Política de Segurança Cibernética

Firebit

1. OBJETIVO

Esta Política de Segurança Cibernética ("Política") tem como objetivo estabelecer diretrizes, responsabilidades, controles mínimos de segurança cibernética aplicáveis aos Colaboradores para a proteção das informações e Ativos, considerando a natureza crítica de suas operações, além dos limites de atuação dos Colaboradores em relação à Segurança da Informação, reforçando a cultura interna e priorizando as ações necessárias a partir dos riscos mapeados e gerenciados.

2. DEFINIÇÕES

Para fins do presente documento, alguns termos, quando apresentados da forma descrita abaixo, seja na sua forma singular ou em sua forma plural, devem ser entendidos da seguinte forma:

  • Cactus: significa a CACTUS FINANCIAL SERVICES LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 62.578.460/0001-59, com sede na Rodovia Januario Carneiro, 8620, Sala 1101, Vale do Sereno, Nova Lima/MG, CEP: 34006-000, que também inclui as sociedades FIREBIT DIGITAL ASSETS – SOCIEDADE PRESTADORA DE SERVIÇOS DE ATIVOS DIGITAIS LTDA, inscrita no CNPJ sob o nº 62.873.133/0001-20 e GLOBAL CRIPTO ASSETS LTDA, inscrita no CNPJ sob o nº 62.949.192/0001-34.
  • ANPD: é a Agência Nacional de Proteção de Dados, autarquia de natureza especial com atribuições relacionadas à proteção de Dados Pessoais e da privacidade, incluindo a fiscalização para o cumprimento da LGPD em todo o território nacional.
  • Ativo: refere-se a qualquer bem, tangível ou não, que tenha valor para a Cactus.
  • Ativo Virtual: é a representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento, não incluídos moeda nacional e moedas estrangeiras; moeda eletrônica nos termos da Lei nº 12.865/2013; instrumentos que provejam ao seu titular acesso a produtos ou serviços especificados ou a benefício proveniente desses produtos ou serviços, a exemplo de pontos e recompensas de programas de fidelidade; e representações de ativos cuja emissão, escrituração, negociação ou liquidação esteja prevista em lei ou regulamento, a exemplo de valores mobiliários e de ativos financeiros.
  • Colaborador: significa todos os funcionários, estagiários, terceiros e prestadores de serviços que desempenhem funções em nome da Cactus.
  • Comitê de Segurança da Informação: refere-se ao comitê constituído para adotar as medidas necessárias para lidar com matérias que envolvam Segurança da Informação, incluindo possíveis Incidentes de Segurança da Informação.
  • Controles de Segurança: são os mecanismos administrativos, físicos e/ou técnicos adotados pela Cactus para proteção da confidencialidade, integridade e disponibilidade da informação.
  • Credenciais de Acesso: referem-se aos métodos utilizados para verificar a identidade de um Colaborador em ambientes lógicos, geralmente compostos por seu nome de usuário (login) e senha ou por outros mecanismos de identificação e autenticação, tais como crachá magnético, certificado digital, token e biometria, entre outros.
  • Dado Pessoal: são todas as Informações que permitam a identificação de uma pessoa física de forma direta ou que possam tornar essa pessoa identificável.
  • Departamento de Recursos Humanos: é o departamento responsável pela gestão de recursos humanos na Cactus.
  • Departamento de Tecnologia: é o departamento responsável pela gestão de Ativos de tecnologia da informação da Cactus.
  • Departamento Jurídico: é o departamento responsável por tratar de questões jurídicas na Cactus.
  • Diretores: são os responsáveis pela condução, orientação, fiscalização e coordenação das operações, pelo desenvolvimento tecnológico, comercial e de mercado, pela administração tecnológica e comercial e pela direção, supervisão e coordenação das operações e atividades financeiras da Cactus e de suas subsidiárias e afiliadas.
  • Diretoria: é o órgão, composto pelos Diretores, responsável pela administração e gestão estratégica da Cactus, garantindo a execução das diretrizes e objetivos da empresa.
  • Encarregado: é o encarregado de proteção de dados, sendo este a pessoa designada pela Cactus para atuar como canal de comunicação entre a organização, os Titulares de Dados Pessoais e a ANPD e para assegurar que a organização esteja em conformidade com as leis e regulações de proteção de Dados Pessoais.
  • Gerentes: são os responsáveis pela coordenação e execução de atividades operacionais de determinado departamento, setor ou matéria da Cactus.
  • Incidente de Segurança da Informação: refere-se a uma ocorrência que compromete, real ou potencialmente, a confidencialidade, integridade ou disponibilidade de um sistema de informação ou das informações que esse sistema processa, armazena ou transmite, ou que constitui uma violação ou uma ameaça iminente de violação das políticas de segurança, dos procedimentos de segurança ou das políticas internas da Cactus.
  • LGPD: significa a Lei Geral de Proteção de Dados Pessoais, Lei Federal nº 13.709/2018, conforme alterada, que regula as atividades de tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
  • Plano de Resposta a Incidentes de Segurança da Informação: é o documento da Cactus responsável por estabelecer as regras, restrições e o procedimento relativos à gestão dos Incidentes de Segurança da Informação a fim de mitigar os riscos ao negócio e aos Ativos da Cactus.
  • Programa de Segurança da Informação: significa o conjunto de normas, procedimentos e ações relacionados à Segurança da Informação na Cactus, cujo fundamento se encontra nesta Política e nos procedimentos aqui descritos.
  • Recursos de TIC: significam os recursos de TIC (tecnologia da informação e comunicação) da Cactus, incluindo, mas não se limitando a, qualquer hardware, software, serviços de conexão e comunicação ou de infraestrutura física necessários para criação, registro, armazenamento, manuseio, transporte, compartilhamento e descarte de informações.
  • Segurança da Informação: a proteção da informação ou dos sistemas da informação contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados a fim de garantir confidencialidade, integridade e disponibilidade da informação.

