Política de Segurança da Informação

1. Objetivos
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

O principal propósito desta política é de estabelecer, de forma estratégica e voltada ao negócio, a base para que a Swap Meios de Pagamentos Instituições de Pagamentos (“Swap” ou “Companhia”) possa manter a confidencialidade, integridade e disponibilidade de seus serviços, tecnologias e ativos de informação.
Também como objetivo desta política está a necessidade de fornecer a conscientização e orientação para o desenvolvimento e a manutenção de controles que serão operados e geridos por pessoas, processos e tecnologia, para assim, construir um ambiente seguro, e que todos os Swappers possuam uma visão orientada à riscos, para que a Swap adote iniciativas que possam prevenir, detectar, responder e recuperar de possíveis riscos cibernéticos.

2. Princípios de Segurança da Informação
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

Segurança da Informação é, primariamente, garantir que pessoas, tecnologias, dados e informações estejam propriamente protegidos e seguros. Para que seja possível dar base à esta ideologia, alguns princípios devem ser constituídos e preservados dentro da companhia, sendo eles:

• Confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
• Isolamento e proteção de ativos de informação críticos e de valor para a companhia;
• Identificação, análise, tratamento e gerenciamento de riscos.

Estes princípios são implementados e mantidos pela Swap através de três bases: pessoas, processos e tecnologias. Estas três bases devem estar cientes, adaptadas ou configuradas com o entendimento do que é a segurança da informação e como são as suas medidas e direções voltadas ao negócio.

3. Dados e informações críticas
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

São considerados críticos quaisquer dados ou informações que sejam dados pessoais, dados pessoais sensíveis, dados financeiros e dados de cartões, além de dados confidenciais acerca de tecnologias, negócios e estratégias da Swap.

Estes dados devem estar devidamente protegidos e com controle de acesso adequado. Todos os dados e informações devem conter uma classificação de acordo com a necessidade de uso e compartilhamento, conforme a seguir:

• Confidencial: Apenas pessoas explicitamente autorizadas devem ter acesso à este tipo de informação;
• Uso Interno: Apenas Swappers e ou partes terceirizadas que sejam explicitamente autorizadas devem ter acesso à este tipo de Informação;
• Público: As informações neste tipo de documento são públicas para o mundo.

4. Gerenciamento de riscos
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

O risco é inerente ao negócio e está presente em todos os momentos dentro da companhia, e por isso, é de extrema importância que os times internos possam entender, identificar e analisar cenários de riscos para que a Swap possa mitigá-los.

A partir da identificação, todos os riscos devem ser avaliados e passar por um processo de agregação de valor, de forma quantitativa e qualitativa. Faz-se necessário transparência e clareza para que a companhia entenda qual a criticidade de um risco.

5. Acessos e princípio de menor privilégio
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

Todos os Swappers devem possuir seus acessos e credenciais únicas e intransferíveis, que não devem ser compartilhados em nenhum momento com qualquer pessoa. Estes acessos serão base para qualquer ferramenta que os Swappers venham a utilizar dentro da Swap e todas as suas ações devem ser autenticadas para o uso das tecnologias e ferramentas disponibilizadas oficialmente pela Swap como descrito na Política de Gestão de Acessos Físicos e Lógicos.

É importante ressaltar que a Swap segue o princípio de menor privilégio em todos os seus sistemas que são gerenciados pelo time de Segurança da Informação.

6. Arquitetura de segurança
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

A Swap possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o seu ambiente produtivo e ativos de informação.

O time de Segurança da Informação deverá possuir uma base de segurança cibernética estrategicamente implementada em cada camada dos ambientes. Essas proteções são imprescindíveis para manter a Swap mais segura e menos suscetível a incidentes e ataques.

