POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA - RESUMO

OBJETIVOS

A Política Corporativa de Segurança da Informação e Cibernética do PAN (“Política”) tem por objetivo definir as diretrizes, as responsabilidades e os princípios relativos à Segurança da Informação e Cibernética no PAN. A Política foi elaborada em linha com as melhores práticas de mercado, considerando a natureza e a complexidade das operações, dos produtos, dos serviços, das atividades, dos processos, dos sistemas e dos requisitos de conformidade do Banco PAN S.A. (“Banco”, “Companhia” ou “PAN”), bem como em conformidade com a legislação e com regulamentações aplicáveis. Ela é aplicável ao Banco PAN e suas empresas controladas subordinadas às regras do Sistema Financeiro Nacional, assim como a seus administradores, colaboradores e prestadores de serviços terceirizados.

A Política é baseada em quatro princípios-chave:

  • Confidencialidade: garantir que somente pessoas autorizadas tenham acesso às informações e aos Ativos da Informação que necessitam no âmbito de suas atividades;
  • Integridade: assegurar a veracidade e a totalidade das informações e os métodos de execução física ou lógica, protegendo a informação, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
  • Disponibilidade: garantir que os usuários autorizados obtenham acesso às informações e aos Ativos da Informação correspondentes sempre que necessário; e
  • Autenticidade: assegurar o autor da informação e os meios com que a informação foi processada, de modo que quando necessário, sejam comprováveis e rastreáveis.

O Gerenciamento de Segurança da Informação no PAN é formado por uma estrutura compatível com a natureza, com o porte, com a complexidade, com o perfil de risco e com o modelo de negócios, e tem o objetivo de assegurar o efetivo gerenciamento dos Riscos de Segurança da Informação e Cibernéticos, contando com áreas responsáveis pela governança, riscos e compliance de segurança da informação, gestão de identidades e acessos, arquitetura de segurança, centro de defesa cibernética, segurança de aplicações e privacidade de dados.

DIRETRIZES CORPORATIVAS

As diretrizes corporativas definem as linhas mestras que embasam os processos e os controles de Segurança da Informação e Cibernética implementados no PAN.