3. ESCOPO

A Política se aplica a todos os Colaboradores na medida das suas atribuições e competências, as quais estão descritas na presente Política, sendo possível, conforme o caso, exigir sua observância a terceiros que, de qualquer forma, atuem e/ou interajam com a Cactus.

A Política se aplica a todos os Ativos, incluindo, mas não se limitando, aos Recursos de TIC, às informações, à infraestrutura física, além de quaisquer softwares e/ou hardwares de uso e/ou propriedade da Cactus.

No contexto das operações que envolvam Ativos Virtuais, esta Política se aplica, também, no que couber, às atividades desempenhadas por empresas do grupo econômico da Cactus, bem como a parceiros, prestadores de serviços e terceiros que atuem em operações integradas, incluindo, mas não se limitando a serviços de intermediação, on-ramp e off-ramp, processamento de transações, custódia, infraestrutura tecnológica ou integrações sistêmicas, observadas as responsabilidades contratuais e os limites de atuação de cada parte.

4. PRINCÍPIOS

A Cactus tem como compromisso garantir a Segurança da Informação e o tratamento adequado de suas informações. Para tanto, deve basear suas atividades nos seguintes princípios:

  • Confidencialidade: garantia de que somente pessoas autorizadas terão acesso às informações e apenas quando houver necessidade ou pertinência;
  • Integridade: garantia de que as informações permanecerão exatas, completas e íntegras;
  • Disponibilidade: garantia de que as informações estarão disponíveis apenas às pessoas autorizadas sempre que for necessário ou pertinente.
  • Proporcionalidade ao Risco: adoção de controles de segurança compatíveis com a criticidade da informação, do Ativo e do impacto potencial à operação da Cactus.

Possibilidade de Monitoramento. A Cactus poderá realizar e tem o direito de realizar o monitoramento, contínuo e/ou pontual, de seus ambientes físicos e digitais com o intuito de garantir a segurança dos Ativos, Recursos de TIC e/ou informações da Cactus, dos Colaboradores e da operação em geral, de modo que todo Colaborador tem ciência de que toda a sua interação com Ativos, Recursos de TIC, Informações e instalações são monitorados, não possuindo qualquer expectativa de privacidade quanto a tais interações ou quanto a Informações que venha a armazenar em quaisquer Ativos da Cactus, especialmente os Recursos de TIC de propriedade e/ou uso da Cactus.

