Política de segurança cibernética

1. INTRODUÇÃO SOBRE A CORRETORA

Este documento se destina a estabelecer uma política de Segurança Cibernética, nos termos preconizados pela Resolução nº 4.658, de 26 de abril de 2018.

 

1.1. Porte

A União Alternativa Corretora de Câmbio é uma instituição de pequeno porte, que se dedica a efetuar operações de câmbio em espécie, cartões pré-pagos, remessas e de importação e exportação, apresentando risco operacional de nível baixo, pouca exposição cambial. Seus negócios se dão por acesso dos clientes à sede da instituição, à Rua dos Andradas nº 1001, Conjunto 1602, Porto Alegre / RS.

 

1.2. Natureza das Operações e Complexidade dos produtos

Por se tratar de uma Corretora de Câmbio, suas operações são presenciais, na sede ou nos estabelecimentos correspondentes no país, sendo operações, como já exposto, de câmbio manual (compra ou venda de moeda estrangeira) e de prestação de serviços de câmbio para importação e exportação, sendo a operação cambial propriamente dita efetuada por bancos autorizados a operar em câmbio. Os serviços prestados se referem a elementos de pouca complexidade, exatidão de dados requerida e responsabilidade quanto à prevenção à lavagem de dinheiro.

 

1.2.1. Serviços de armazenamento e processamento utilizados

Os sistemas são armazenados fora da corretora, no sul do Brasil, em ambientes com alta proteção física, ambiental e virtual, com redundâncias de energia, link de internet e servidores para garantir maior disponibilidade.

 

1.3. Sensibilidade dos dados e informações sob a responsabilidade da Corretora

Os dados são todos amparados pelo sigilo, e seu maior risco é a utilização de operações cambiais para lavagem de dinheiro ou financiamento ao terrorismo ou a invasão e apropriação de dados dos clientes. Mesmo a sensibilidade ao ataque, para roubar informações ou desviar recursos é relativamente pequena, dada a sistemática de execução dos serviços. As operações são transmitidas do balcão para os sistemas por transferência de dados  via internet em dados criptografados através de nossos sistemas de câmbio, onde somente pessoas autorizadas tem acesso aos dados previamente autorizados, com backup rotineiro de todos dados e estrutura de hospedagem.

 

2. OBJETIVOS DE TER UMA POLÍTICA DE SEGURANÇA CIBERNÉTICA

A Política de Segurança Cibernética adotada pela União Alternativa Corretora de Câmbio se destina a proteger os dados cadastrais dos clientes, os documentos utilizados nas transações, os dados de desempenho e registros da própria Corretora, os demais documentos exigidos pelo Órgão Supervisor (Bacen), as propostas apresentadas e todos os dados que se refiram às operações praticadas.  Um dos principais objetivos dessa Política é garantir o acesso ao sistema de processamento e armazenamento de dados, cujos fornecedores devem aderir e satisfazer integralmente os princípios estabelecidos neste documento. Os serviços de computação em nuvem estão dentro da legislação vigente.

 

3. PROCEDIMENTOS E CONTROLES ADOTADOS PELA UNIÃO ALTERNATIVA CORRETORA PARA MITIGAR A VULNERABILIDADE DA INSTITUIÇÃO

3.1. Treinamento do pessoal

Conscientização e orientações rotineiras via e-mail de melhores práticas de segurança para utilização dos sistemas da corretora.

 

3.2. Equipamentos

Utilização dos melhores e mais atualizados equipamentos de segurança de rede disponíveis no mercado.

 

3.3. Controles específicos e rastreabilidade, testes, confirmações de segurança

Controle dos serviços dos servidores e estações com softwares de detecção de vulnerabilidades continua mais atualizados do mercado com varredura continua, navegação de dados criptografados, acesso restrito à operações e documentos somente à pessoas autorizadas, testes rotineiros de recuperação de serviços do sistema de câmbio, backups e restauração de dados, acesso somente via portas de rede e IPs autorizados na infraestrutura de segurança.

 

3.4. Registros de incidentes relevantes

São documentado de forma descritiva e arquivados com novas estratégias de prevenção.

 

3.5. Principais fatores para prevenção de incidentes

Exposição de documentos e operações.

 

3.6. Divulgação da cultura de segurança cibernética

Divulgação realizada através de e-mail e em reuniões.

 

3.7. Procedimentos quanto a prestadores de serviços (terceirizados)

Os prestadores de serviços devem estar cientes e seguir essa política de segurança.

 

4. FORMAS DE DIVULGAÇÃO DESTA POLÍTICA

A divulgação da política se dará através de e-mail e no site da empresa.


PLANO DE AÇÃO E RESPOSTA A INCIDENTES

 

1. AÇÕES DA UNIÃO ALTERNATIVA PARA ADEQUAÇÃO DE ESTRUTURA E DE INSTRUMENTOS PARA RESPOSTA A INCIDENTES

A empresa segue alto nível de garantia, continuidade, segurança cibernética e realiza melhoria continua desses processos.

 

2. ROTINAS A SEREM IMPLEMENTADAS NA PREVENÇÃO E RESPOSTA A INCIDENTES

Comunicação aos interessados e boletagem manual até restabelecimento dos serviços. O do setor de TI é responsável pela prevenção de incidentes. Em casos de incidentes a redundância de localização é automática, e caso necessário intervenção manual os serviços são restabelecidos através de backups atualizados de seu ambiente parcial ou completo, servidores, discos e banco de dados com prazo de algumas horas. Rotineiramente esse processo é realizado para atualização em ambiente de homologação.

 

3. DESIGNAÇÃO DE UM SETOR DA ORGANIZAÇÃO PARA REGISTRAR, TOMAR A INICIATIVA DE COMBATER E CONTROLAR OS INCIDENTES E SEUS EFEITOS

O controle de prevenção, correção e registro descritivo de incidentes é realizado pelo setor de TI.