Política Corporativa de
Segurança da Informação e Cibernética

RESUMO

Objetivos

A Política Corporativa de Segurança da Informação e Cibernética do PAN (“Política”) tem por objetivo definir as diretrizes, responsabilidades e princípios relativos à Segurança da Informação e Cibernética, em linha com as práticas de mercado, considerando a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas e a conformidade com os requerimentos legais e regulatórios no Conglomerado Prudencial PAN (“PAN”). Ela é aplicável a todos as empresas do PAN, assim como a seus administradores, colaboradores e prestadores de serviços terceirizados e é baseada em quatro princípios:

  • Confidencialidade: garantir que somente pessoas autorizadas tenham acesso às informações e aos Ativos da Informação que necessitam no âmbito de suas atividades;
  • Integridade: assegurar a veracidade e a totalidade das informações e os métodos de execução física ou lógica, protegendo a informação, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
  • Disponibilidade: garantir que os usuários autorizados obtenham acesso às informações e aos Ativos da Informação correspondentes sempre que necessário; e
  • Autenticidade: assegurar o autor da informação e os meios com que a informação foi processada, de modo que quando necessário, sejam comprováveis e rastreáveis.

O Gerenciamento de Segurança da Informação no PAN é formado por uma estrutura compatível com o porte do banco, e tem o objetivo de assegurar a eficiência, eficácia e efetividade desse gerenciamento, em linha com a estratégia do PAN, contando com áreas responsáveis por essa governança, gestão de riscos, privacidade e proteção de dados e prevenção à fraudes.

Diretrizes Corporativas

Os processos e controles de Segurança da Informação e Cibernética do PAN estão embasados nas seguintes diretrizes:

  1. Conscientização em Segurança da Informação e Declaração de Responsabilidade: os princípios e diretrizes de Segurança da Informação devem ser disseminados por meio de programas de conscientização e capacitação para colaboradores e prestadores de serviço. Colaboradores e Prestadores de Serviços do PAN devem aderir formalmente ao termo de responsabilidade comprometendo-se a atuar de acordo com esta Política;
  2. Gestão e Utilização de Ativos da Informação: os ativos de informação do PAN devem ser inventariados. Mecanismos de proteção contra softwares maliciosos devem estar devidamente instalados e configurados nos equipamentos e apenas os dispositivos corporativos (gerenciados ou homologados) podem ser conectados à rede corporativa;
  3. Gestão de Acessos a Sistemas e Serviços e Segurança Física: controles devem ser implementados para que o acesso à sistemas, serviços e ambientes físicos do banco sejam limitados à pessoas identificadas e autorizadas;
  4. Classificação da Informação, Prevenção Contra Perda de Dados, Criptografia e Confidencialidade: todas as informações do PAN devem ser classificadas de acordo com a sua confidencialidade e atribuídas a um proprietário, responsável pelo acesso às e gestão das mesmas. Para proteger informações sensíveis ou críticas, controles para mitigação de riscos de vazamento de dados e criptografia devem ser implementados;
  5. Segurança no Desenvolvimento de Sistemas e Serviços: o processo de desenvolvimento e manutenção de sistemas e serviços corporativos deve garantir a aderência às regras de desenvolvimento seguro e às boas práticas de segurança estabelecidos no PAN;
  6. Gestão de Vulnerabilidades: devem ser realizadas, por meio de testes de segurança, varreduras para identificação de vulnerabilidades no ambiente de tecnologia produtivo, de acordo com prazos e escopo estabelecidos internamente a fim de identificar e reduzir vulnerabilidades nos ativos de informação;
  7. Cópias de Segurança (backup): processos devem ser implementados para ser possível a restauração de qualquer tipo de dado registrado nos sistemas de informações e servidores de arquivos do PAN, de forma íntegra e confiável;
  8. Segurança na Gestão de Fornecedores: os fornecedores do PAN devem ser classificados conforme diretrizes corporativas e, de acordo com a sua classificação, serão analisados e gerenciados em todo o ciclo de contratação e prestação de serviços. Quando aplicável, a contratação deverá ser comunicada aos órgãos reguladores, conforme regulamentação vigente. Os controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por fornecedores de serviços que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais do banco devem ser avaliados. Incidentes relevantes relacionados às informações do banco, armazenadas ou processadas pelo fornecedor, devem ser comunicados ao PAN através do canal csirt@grupopan.com.
  9. Proteção de perímetro e Registro e Monitoramento de Eventos: ferramentas e controles contra-ataques devem ser implementados para proteção das infraestruturas, sistemas e informações do PAN. Os eventos lógicos de sistemas e serviços, bem como os eventos físicos, devem ser devidamente registrados e monitorados;
  10. Gestão de Incidentes e Cenários de Crises: ações de prevenção, identificação, registro e resposta a incidentes e crises de segurança do ambiente tecnológico devem ser realizadas no PAN. Os incidentes devem ser classificados de acordo com o seu nível de criticidade. Incidentes que podem impactar outras instituições financeiras, devem ser compartilhados. Anualmente, será elaborado um relatório de resposta a incidentes, contendo os resultados obtidos na implementação de rotinas, processos e tecnologias utilizados na prevenção e reposta a incidentes, assim como incidentes cibernéticos relevantes e os resultados dos testes dos cenários de crise cibernéticas realizados pelo PAN.

A Política Corporativa de Segurança da Informação e Cibernética será revisada e aprovada pelo Conselho de Administração do PAN, no mínimo, anualmente, e seu conteúdo completo pode ser acessado através do link a seguir:

https://ri.bancopan.com.br/governanca-corporativa/estatuto-codigos-e-politicas/

Este documento foi revisado e aprovado pela última vez em: 30/03/2021.