Caso o Colaborador venha a utilizar dispositivos, sistemas ou redes particulares para execução de suas atividades profissionais, sem prejuízo das vedações ou penalidades previstas nesta Política, tais dispositivos, sistemas e redes particulares estarão igualmente sujeitos ao monitoramento da Cactus, devendo o Colaborador entregá-los para inspeção sempre que assim solicitado pelo Departamento de Tecnologia, não possuindo qualquer expectativa de privacidade quanto a tais dispositivos, sistemas e redes que contenham alguma informação da Cactus.

5. DIRETRIZES GERAIS

Ao utilizar ou de qualquer forma interagir com os Ativos, especialmente os Recursos de TIC, o Colaborador deverá, na medida de suas atribuições e/ou competências:

  • Preservar e proteger a informação, em todo o seu ciclo de vida, contida em qualquer suporte ou formato, contra vulnerabilidades, acessos indevidos, modificações, destruições, divulgações não autorizadas e ameaças, inclusive adotando os mecanismos de prevenção, detecção, análise e erradicação de ameaças e/ou vulnerabilidades para proteção dos Ativos;
  • Observar integralmente a presente Política e demais políticas, diretrizes, normas e/ou regras de Segurança da Informação adotadas pela Cactus;
  • Adotar os Controles de Segurança determinados pela Cactus, abstendo-se de empregar ou, de qualquer forma, utilizar mecanismos capazes de afastar os Controles de Segurança;
  • Prevenir e reduzir os impactos gerados pelos Incidentes de Segurança da Informação, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e legalidade nas hipóteses de incidente descritas;
  • Garantir a segurança e o tratamento adequado das informações, assegurando o cumprimento dos princípios da confidencialidade, integridade e disponibilidade da informação;
  • Garantir que todas as informações sejam tratadas de maneira ética e sigilosa e que sejam adotadas medidas capazes de evitar acessos indevidos, modificações, destruições, divulgações não autorizadas ou ameaças; e
  • Garantir que todos os Colaboradores tenham acesso pessoal, intransferível e restrito para realizar suas atribuições na Cactus.

6. ESTRUTURA DE GOVERNANÇA

Responsáveis pelo Programa de Segurança da Informação. São responsáveis pela execução, coordenação, supervisão e gestão do Programa de Segurança da Informação, conforme atribuições específicas definidas nesta Política: (i) a Diretoria, (ii) o Comitê de Segurança da Informação, (iii) o Departamento de Tecnologia, (iv) o Encarregado, (v) o Departamento Jurídico, (vi) o Departamento de Recursos Humanos, (vii) os Diretores, (viii) os Gerentes e (ix) os Colaboradores.

Comitê de Segurança da Informação. Para supervisão e coordenação das atividades usuais e extraordinárias no contexto do Programa de Segurança da Informação, fica constituído o Comitê de Segurança da Informação, cuja operação deverá considerar, na definição de prioridades e controles, o impacto das decisões sobre ambientes críticos da operação, pautando-se nas seguintes regras:

  • Composição. O Comitê de Segurança da Informação será composto por 3 (três) membros, sendo: (i) o Diretor/Gerente do Departamento Jurídico, (ii) o Encarregado e (iii) o Diretor/Gerente do Departamento de Tecnologia.
  • Presidência. A presidência do Comitê de Segurança da Informação será exercida por um dos seus três membros, mediante decisão da Diretoria, que atuará como representante do Comitê de Segurança da Informação perante os demais órgãos da Cactus e da própria Diretoria.
  • Decisões. Todas as decisões do Comitê de Segurança da Informação serão tomadas por maioria simples.
  • Desempate. O desempate será realizado pelo voto do representante que ocupar a posição de presidente do Comitê de Segurança da Informação no momento da tomada de decisão.
  • Substituição. Em caso de saída, progressão, desligamento ou impedimento de qualquer natureza para o exercício das atividades de membro do Comitê de Segurança da Informação, o Comitê de Segurança da Informação notificará a Diretoria para substituição do membro e recomposição do Comitê de Segurança da Informação, sendo que tal nomeação será realizada em até 30 (trinta) dias corridos.

