A Política de Segurança da Informação ("Política") tem por objetivo definir as diretrizes, as responsabilidades e os princípios relativos à Segurança da Informação e Cibernética no Banco PAN - Subsidiária do BTG Pactual.

A Política foi elaborada em linha com as melhores práticas de mercado, considerando a natureza e a complexidade das operações, dos produtos, dos serviços, das atividades, dos processos, dos sistemas e dos requisitos de conformidade do Banco PAN ("Banco", "Companhia" ou "PAN"), bem como em conformidade com a legislação e com regulamentações aplicáveis.

Ela é aplicável ao PAN e suas empresas controladas, subordinadas às regras do Sistema Financeiro Nacional, assim como a seus administradores, colaboradores e prestadores de serviços terceirizados.

A Política é baseada em quatro princípios-chave:

• Confidencialidade: garantir que somente pessoas autorizadas tenham acesso às informações e aos Ativos da Informação que necessitam no âmbito de suas atividades;

• Integridade: assegurar a veracidade e a totalidade das informações e os métodos de execução física ou lógica, protegendo a informação, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;

• Disponibilidade: garantir que os usuários autorizados obtenham acesso às informações e aos Ativos da Informação correspondentes sempre que necessário; e

• Autenticidade: assegurar o autor da informação e os meios com que a informação foi processada, de modo que quando necessário, sejam comprováveis e rastreáveis.

Em atendimento às exigências regulatórias e melhores práticas, a Política estabelece diretrizes que orientam os controles de segurança da informação e cibernética, incluindo:

1. Declaração de Responsabilidade: os colaboradores e os prestadores de serviços, diretamente contratados pelo PAN, devem aderir formalmente ao Termo de Confidencialidade e Responsabilidade pela Segurança das Informações, comprometendo-se a atuar de acordo com esta Política.
2. Controle de Acesso e Autenticação: garantia de que acessos a sistemas e dados sejam concedidos com base no menor privilégio necessário, com autenticação robusta e gestão de identidades, prevenindo acessos indevidos.
3. Criptografia de Dados: aplicação de mecanismos criptográficos para proteção de informações sensíveis, tanto em trânsito quanto em repouso, assegurando confidencialidade e integridade.
4. Prevenção e Detecção de Intrusão: Implementação de controles em múltiplas camadas para identificar, bloquear e responder a ameaças em redes, sistemas e aplicações.
5. Prevenção de Vazamento de Dados: Classificação das informações, definição de proprietários, controle de ciclo de vida e implementação de mecanismos para evitar compartilhamento ou exposição indevida.
6. Proteção contra Malware: uso de soluções e processos para prevenir, detectar, conter e erradicar softwares maliciosos.
7. Monitoramento e Rastreabilidade: registro e monitoramento contínuo de eventos lógicos e físicos, garantindo capacidade de auditoria e investigação.
8. Gestão de Vulnerabilidades: identificação contínua, avaliação, priorização e correção de vulnerabilidades, incluindo testes de segurança e práticas de desenvolvimento seguro.
9. Gestão de Backup e Recuperação: controle seguro do ciclo de vida de certificados e chaves criptográficas.
10. Segurança de Redes e Infraestrutura: proteção do tráfego e segmentação de redes, com controles que garantam integridade, confidencialidade e disponibilidade.
11. Gestão de Certificados Digitais: controle seguro do ciclo de vida de certificados e chaves criptográficas.
12. Segurança em Integrações (APIs e Interfaces): garantia de que integrações sejam seguras, rastreáveis e governadas desde o desenvolvimento até a operação.
13. Inteligência Contra Ameaças Cibernéticas: monitoramento e análise de ameaças cibernéticas para antecipação e resposta a riscos relevantes.
14. Gestão de Riscos Cibernéticos: processo estruturado para identificar, avaliar, tratar e reportar riscos de segurança da informação.
15. Gestão de Incidentes: registro, classificação e tratamento de incidentes, com planos de resposta, recuperação e reporte regulatório, quando aplicável.
16. Privacidade de Dados e LGPD: garantia de tratamento adequado de dados pessoais em conformidade com legislações aplicáveis.
17. Uso de Inteligência Artificial: aplicação ética, transparente e segura, em conformidade com normas e sem vieses discriminatórios.
18. Uso de Recursos Tecnológicos: restrição de acesso à rede corporativa apenas a dispositivos autorizados e gerenciados.
19. Uso de Recursos Tecnológicos: restrição de acesso à rede corporativa apenas a dispositivos autorizados e gerenciados.
20. Segurança Física: controles e processos de segurança física devem ser implementados, prevenindo o acesso físico não autorizado às dependências do PAN, incluindo salas cofres e data centers.
21. Segurança na Gestão de Fornecedores: fornecedores devem ser classificados conforme as diretrizes corporativas e, caso sejam considerados relevantes, devem passar por um processo formal de seleção, análise e gestão durante toda a vigência do contrato, garantindo conformidade com requisitos de segurança da informação, privacidade de dados e normas regulatórias. A contratação de serviços de tecnologia, que processam ou armazenam dados em nuvem, devem atender às exigências da Resolução CMN 4.893/2021 e demais requisitos aplicáveis, incluindo a comunicação aos órgãos reguladores, quando necessário. A Segurança da Informação pode vetar ou impor restrições a contratações que não atendam às regulamentações vigentes.
22. Segurança dos Dados de Cartão de Pagamento: devem ser protegidos os ambientes do PAN que armazenam, processam e transmitem dados de cartões de pagamento relacionados aos processos de adquirência. Os testes da efetividade da segurança desses ambientes devem ser executados por entidade externa independente, quando aplicável ao ambiente do PAN.
23. Cenários de Crise Cibernética: devem ser catalogados os cenários de crises cibernéticas relacionados a incidentes de segurança e inseridos no relatório de resposta a incidentes relevantes ocorridos no período, incluindo também os resultados dos testes de continuidade desses cenários; e
24. Trabalho Remoto: quando aplicável, o PAN permite o trabalho remoto de seus colaboradores e medidas de segurança da informação devem ser implementadas para garantir a proteção das informações acessadas, processadas ou armazenadas enquanto a execução do trabalho se der de forma remota.
25. Conscientização: as diretrizes de Segurança da Informação e Cibernética, bem como os princípios que norteiam esta Política, devem ser disseminados por meio de programas de comunicação, conscientização e de capacitação, para colaboradores e prestadores de serviço terceirizados.