7. Monitoramento, logs e auditorias
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

Todos os sistemas construídos e oferecidos pela Swap, assim como as ferramentas utilizadas para a operacionalização dos times internos, devem possuir, minimamente, os logs de registros de cada ação efetuada pelos usuários dentro destes sistemas e ferramentas. Assim, a Swap garante que exista a possibilidade da audibilidade, fornecendo trilhas de auditorias para investigações necessárias.

8. Incidentes de Segurança da Informação
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

Todo e qualquer incidente identificado deverá passar pelo processo de resposta à incidentes definido pela Swap. Dentro deste processo, o responsável pela resposta de cada incidente deverá de forma primária identificar se um incidente é ou não um incidente de segurança da informação.

O time de Segurança da Informação deverá ser comunicado e envolvido em qualquer incidente ocorrido e caso seja constatado que se trata de um incidente de segurança da informação, este time deverá tomar a frente e a responsabilidade pela resolução do incidente ocorrido.

9. Conscientização da Segurança da Informação
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

A segurança da informação da Swap deve ser estrategicamente repassada a todos os Swappers. Para criar um ambiente mais seguro e no qual o comportamento natural seja a visão de segurança da informação e uma orientação à gestão de riscos, a Swap deve se comprometer em sempre repassar os conhecimentos para disseminação da cultura de segurança cibernética na companhia, incluindo:

• Implementação de programas de conscientização e de avaliação periódica;
• Prestação de informações a usuários finais sobre precauções na utilização de produtos, operações no dia-a-dia e serviços oferecidos, seja no ambiente corporativo ou pessoal;
• O comprometimento da liderança da Swap com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.

10. Proteção da Informação
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

A Swap respeita a privacidade dos titulares e origem dos dados e garante a disponibilidade, integridade e confidencialidade dos dados em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado, a finalidade e a gravidade dos riscos.

11. Conformidade com leis, regulações, contratos e certificações
Seta apontando para cima ou baixo, de acordo se as informações já foram expandidas ou não

A Swap é uma companhia que tem como compromisso estar em conformidade com todos os órgãos legislativos, reguladores e certificadores, além de manter o comprometimento e transparência com os clientes sobre suas responsabilidades.

1. Objetivos
O principal propósito desta política é de estabelecer, de forma estratégica e voltada ao negócio, a base para que a Swap Meios de Pagamentos Instituições de Pagamentos (“Swap” ou “Companhia”) possa manter a confidencialidade, integridade e disponibilidade de seus serviços, tecnologias e ativos de informação.
Também como objetivo desta política está a necessidade de fornecer a conscientização e orientação para o desenvolvimento e a manutenção de controles que serão operados e geridos por pessoas, processos e tecnologia, para assim, construir um ambiente seguro, e que todos os Swappers possuam uma visão orientada à riscos, para que a Swap adote iniciativas que possam prevenir, detectar, responder e recuperar de possíveis riscos cibernéticos.


2. Princípios de Segurança da Informação
Segurança da Informação é, primariamente, garantir que pessoas, tecnologias, dados e informações estejam propriamente protegidos e seguros. Para que seja possível dar base à esta ideologia, alguns princípios devem ser constituídos e preservados dentro da companhia, sendo eles:

• Confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
• Isolamento e proteção de ativos de informação críticos e de valor para a companhia;
• Identificação, análise, tratamento e gerenciamento de riscos.

Estes princípios são implementados e mantidos pela Swap através de três bases: pessoas, processos e tecnologias. Estas três bases devem estar cientes, adaptadas ou configuradas com o entendimento do que é a segurança da informação e como são as suas medidas e direções voltadas ao negócio.


3. Dados e informações críticas
São considerados críticos quaisquer dados ou informações que sejam dados pessoais, dados pessoais sensíveis, dados financeiros e dados de cartões, além de dados confidenciais acerca de tecnologias, negócios e estratégias da Swap.