6.1. Responsabilidades

Esta seção designa os deveres e responsabilidades das principais partes responsáveis pela implementação e gestão do Programa de Segurança da Informação, conforme descrito abaixo.

6.2. Atribuições da Diretoria

Cabe à Diretoria, no contexto do Programa de Segurança da Informação:

  • Analisar, aprovar e declarar formalmente seu compromisso com esta Política;
  • Deliberar e aprovar a adoção de estratégias e medidas necessárias para garantir a Segurança da Informação na Cactus, incluindo, mas não se limitando a, (i) aprovação de orçamento anual e planejamento estratégico, (ii) adoção, atualização e manutenção dos Controles de Segurança necessários, que serão aplicados pelo Departamento de Tecnologia, especialmente aqueles sugeridos pelo Comitê de Segurança da Informação e/ou consultores externos contratados para esse fim;
  • Analisar, deliberar e aprovar medidas, estratégias e ações necessárias para a gestão e resposta a Incidentes de Segurança da Informação em conformidade com as disposições do Plano de Resposta a Incidentes de Segurança da Informação;
  • Avocar a responsabilidade por decisões previamente submetidas ao Comitê de Segurança da Informação sempre que a Diretoria considerar que há um risco elevado à Segurança da Informação da Cactus;
  • Aprovar políticas e normas corporativas desenvolvidas para, dentre outros, garantia da Segurança da Informação, proteção de Dados Pessoais e cibersegurança.

A Diretoria poderá exercer qualquer uma das competências indicadas acima mediante assinatura isolada de qualquer Diretor ou, em caso de atos que importem a assunção de obrigações pela Cactus, conforme definido no estatuto social da sociedade.

6.3. Atribuições do Comitê de Segurança da Informação

Cabe ao Comitê de Segurança da Informação, no contexto do Programa de Segurança da Informação:

  • Promover e gerenciar o Programa de Segurança da Informação da Cactus, buscando a implementação de Controles de Segurança, modelos, frameworks e recursos necessários para proteger os Ativos da Cactus;
  • Fornecer suporte técnico e operacional à Diretoria em questões relacionadas à Segurança da Informação, incluindo, mas não se limitando a, adoção de Controles de Segurança, gestão de Incidentes de Segurança da Informação, bem como avaliação e gerenciamento de riscos aos Ativos da Cactus, visando a garantir os princípios de confidencialidade, integridade e disponibilidade da informação;
  • Apresentar e propor à Diretoria o orçamento e os investimentos necessários em Segurança da Informação na Cactus, incluindo considerações estratégicas relevantes sobre viabilidade e impacto nos processos de negócios;
  • Recomendar ações preventivas para a proteção dos Ativos, informações e/ou Recursos de TIC da Cactus;
  • Solicitar apoio do Departamento de Tecnologia para adequada compreensão dos riscos associados à implementação ou não de Controles de Segurança na proteção dos Ativos, Recursos de TIC e/ou Informações da Cactus, bem como para escolha, análise e proposição de Controles de Segurança a serem implementados;
  • Orientar os Colaboradores para que as atividades desempenhadas pelos departamentos descritos na presente Política estejam adequadas aos negócios da Cactus e às melhores práticas de mercado.

