNÉTICA
A Política de Segurança Cibernética adotada pela Invest Corretora de Câmbio se destina a proteger os dados cadastrais dos clientes, os documentos utilizados nas transações, os dados de desempenho e registros da própria Corretora, os demais documentos exigidos pelo Órgão Supervisor (Bacen), as propostas apresentadas e todos os dados que se refiram às operações praticadas. Um dos principais objetivos dessa Política é garantir o acesso ao sistema de processamento e armazenamento de dados, cujos fornecedores devem aderir e satisfazer integralmente os princípios estabelecidos neste documento. Os serviços de computação em nuvem estão dentro da legislação vigente.
3. PROCEDIMENTOS E CONTROLES ADOTADOS PELA INVEST CORRETORA DE CÂMBIO PARA MITIGAR A VULNERABILIDADE DA INSTITUIÇÃO
3.1. Treinamento do pessoal
Conscientização e orientações rotineiras via e-mail de melhores práticas de segurança para utilização dos sistemas da corretora.
3.2. Equipamentos
Utilização dos melhores e mais atualizados equipamentos de segurança de rede disponíveis no mercado.
3.3. Controles específicos e rastreabilidade, testes, confirmações de segurança
Controle dos serviços dos servidores e estações com softwares de detecção de vulnerabilidades continua mais atualizados do mercado com varredura continua, navegação de dados criptografados, acesso restrito à operações e documentos somente à pessoas autorizadas, testes rotineiros de recuperação de serviços do sistema de câmbio, backups e restauração de dados, acesso somente via portas de rede e IPs autorizados na infraestrutura de segurança.
3.4. Registros de incidentes relevantes
São documentados de forma descritiva e arquivados com novas estratégias de prevenção.
3.5. Principais fatores para prevenção de incidentes
Exposição de documentos e operações.
3.6. Divulgação da cultura de segurança cibernética
Divulgação realizada através de e-mail e em reuniões.
3.7. Procedimentos quanto a prestadores de serviços (terceirizados)
Os prestadores de serviços devem estar cientes e seguir essa política de segurança.
4. FORMAS DE DIVULGAÇÃO DESTA POLÍTICA
A divulgação da política se dará através de e-mail e no site da empresa.
PLANO DE AÇÃO E RESPOSTA A INCIDENTES
1. AÇÕES DA INVEST CORRETORA DE CÂMBIO PARA ADEQUAÇÃO DE ESTRUTURA E DE INSTRUMENTOS PARA RESPOSTA A INCIDENTES
A empresa segue alto nível de garantia, continuidade, segurança cibernética e realiza melhoria continua desses processos.
2. ROTINAS A SEREM IMPLEMENTADAS NA PREVENÇÃO E RESPOSTA A INCIDENTES
Comunicação aos interessados e boletagem manual até restabelecimento dos serviços.
O do setor de TI é responsável pela prevenção de incidentes. Em casos de incidentes a
redundância de localização virtual é automática, e caso necessário intervenção manual
os serviços são restabelecidos através de backups atualizados de seu ambiente parcial
ou completo, servidores, discos e banco de dados com prazo de quatro horas.
Rotineiramente esse processo é realizado para atualização em ambiente de
homologação. Em caso de indisponibilidade do escritório físico, os sistemas e arquivos
podem ser acessados de qualquer outra localização, como uma sala comercial
emergencial e outros computadores físicos, bastando conexão de internet e adequada
liberação de acesso pelo setor de TI.
3. DESIGNAÇÃO DE UM SETOR DA ORGANIZAÇÃO PARA REGISTRAR, TOMAR A INICIATIVA DE COMBATER E CONTROLAR OS INCIDENTES E SEUS EFEITOS
O controle de prevenção, correção e registro descritivo de incidentes é realizado pelo setor de TI.