  1. Declaração de Responsabilidade: os colaboradores e os prestadores de serviços, diretamente contratados pelo PAN, devem aderir formalmente ao Termo de Confidencialidade e Responsabilidade pela Segurança das Informações, comprometendo-se a atuar de acordo com esta Política.
  2. Conscientização: as diretrizes de Segurança da Informação e Cibernética, bem como os princípios que norteiam esta Política, devem ser disseminados por meio de programas de comunicação, conscientização e de capacitação, para colaboradores e prestadores de serviço terceirizados.
  3. Classificação da Informação e Prevenção Contra Perda de Dados: as informações devem ser atribuídas a proprietários e classificadas de acordo com a sua confidencialidade, sob a proteção necessária, prazo de manutenção, de transferência, de transporte e descarte, em observância às regras corporativas estabelecidas.
  4. Gestão de Ativos da Informação: os ativos de informação do PAN devem ser identificados, inventariados, catalogados e classificados quanto à sua severidade. A Segurança da Informação deve abranger a proteção dos ativos do PAN, principalmente aqueles classificados como críticos, assegurando, assim, a sua confidencialidade, integridade e disponibilidade.
  5. Gestão de Riscos: os riscos de segurança da informação e cibernéticos devem ser identificados, categorizados, reportados e mitigados, por meio de processo definido e devidamente formalizado, com o objetivo de implementar os mecanismos de proteção e os controles de segurança da informação e cibernéticos adequados.
  6. Inteligência Artificial: a IA deve ser usada de forma ética, transparente e livre de vieses discriminatórios. Todo uso de IA deve atender as regras de segurança e legislações aplicáveis, incluindo, mas não se limitando a Lei Geral de Proteção de Dados (LGPD).
  7. Gestão de Acessos Lógicos: o acesso a sistemas e a serviços deve ser apropriado, autorizado e condizente com as atividades e as funções exercidas pelo colaborador ou prestador de serviço terceirizado, visando prevenir o acesso não autorizado e o acúmulo de privilégios.
  8. Utilização de Recursos da Informação: apenas os equipamentos corporativos, gerenciados ou homologados pelo PAN, podem ser conectados à sua rede corporativa, conforme explicitado no Termo de Acesso e Uso de Sistemas e Informações.
  9. Trabalho Remoto: quando aplicável, o PAN permite o trabalho remoto de seus colaboradores e medidas de segurança da informação devem ser implementadas para garantir a proteção das informações acessadas, processadas ou armazenadas enquanto a execução do trabalho se der de forma remota.
  10. Segurança Física: controles e processos de segurança física devem sem implementados, prevenindo o acesso físico não autorizado às dependências do PAN, incluindo salas cofres e data centers.
  11. Segurança na Gestão de Fornecedores: fornecedores devem ser classificados conforme as diretrizes corporativas e, caso sejam considerados relevantes, devem passar por um processo formal de seleção, análise e gestão durante toda a vigência do contrato, garantindo conformidade com requisitos de segurança da informação, privacidade de dados e normas regulatórias. A contratação de serviços de tecnologia, que processam ou armazenam dados em nuvem, devem atender às exigências da Resolução CMN 4.893/2021 e demais requisitos aplicáveis, incluindo a comunicação aos órgãos reguladores, quando necessário. A Segurança da Informação pode vetar ou impor restrições a contratações que não atendam às regulamentações vigentes.
  12. Segurança dos Dados de Cartão de Pagamento: devem ser protegidos os ambientes do PAN que armazenam, processam e transmitem dados de cartões de pagamento relacionados aos processos de adquirência. Os testes da efetividade da segurança desses ambientes devem ser executados por entidade externa independente, quando aplicável ao ambiente do PAN.
  13. Privacidade de Dados: diretrizes para assegurar a proteção e o uso adequado de dados pessoais devem ser estabelecidas, em conformidade com as legislações aplicáveis, como a Lei Geral de Proteção de Dados (LGPD).
  14. Correio Eletrônico e Serviço de Mensageria: o e-mail e as ferramentas de mensageria corporativas devem ser utilizadas exclusivamente para atividades relacionadas as funções profissionais, de forma ética, adequada e segura.
  15. Cópias de Segurança (backup): deve ser garantida, de forma íntegra e confiável, a restauração de dados registrados nos sistemas de informações ou nos servidores de arquivos do PAN.
  16. Criptografia e Confidencialidade: deve ser observada a necessidade da aplicabilidade da criptografia dos dados, em razão da confidencialidade, protegendo informações sensíveis ou críticas.
  17. Segurança no Desenvolvimento de Sistemas e de Serviços: o processo de desenvolvimento e de atualização de sistemas e de serviços corporativos deve assegurar a aderência às regras e as boas práticas de desenvolvimento seguro.
  18. Teste de Segurança: a fim de identificar e de reduzir vulnerabilidades nos ativos de informação, devem ser realizadas, por meio de testes de segurança (manuais e/ou automatizadas), varreduras para identificação de vulnerabilidades.
  19. Proteção de Perímetro: para proteger a infraestrutura do PAN contra-ataques externos, devem ser implementados ferramentas e controles contra: softwares e mensagens maliciosas, invasão de dispositivos de rede e servidores, ataques a aplicativos e a sistemas corporativos, ataques de negação de serviço e ameaça persistente avançada.
  20. Registro e Monitoramento: os eventos lógicos de sistemas e de serviços, bem como os eventos físicos, capturados e/ou identificados por câmeras, catracas ou áreas restritas do PAN, devem ser devidamente registrados e monitorados.
  21. Gestão de Incidentes: incidentes de segurança da informação e cibernéticos devem ser registrados e classificados de acordo com o seu nível de criticidade, determinado pela exposição e pela relevância dos ativos da informação envolvidos. O seu ciclo de vida documentado e, puderem impactar outras instituições ou mercado financeiro com um todo, devem ser reportados e compartilhados, conforme diretrizes dos órgãos reguladores vigentes.
  22. Cenários de Crise Cibernética: devem ser catalogados os cenários de crises cibernéticas relacionados a incidentes de segurança e inseridos no relatório de resposta a incidentes relevantes ocorridos no período, incluindo também os resultados dos testes de continuidade desses cenários; e
  23. A Política Corporativa de Segurança da Informação e Cibernética e o Relatório de Segurança Cibernética: devem ser submetidos e aprovados pelo Conselho de Administração do PAN, no mínimo, anualmente.

 

A Política com seu conteúdo completo pode ser acessada através do link a seguir:

Estatuto, Códigos e Políticas - BPAN4 - Banco PAN - Relações com Investidores

A Política foi revisada e aprovada pelo Conselho de Administração em 31/03/2025.

Comunicado a respeito do Telemarketing Ativo

O PAN, reforçando o compromisso assumido com os seus clientes, órgãos de proteção aos consumidores e Anatel, vem adotando todas as medidas necessárias para coibir a prática de abordagem abusiva referente à oferta de produtos e serviços, em conformidade com todas as diretrizes e normas legais vigentes, em especial o Despacho 25/2022 da SENACON e o Ato 10.413 da ANATEL. O PAN se mantém a disposição para eventuais dúvidas ou esclarecimentos que forem necessários através dos nossos canais de atendimento.