6.4. Atribuições do Departamento de Tecnologia

Cabe ao Departamento de Tecnologia, no contexto do Programa de Segurança da Informação:

  • Garantir a aplicação desta Política dentro de seu escopo de responsabilidades e de quaisquer outros documentos complementares aplicáveis;
  • Fornecer o suporte necessário em projetos voltados para a avaliação e implementação de melhorias nos Controles de Segurança da Cactus, especialmente em relação a questões levantadas por consultores externos contratados para esse fim (assessment);
  • Implementar os Controles de Segurança necessários, em especial os Controles de Segurança técnicos, cuja adoção possa ser solicitada pela Diretoria, pelo Comitê de Segurança da Informação ou por consultores externos contratados para esse fim;
  • Gerenciar, manter e administrar os Recursos de TIC pertencentes à Cactus ou sob responsabilidade da Cactus;
  • Fornecer e gerenciar as Credenciais de Acesso;
  • Criar e manter um inventário do hardware, software e Ativos da Cactus;
  • Analisar ou auxiliar na análise de Incidentes de Segurança da Informação ocorridos na Cactus, conforme as disposições do Plano de Resposta a Incidentes de Segurança da Informação;
  • Auxiliar na recuperação em situações de contingência que envolvam sistemas e processos que dependam dos Recursos de TIC da Cactus;
  • Manter procedimentos de backup para a recuperação das aplicações da Cactus;
  • Realizar manutenção, atualizações e correções de falhas técnicas nos Ativos e Recursos de TIC da Cactus;
  • Colaborar com o Comitê de Segurança da Informação sempre que solicitado ou conforme apropriado;
  • Auxiliar, sempre que necessário e demandado, na gestão de contratação de terceiros para se verificar, dentre outras questões, o nível de maturidade de terceiros a serem contratados e os potenciais riscos de Segurança da Informação em se estabelecerem relações comerciais com terceiros.

6.5. Atribuições do Encarregado

Cabe ao Encarregado, no contexto do Programa de Segurança da Informação:

  • Recomendar ao Comitê de Segurança da Informação, à Diretoria ou a qualquer outro órgão relevante a implementação dos Controles de Segurança necessários para garantir a confidencialidade, disponibilidade e/ou integridade das informações e/ou Ativos;
  • Assegurar que o Programa de Segurança da Informação da Cactus esteja em conformidade com os parâmetros exigidos para a proteção de Dados Pessoais, especialmente aqueles estabelecidos na LGPD e/ou nas recomendações e diretrizes da ANPD;
  • Auxiliar o Comitê de Segurança da Informação, a Diretoria ou qualquer outro órgão na avaliação de uma ameaça, suspeita ou Incidente de Segurança da Informação que possa envolver Dados Pessoais e, em caso afirmativo, adotar as medidas exigidas pelo Plano de Resposta a Incidentes de Segurança da Informação.

6.6. Atribuições do Departamento Jurídico

Cabe ao Departamento Jurídico, no contexto do Programa de Segurança da Informação:

  • Assessorar a Diretoria, o Comitê de Segurança da Informação e o Encarregado, no âmbito de suas atribuições e responsabilidades;
  • Revisar, analisar e validar minutas de contratos e/ou outros instrumentos jurídicos que, de alguma forma, tratem de regras e normas relacionadas à Segurança da Informação, especialmente quando terceiros prestam serviços para a Cactus;
  • Redigir Acordos de Confidencialidade (Non-Disclosure Agreements – NDAs) e/ou outros documentos necessários que envolvam a adesão a esta Política e ao Plano de Resposta a Incidentes de Segurança da Informação;
  • Auxiliar na avaliação, sempre que solicitado, dos riscos jurídicos decorrentes de um Incidente de Segurança da Informação, em conformidade com as responsabilidades descritas no Plano de Resposta a Incidentes de Segurança da Informação;
  • Lidar, sempre que necessário, com procedimentos judiciais e/ou extrajudiciais envolvendo Incidentes de Segurança da Informação e/ou violações desta Política.

6.7. Atribuições do Departamento de Recursos Humanos

Cabe ao Departamento de Recursos Humanos, no contexto do Programa de Segurança da Informação:

  • Coordenar treinamentos internos, especialmente quando da entrada do Colaborador na Cactus, sobre Segurança da Informação voltados a orientar os Colaboradores sobre aspectos relevantes do Programa de Segurança da Informação e das normas aplicáveis, especialmente da presente Política, incluindo a geração de evidências de tais treinamentos.