Estes dados devem estar devidamente protegidos e com controle de acesso adequado. Todos os dados e informações devem conter uma classificação de acordo com a necessidade de uso e compartilhamento, conforme a seguir:

• Confidencial: Apenas pessoas explicitamente autorizadas devem ter acesso à este tipo de informação;
• Uso Interno: Apenas Swappers e ou partes terceirizadas que sejam explicitamente autorizadas devem ter acesso à este tipo de Informação;
• Público: As informações neste tipo de documento são públicas para o mundo.


4. Gerenciamento de riscos
O risco é inerente ao negócio e está presente em todos os momentos dentro da companhia, e por isso, é de extrema importância que os times internos possam entender, identificar e analisar cenários de riscos para que a Swap possa mitigá-los.

A partir da identificação, todos os riscos devem ser avaliados e passar por um processo de agregação de valor, de forma quantitativa e qualitativa. Faz-se necessário transparência e clareza para que a companhia entenda qual a criticidade de um risco.


5. Acessos e princípio de menor privilégio
Todos os Swappers devem possuir seus acessos e credenciais únicas e intransferíveis, que não devem ser compartilhados em nenhum momento com qualquer pessoa. Estes acessos serão base para qualquer ferramenta que os Swappers venham a utilizar dentro da Swap e todas as suas ações devem ser autenticadas para o uso das tecnologias e ferramentas disponibilizadas oficialmente pela Swap como descrito na Política de Gestão de Acessos Físicos e Lógicos.

É importante ressaltar que a Swap segue o princípio de menor privilégio em todos os seus sistemas que são gerenciados pelo time de Segurança da Informação.


6. Arquitetura de segurança
A Swap possui como objetivo de segurança cibernética prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o seu ambiente produtivo e ativos de informação.

O time de Segurança da Informação deverá possuir uma base de segurança cibernética estrategicamente implementada em cada camada dos ambientes. Essas proteções são imprescindíveis para manter a Swap mais segura e menos suscetível a incidentes e ataques.


7. Monitoramento, logs e auditorias
Todos os sistemas construídos e oferecidos pela Swap, assim como as ferramentas utilizadas para a operacionalização dos times internos, devem possuir, minimamente, os logs de registros de cada ação efetuada pelos usuários dentro destes sistemas e ferramentas. Assim, a Swap garante que exista a possibilidade da audibilidade, fornecendo trilhas de auditorias para investigações necessárias.


8. Incidentes de Segurança da Informação
Todo e qualquer incidente identificado deverá passar pelo processo de resposta à incidentes definido pela Swap. Dentro deste processo, o responsável pela resposta de cada incidente deverá de forma primária identificar se um incidente é ou não um incidente de segurança da informação.

O time de Segurança da Informação deverá ser comunicado e envolvido em qualquer incidente ocorrido e caso seja constatado que se trata de um incidente de segurança da informação, este time deverá tomar a frente e a responsabilidade pela resolução do incidente ocorrido.


9. Conscientização da Segurança da Informação
A segurança da informação da Swap deve ser estrategicamente repassada a todos os Swappers. Para criar um ambiente mais seguro e no qual o comportamento natural seja a visão de segurança da informação e uma orientação à gestão de riscos, a Swap deve se comprometer em sempre repassar os conhecimentos para disseminação da cultura de segurança cibernética na companhia, incluindo:

• Implementação de programas de conscientização e de avaliação periódica;
• Prestação de informações a usuários finais sobre precauções na utilização de produtos, operações no dia-a-dia e serviços oferecidos, seja no ambiente corporativo ou pessoal;
• O comprometimento da liderança da Swap com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.


10. Proteção da Informação
A Swap respeita a privacidade dos titulares e origem dos dados e garante a disponibilidade, integridade e confidencialidade dos dados em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado, a finalidade e a gravidade dos riscos.


11. Conformidade com leis, regulações, contratos e certificações
A Swap é uma companhia que tem como compromisso estar em conformidade com todos os órgãos legislativos, reguladores e certificadores, além de manter o comprometimento e transparência com os clientes sobre suas responsabilidades.