A Política Corporativa de Segurança da Informação e Cibernética do PAN (“Política”) tem por objetivo definir as diretrizes, as responsabilidades e os princípios relativos à Política Segurança da Informação e Cibernética (Política). A Política foi elaborada em linha com as melhores práticas de mercado, considerando a natureza e a complexidade das operações, dos produtos, dos serviços, das atividades, dos processos, dos sistemas e dos requisitos de conformidade do Banco PAN S.A. (“Banco”, “Companhia” ou “PAN”), bem como em conformidade com a legislação e com regulamentações aplicáveis. Ela é aplicável ao Banco PAN e suas empresas controladas subordinadas às regras do Sistema Financeiro Nacional, assim como a seus administradores, colaboradores e prestadores de serviços terceirizados.

A Política é baseada em quatro princípios-chave:

• Confidencialidade: garantir que somente pessoas autorizadas tenham acesso às informações e aos Ativos da Informação que necessitam no âmbito de suas atividades;
• Integridade: assegurar a veracidade e a totalidade das informações e os métodos de execução física ou lógica, protegendo a informação, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
• Disponibilidade: garantir que os usuários autorizados obtenham acesso às informações e aos Ativos da Informação correspondentes sempre que necessário; e
• Autenticidade: assegurar o autor da informação e os meios com que a informação foi processada, de modo que quando necessário, sejam comprováveis e rastreáveis.

O Gerenciamento de Segurança da Informação no PAN é formado por uma estrutura compatível com a natureza, com o porte, com a complexidade, com o perfil de risco e com o modelo de negócios, e tem o objetivo de assegurar o efetivo gerenciamento dos Riscos de Segurança da Informação e Cibernéticos, contando com áreas responsáveis pela governança, riscos e compliance de segurança da informação, gestão de identidades e acessos, operação de segurança da informação, privacidade de dados, inspetoria e inteligência corporativa.

Os processos e controles de Segurança da Informação e Cibernética do PAN estão embasados nas seguintes diretrizes corporativas:

1. Conscientização em Segurança da Informação e Declaração de Responsabilidade: os princípios e diretrizes de segurança da informação devem ser disseminados por meio de programas de conscientização e capacitação para colaboradores e prestadores de serviço. Colaboradores e Prestadores de Serviços do PAN devem aderir formalmente ao Termo de Responsabilidade, comprometendo-se a atuar de acordo com a Política;
2. Gestão e Utilização de Ativos da Informação: os ativos de informação do PAN devem ser inventariados. Mecanismos de proteção contra softwares maliciosos devem estar devidamente instalados e configurados nos equipamentos e apenas os dispositivos corporativos (gerenciados ou homologados) podem ser conectados à rede corporativa. É proibida a instalação de softwares não homologados nos ativos da informação do PAN;
3. Trabalho Remoto: quando aplicável, o PAN permite o trabalho remoto de seus colaboradores, sendo que medidas de segurança devem ser implementadas enquanto a execução do trabalho se der de forma remota, com o objetivo de proteger as informações;
4. Gestão de Acessos a Sistemas e a Serviços e Segurança Física: controles devem ser implementados para que o acesso aos sistemas, serviços e ambientes físicos do PAN sejam limitados as pessoas identificadas e autorizadas;
5. Classificação da Informação, Prevenção Contra Perda de Dados, Criptografia e Confidencialidade: todas as informações do PAN devem ser classificadas de acordo com a sua confidencialidade e atribuídas a um proprietário, conforme regras corporativas estabelecidas. Para proteger informações sensíveis ou críticas, controles para mitigação de riscos de vazamento de dados e criptografia devem ser implementados;
6. Gestão de Riscos: devem ser gerenciados por um processo definido e devidamente formalizado os riscos de segurança da informação e cibernéticos, garantindo que os controles e mecanismos de proteção adequados sejam implementados, reduzindo assim a exposição do PAN a seus impactos;
7. Segurança no Desenvolvimento de Sistemas e Serviços: o processo de desenvolvimento e manutenção de sistemas e serviços corporativos deve garantir a aderência às regras de arquitetura, de desenvolvimento seguro e às boas práticas de segurança estabelecidas no PAN;
8. Gestão de Vulnerabilidades: devem ser realizadas, por meio de testes de segurança, varreduras para identificação de vulnerabilidades no ambiente de tecnologia produtivo, de acordo com prazos e escopo estabelecidos internamente a fim de identificar e reduzir vulnerabilidades nos ativos de informação;
9. Cópias de Segurança (backups): processos devem ser implementados para ser possível a restauração de qualquer tipo de dado registrado nos sistemas de informações e servidores de arquivos do PAN, de forma íntegra e confiável;
10. Segurança na Gestão de Fornecedores: os fornecedores do PAN devem ser classificados conforme diretrizes corporativas e, de acordo com a sua classificação, serão analisados e gerenciados em todo o período de vigência dos contratos. Quando aplicável, a contratação deverá ser comunicada aos órgãos reguladores, conforme regulamentação vigente. Os controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por fornecedores de serviços que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais do banco devem ser avaliados. Incidentes relevantes relacionados às informações do banco, armazenadas ou processadas pelo fornecedor, devem ser comunicados ao PAN por meio do canal: csirt@grupopan.com.
11. Segurança dos Dados de Cartão de Pagamento: devem ser protegidos os ambientes do PAN que armazenam, processam e transmitem dados de cartões de pagamento. Anualmente, a segurança desses ambientes deve ser atestada por empresa especializada e independente.
12. Proteção de perímetro e Registro e Monitoramento de Eventos: ferramentas e controles contra-ataques devem ser implementados para proteção das infraestruturas, sistemas e informações do PAN. Os eventos lógicos de sistemas e serviços, bem como os eventos físicos capturados por câmeras, devem ser devidamente registrados e monitorados;
13. Gestão de Incidentes e Cenários de Crises: ações de prevenção, identificação, registro e resposta a incidentes e a crises de segurança do ambiente tecnológico devem ser realizadas no PAN. Os incidentes devem ser classificados de acordo com o seu nível de criticidade e aqueles que podem impactar outras instituições financeiras, devem ser compartilhados. Anualmente, será elaborado um relatório de segurança cibernética, contendo os resultados obtidos na implementação de rotinas, processos e tecnologias utilizadas na prevenção e reposta a incidentes, assim como incidentes cibernéticos relevantes e os resultados dos testes dos cenários de crise cibernéticas realizados pelo PAN.

A Política com seu conteúdo completo pode ser acessada através do link a seguir:

https://ri.bancopan.com.br/List/Estatuto--Codigos-e-Politicas

A Política foi revisada e aprovada pelo Conselho de Administração em 12/04/2024.