6.8. Atribuições dos Gerentes

Cabe aos Gerentes, no contexto do Programa de Segurança da Informação:

  • Gerenciar o cumprimento desta Política pelos Colaboradores sob sua supervisão, garantindo a aderência às normas internas aplicáveis;
  • Receber comunicações de seus Colaboradores sobre a ocorrência ou suspeita de ocorrência de um Incidente de Segurança da Informação e encaminhá-las prontamente ao Departamento de Tecnologia ou outro órgão aplicável;
  • Verificar se os Colaboradores sob sua supervisão utilizam os Recursos de TIC em conformidade com a presente Política;
  • Cooperar com o Comitê de Segurança da Informação na investigação de qualquer Incidente de Segurança da Informação, fornecendo todas as informações solicitadas sobre a ocorrência;
  • Cooperar com o Comitê de Segurança da Informação na implementação de medidas para mitigar ou remediar os efeitos de Incidentes de Segurança da Informação causados por Colaboradores sob sua supervisão.

6.9. Atribuições dos Colaboradores

Cabe aos Colaboradores, no contexto do Programa de Segurança da Informação:

  • Estar cientes, manter-se atualizados e cumprir integralmente esta Política e quaisquer documentos complementares, assinando a declaração de ciência e responsabilidade referente a esta Política e participando de todos os treinamentos aplicáveis;
  • Auxiliar nos processos necessários para implementar Controles de Segurança ou quaisquer outras medidas necessárias para proteger os Ativos, Recursos de TIC e/ou as Informações da Cactus;
  • Utilizar os Ativos pertencentes ou sob responsabilidade da Cactus de acordo com as orientações dos fabricantes e desenvolvedores, bem como com as instruções da Cactus, com o devido cuidado e em conformidade com os regulamentos internos;
  • Utilizar os Ativos e as informações exclusivamente para fins profissionais, de forma ética e legal, respeitando o escopo de uso permitido e em conformidade com os regulamentos internos;
  • Preservar a integridade, disponibilidade, confidencialidade e autenticidade das informações, abstendo-se de utilizá-las, enviá-las, transmiti-las ou compartilhá-las de forma inadequada, em qualquer local ou meio, incluindo a internet;
  • Notificar o Departamento de Tecnologia em caso de falhas nos Ativos ou Recursos de TIC para que o Departamento de Tecnologia possa realizar manutenções, atualizações ou correções de falhas técnicas;
  • Abster-se de realizar ou solicitar qualquer manutenção, atualização ou correção técnica em Ativos ou Recursos de TIC por terceiros não autorizados pelo Departamento de Tecnologia;
  • Assegurar a segurança de suas Credenciais de Acesso, especialmente login e senha, abstendo-se de compartilhá-las, divulgá-las ou transferi-las a terceiros;
  • Manter vigilância sobre todas as atividades realizadas nos Recursos de TIC da Cactus por meio do uso de suas próprias Credenciais de Acesso;
  • Relatar formalmente ao Diretor ou Gerente responsável, ao Encarregado e/ou ao Departamento de Tecnologia quaisquer eventos relacionados a uma violação ou possível violação de segurança de suas Credenciais de Acesso ou quaisquer atividades suspeitas de que tenha conhecimento;
  • Notificar prontamente o Diretor ou Gerente responsável, o Encarregado ou o Departamento de Tecnologia sobre a ocorrência ou suspeita de ocorrência de um Incidente de Segurança da Informação.

7. DIRETRIZES ESPECÍFICAS

A Cactus deverá implementar processo de gerenciamento de riscos de Segurança da Informação. A Cactus deve implementar processo de gerenciamento de riscos de Segurança da Informação para viabilizar a identificação, gestão, mitigação e resolução de riscos de Segurança da Informação de acordo com os objetivos de negócios da Cactus e para proteger seus Ativos.

