LEGISLAÇÃO E NORMATIVOS APLICÁVEIS
– Resolução BACEN CVM 4.893/2021
– Lei 13.709/2018 – Lei geral de Proteção de Dados
– ISO/IEC 27001/2013 – Sistema de Gestão da Segurança da Informação
Esta Política de Segurança da Informação e cibernética tem por objetivo
expressar o posicionamento da Dobank, ao público em geral, sobre os
princípios e diretrizes que visam assegurar a confidencialidade, a
integridade e a disponibilidade dos dados e dos sistemas de informações
relacionadas à segurança cibernética, em observância à legislação em
vigor aplicável e às boas práticas para a segurança da informação, em
conformidade a resolução do BACEN 4.893/2021.
1.1. Confidencialidade: garantir que as informações tratadas sejam de
acesso exclusivo de pessoas especificamente autorizadas;
1.2. Integridade: garantir que as informações sejam mantidas íntegras, sem
modificações indevidas – acidentais ou propositais;
1.3. Disponibilidade: garantir que as informações estejam disponíveis à
todas as pessoas autorizadas a gerencia-las.
O desenvolvimento desta política realizou-se observando o porte, perfil de
risco, modelo de negócio, natureza das operações e a complexidade dos
produtos e serviços.
Esta política tem relevância organizacional, sendo aplicável à todos os sócios, colaboradores, funcionários, estagiários, parceiros e partes interessadas. Aplica-se a todo e qualquer cliente/usuário com acesso às informações da Dobank, independentemente de seu vínculo com a Instituição.
Esta política deve ser revisada periodicamente ou, caso ocorram mudanças na estrutura da Dobank ou, quando necessário por força de normativas do BACEN.
4.1. Privacidade das Informações
Nós consideramos os ativos de informação como bens valiosos no mundo
financeiro, logo a privacidade das informações de nossos clientes e
parceiros tornam-se princípios da instituição. A Dobank estabelece
controles para segurança das informações de seus clientes através dos
requisitos de confidencialidade, integridade e disponibilidade, buscando
utilizar as melhores tecnologias e processos de mercado para manter seus
dados protegidos contra ações de terceiros.
4.2. Processo de Autenticação e Acessos
A Dobank estabelece como regra o acesso aos seus sistemas de
processamento de informações através de identificação pessoal,
inequívoca e intransferível. Logo o compartilhamento das credenciais de
clientes para acesso a todo e qualquer sistema de informações não é
recomendada. Internamente, concedemos aos nossos colaboradores e a
terceiros somente o acesso às informações necessárias ao desempenho
de suas funções e atribuições previstas em contrato ou por determinação
legal.
4.3. Gestão de Fornecedores e Terceiros
Buscamos manter, além de reforçar, nossos requisitos de segurança da
informação e cibernética na contratação de serviços ou de pessoas
classificadas como prestadores de serviço, fornecedores e terceiros.
4.4. Gestão de Incidentes
O comportamento de possíveis ataques é identificado por meio de
controles de detecção implementados no ambiente, como filtro de
conteúdo, ferramenta de detecção de comportamentos maliciosos,
antivírus, antispam, entre outros.
4.5. Conscientização de Segurança da informação
Disseminamos a cultura de segurança da informação e cibernética aos
sócios, colaboradores, funcionários, estagiários e parceiros, através de
programa permanente da instituição para sensibilização, conscientização
e capacitação.
4.6. Prevenção a Vazamentos de Informações
Utilizamos controles internos e externos para prevenção de perda de
dados, cuja finalidade é garantir que informações confidenciais não sejam
roubadas. Possuímos processos para classificar informações como
confidenciais, restritas, internas ou públicas, além de ferramentas
tecnológicas como antivírus, antispam entre outros.
4.7. Gestão de Vulnerabilidades
Realizamos periodicamente varreduras de nossas redes internas e
externas. As vulnerabilidades identificadas são tratadas e priorizadas de
acordo com seu nível de criticidade. Regularmente executamos Pen Testes
em nossos sistemas críticos a fim de mante-los seguros.
4.8. Rastreabilidade
Mantemos auditorias automatizadas (logs) em nossos sistemas para
reconstituir eventos como:
a) Autenticação de usuários (tentativas validas e invalidas);
b) Acessos a dados/informações;
c) Ações executadas por usuários como criação ou remoção de objetos
em sistemas.
5.1. Uso de senhas e autenticação
É de responsabilidade do cliente o armazenamento e guarda seguro de
seus dados de identificação/acesso junto aos sistemas da Dobank (login/
senha), que é único e exclusivo de cada cliente. Assim recomendamos
que:
a) Mantenha a confidencialidade, memorize e não registre a senha em
lugar algum. Evitar compartilhar sua senha com outros usuários;
b) Não anotar em papel ou quadro visível;
c) Deve-se alterar a senha sempre que existir uma suspeita do
comprometimento dela;
d) Na criação de senhas sempre optar por usar um bom grau de
complexibilidade (usar caracteres especiais, números e letras maiúsculas),
de modo que sejam complexas e de difícil adivinhação;
e) Evitar que outras pessoas usem seu computador/dispositivo móvel
enquanto você estiver conectado (login ativo) aos sistemas da Dobank;
f) Bloquear sempre seu equipamento (computador/dispositivo móvel) ao
se ausentar.
5.2. Proteção contra vírus (antivírus)
É altamente recomendado que o cliente possua uma solução de antivírus
instalada e atualizada em seu computador utilizado nos acessos aos
serviços da Dobank. Sempre mantenha seu sistema operacional atualizado
com as últimas atualizações lançadas pelo fabricante.
5.3. Phishing
É uma técnica utilizada por cibercriminosos para enganar os usuários,
através de envio de e-mails maliciosos, afim de obter informações
pessoais como senhas, cartão de crédito, CPF, número de contas
bancárias, entre outros. Abaixo seguem tipos de abordagens utilizadas em
e-mails de phishing:
a) Quando procuram atrair as atenções dos usuários, seja pela
possibilidade de obter alguma vantagem financeira, seja por curiosidade
ou seja por caridade;
b) Quando tentam se passar pela comunicação oficial de instituições
conhecidas como: Bancos, Lojas de comércio eletrônico, entre outros sites
populares;
c) Quando tentam induzir os usuários a preencher formulários com os seus
dados pessoais e/ou financeiros, ou até mesmo a instalação de softwares
maliciosos que possuem o objetivo de coletar informações sensíveis dos
usuários;
5.4. Engenharia social
Desconfiar de e-mails ou contatos com promessas de ganhos financeiros
ou bens de valor elevado em troca de alguma informação sigilosa do
cliente. Este tipo de procedimento se enquadra em táticas de engenharia
social, no contexto de segurança da informação que visam abusar da
confiança ou ingenuidade do cliente.
Caso o cliente e/ou usuário identifique indícios de irregularidades no cumprimento das determinações desta Política, pedimos que este entre em contato conosco imediatamente do e-mail: [email protected]
O cliente declara ter lido, entendido e aceitado todas as regras e disposições contidas neste Instrumento.