  • Classificação da Informação. As informações da Cactus deverão ser classificadas de acordo com seu grau de sensibilidade e impacto no negócio, sendo, no mínimo, enquadradas como: (i) públicas; (ii) internas; (iii) confidenciais; e (iv) críticas. Informações classificadas como críticas estarão sujeitas a controles de segurança reforçados, definidos em normas e procedimentos específicos, incluindo restrições adicionais de acesso, monitoramento contínuo e medidas de proteção técnica e organizacional compatíveis com o risco envolvido.
  • Deverão ser implementados mecanismos adequados de gerenciamento de senhas. Cada Colaborador receberá uma credencial de acesso individual, especialmente uma senha pessoal, para acesso aos sistemas da empresa, a qual não poderá ser compartilhada com terceiros. A Cactus deverá adotar mecanismos que assegurem a complexidade, troca periódica, guarda de histórico de senhas e evitem o uso de senhas padrão.
  • Deverão ser adotadas medidas adicionais de segurança para acesso a sistemas, bases de dados ou dispositivos móveis. Para impedir o acesso não autorizado nos sistemas ou na base de dados da Cactus, deverão ser utilizados mecanismos de autenticação multifatores em sistemas, base de dados ou dispositivos móveis que contenham informações, incluindo Dados Pessoais, como celulares e laptops, quando disponíveis.
  • Os Ativos deverão ser inventariados e protegidos. Os Ativos da Cactus, especialmente os Recursos de TIC, deverão ser devidamente inventariados e protegidos de acessos indevidos ou ameaças que possam comprometer os negócios da Cactus. Dessa forma, a Cactus deverá assegurar a proteção dos Ativos durante todo o seu ciclo de vida a fim de garantir que os princípios da confidencialidade, integridade e disponibilidade sejam cumpridos integralmente. A Cactus deverá inventariar e cifrar dados de dispositivos externos e armazená-los em locais seguros.
  • Mídias físicas que contenham Dados Pessoais deverão ser formatadas e sobrescritas. A Cactus deverá formatar e sobrescrever mídias físicas que contenham Dados Pessoais antes de descartá-las ou, quando não for possível, deverá destruir as mídias físicas.
  • Somente indivíduos autorizados poderão ter acesso às Informações e aos ambientes técnicos da Cactus. A Cactus deverá adotar mecanismos para garantir que somente indivíduos autorizados terão acesso às Informações e aos ambientes tecnológicos da Cactus e, para tanto, levará em consideração o princípio do menor privilégio e a segregação de funções.
  • O acesso ao ambiente digital da Cactus deverá ser monitorado e controlado. A Cactus deverá adotar regras de controle de acesso em toda sua estrutura, Ativos e informações a fim de impedir o acesso de indivíduos não autorizados.
  • O acesso aos ambientes físicos deverá ser controlado e monitorado. A Cactus deverá implementar sistema de controle de acesso aos Ativos físicos por meio, dentre outros, da utilização de Credenciais de Acesso a fim de impedir o acesso de indivíduos não autorizados. Os equipamentos e instalações de processamento de informação crítica deverão ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.
  • Deverá ser feito backup das informações. A Cactus deverá adotar uma rotina de backup e restauração dos dados para assegurar a disponibilidade das informações relevantes para o pleno funcionamento das atividades da empresa.
  • Deverão ser implementadas medidas para proteção contra vírus, arquivos e softwares maliciosos. A Cactus deverá adotar mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas, como phishing, malware, spam, worms, ransomwares, dentre outros, se espalhem pelos computadores, laptops, sistemas e servidores internos e exponham a Cactus a vulnerabilidades. Para tanto, softwares de segurança, como antivírus, firewalls, software de prevenção de intrusões (intrusion prevention systems) ou detecção de intrusões (intrusion detection systems) deverão estar instalados e atualizados em toda a rede interna e computadores da Cactus, segundo as regras internas aplicáveis.
  • As Informações da Cactus e os Ativos só podem ser usados no exercício das atividades profissionais de cada Colaborador dentro da Cactus. O Colaborador deverá se abster de utilizar as Informações da Cactus e os Ativos para finalidades particulares ou comerciais, ou ainda para qualquer propósito que não esteja expressamente relacionado às suas atividades na Cactus.
  • Os Recursos de TIC deverão ser usados apenas para fins profissionais. Os Recursos de TIC deverão ser utilizados somente para fins profissionais, de modo lícito, ético e moral e conforme as regras e normas internas da Cactus.
  • Deverá ser respeitado o sigilo das Informações da Cactus. É vedada a revelação de informação da Cactus que seja classificada como confidencial, sigilosa ou de acesso restrito sem a prévia e formal autorização do Diretor ou Gerente responsável e/ou do Encarregado, excetuando-se a informação classificada como pública.
  • Deverão ser firmados termos de confidencialidade para compartilhamento de Informações da Cactus. Nas contratações em que ocorram o compartilhamento de informações da Cactus ou a concessão de acesso aos seus ambientes ou Ativos deverão ser precedidas da assinatura de termos de confidencialidade e/ou cláusulas contratuais relacionadas à Segurança da Informação, conforme cabível.
  • Conscientização e treinamento. A Cactus está comprometida com a Segurança da Informação e, para tanto, deverá promover medidas de conscientização de seus Colaboradores a respeito do tema por meio de treinamentos e campanhas. Adicionalmente, a Cactus deverá disponibilizar esta Política na íntegra, facilitando a consulta de todos os Colaboradores.
  • Ambientes Críticos. Os ambientes tecnológicos que suportem operações, integrações sensíveis, APIs, processamento financeiro ou serviços relacionados a Ativos Virtuais deverão possuir Controles de Segurança reforçados, incluindo segregação de ambientes, controle rigoroso de acessos, monitoramento contínuo e registro de eventos. Os ambientes tecnológicos que suportem operações mencionadas deverão ser segregados, sempre que tecnicamente viável, dos ambientes administrativos, de testes e de desenvolvimento, adotando-se controles de acesso diferenciados, princípio do menor privilégio e segregação de funções.
  • Mecanismos de registro. A Cactus deverá adotar mecanismos de registro, retenção e monitoramento de eventos de segurança em ambientes críticos, incluindo sistemas internos, integrações financeiras, APIs e serviços relacionados a ativos virtuais, de modo a permitir a detecção de incidentes, a investigação de eventos suspeitos e o atendimento a obrigações legais e regulatórias.

8. GESTÃO DE TERCEIROS

A Cactus deverá verificar o grau de comprometimento seus prestadores de serviços, fornecedores, provedores e parceiros que processam e armazenam dados da Cactus quanto à Segurança da Informação, especialmente quanto aos Controles de Segurança adotados e a observância dos padrões de Segurança da Informação exigidos pela LGPD. Para tanto, a Cactus deverá, previamente à contratação de terceiros:

  • Incluir cláusulas específicas sobre Segurança da Informação e proteção de Dados Pessoais nos contratos celebrados com terceiros;
  • A depender do nível de ingerência nos Ativos e/ou Informações da Cactus, requerer documentos e demais subsídios que comprovem nível de maturidade suficiente em Segurança da Informação e proteção de Dados Pessoais.

9. CANAIS DE COMUNICAÇÕES SOBRE DESCUMPRIMENTO DESTA POLÍTICA

Qualquer violação ou descumprimento, atual ou suspeita, desta Política deve ser imediatamente comunicada ao Departamento de Tecnologia, por meio formulário interno do Departamento de Tecnologia.

Além disso, em caso de qualquer suspeita de Incidente de Segurança que envolva Dados Pessoais, o Encarregado, para além do Departamento de Tecnologia, deverá ser comunicado por meio do seguinte e-mail: [e-mail de comunicação de Incidentes de Segurança da Informação].

10. SANÇÕES

Violações às disposições estabelecidas nesta Política ou em quaisquer dos documentos complementares da Cactus poderão sujeitar o Colaborador às seguintes penalidades:

  • participação obrigatória em programas de treinamento ou de formação;
  • advertência verbal ou escrita;
  • suspensão;
  • perda total ou parcial da remuneração variável (se houver);
  • demissão, desligamento, exclusão da sociedade e/ou rescisão de contrato de prestação de serviços (conforme aplicável); e
  • demais medidas previstas em regulamento interno, ou de natureza cível e criminal, conforme aplicável à infração em questão.