Ilustração - Política de Segurança da Informação

Política de Segurança da Informação

1. Objetivo

A Dock Ltd. e suas subsidiárias, a seguir somente “Dock”, em razão de seu compromisso com a proteção das informações de sua propriedade e responsabilidade, tem como objetivo estabelecer diretrizes para a tratativa dos ativos de informação e níveis aceitáveis de confiabilidade.

2. Abrangência

É destinada a todos os seus colaboradores, estagiários e Terceiros, que atuam sob contrato, e que, nas suas atribuições e/ou execução do contrato, fazem uso de informações de negócio ou administrativas.

3. Diretrizes

Toda informação é protegida conforme as regras definidas nesta política. A adoção de procedimentos que garantam a Segurança da Informação são prioridade constante nas áreas da Dock, de forma a reduzir falhas e danos que venham a comprometer a sua imagem ou trazer prejuízos a outrem.
Esta política assegura que as regulamentações e circulares do Banco Central aplicáveis são monitoradas e atendidas pela Dock e que os processos envolvidos no tratamento de dados de cartão possuam os controles definidos pelo PCI-DSS (Payment Card Industry – Data Security Standard).

3.1. Princípios de Segurança da Informação

Os princípios da Segurança da Informação abrangem, basicamente, os seguintes aspectos:

Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Integridade: Garantia de que a informação seja mantida em seu estado original, visando protegê-la, no processo, transporte e armazenamento, contra alterações indevidas, intencionais ou acidentais.

Disponibilidade: Garantia de que os colaboradores autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Autenticidade: Valida a autorização do usuário (mediante credenciais e processo de autenticação) para acessar, transmitir e receber determinadas informações, confirmando a identidade dos colaboradores antes de liberar o acesso aos sistemas e recursos, garantindo que não se passem por pessoas não autorizadas.

Não-repúdio: Ou irretratabilidade. Garante que uma pessoa ou entidade não possa negar a autoria da informação fornecida, como no caso do uso de certificados digitais para transações online e assinatura de documentos eletrônicos.

3.2. Programa de Conscientização

A Dock possui programas de conscientização e treinamentos com o objetivo de elevar o nível de capacitação de todos os seus colaboradores nas temáticas de ciberataques e diretrizes de Segurança da Informação.

3.3. Classificação, Tratamento e Rastreabilidade da Informação

Toda informação é classificada e controlada de maneira que sejam aplicados os princípios da integridade, confidencialidade, disponibilidade, autenticidade e não-repúdio garantindo a rastreabilidade de acordo com seu grau de sigilo.

3.4. Controle de Acesso e autenticação

Todos os acessos ao ambiente da Dock são controlados, monitorados, restritos, revistos periodicamente e revogados tempestivamente ao término do contrato de trabalho do colaborador ou Terceiro.

3.5. Segurança Física e do Ambiente

As áreas e instalações da Dock são classificadas em níveis de segurança para fins de controle de acesso físico. O cerimonial de chaves criptográficas respeita os requisitos de segurança definidos na versão mais atual do PCI-DSS.

3.6. Segurança em Nuvem

Na Dock o uso de serviços em nuvem é uma estratégia importante para ganho de disponibilidade, confiabilidade e escala em seus serviços.

3.7. Controles criptográficos

A Dock desenvolve e implementa controles criptográficos, padrões de criptografia fortes em trânsito e em descanso, gestão e cerimonial de chaves, conforme melhores práticas dos frameworks de segurança, legislação vigente e normas internas.

3.8. Desenvolvimento Seguro

A Dock possui diretrizes de segurança para o desenvolvimento e manutenção de aplicações e sistemas, de forma a direcionar a criação e execução destes processos de forma segura, garantindo maior nível de confiabilidade dos serviços.

3.9. Backup e Continuidade de Negócio

A Dock trabalha para oferecer o mais alto nível em segurança e disponibilidade dos seus produtos. Todas as informações e sistemas necessários ao suporte e continuidade dos serviços da Dock são submetidos aos processos de backup e Plano de Continuidade de Negócio para restauração e recuperação permanente das operações e atividades durante um evento de interrupção de serviços.

3.10. Testes de Segurança

A Dock periodicamente realiza testes de intrusão internos e externos, assegurando que os seus ambientes atendem às necessidades de Segurança da Informação.

3.11. Rede Corporativa e Segmentação de Redes

Na Dock as redes e sub-redes são segmentadas para assegurar o controle de acesso restrito, proteção e isolamento dos ambientes críticos, conforme as melhores práticas do PCI-DSS a fim de garantir a comunicação segura.

3.12. Correio Eletrônico, Mensageria e Transmissão Segura

O serviço de correio eletrônico, mensageria, bem como demais meios de comunicação disponibilizados, devem ser usados exclusivamente para atender propósitos, suporte, serviços e objetivos específicos de negócios da Dock.

3.13. Gestão de Vulnerabilidades

A Dock executa periodicamente, varreduras nos seus ambientes a fim de identificar possíveis fragilidades e vulnerabilidades que possam comprometer os sistemas. Além disso, conta com a análise de requisitos de segurança desde a concepção (security by design) de novos produtos.

3.14. Monitoramento do ambiente

A Dock conta com mecanismos de monitoramento e auditoria para estações de trabalho, servidores, correio eletrônico, conexões com a internet e dispositivos móveis. Além de mecanismos e práticas protetivas, preventivas, detectivas e corretivas para garantir a segurança das informações da Dock.

3.15. Sistemas de Detecção e Prevenção de Intrusão

A fim de prevenir contra o vazamento de dados, a Dock utiliza soluções especializadas em monitoramento de alertas sobre suspeitas de movimentações atípicas, inclusive em transferências de informações via correio eletrônico.

3.16. Sistemas Antivírus e Antispyware

A Dock possui soluções de Antivírus e Antispyware instalados em todos seus servidores e estações de trabalho dos colaboradores.

3.17. Hardware e Software

Todos os processos que envolvem o ciclo de vida útil de sistemas corporativos, incluindo hardware e software da Dock, seguem as melhores práticas e recomendações em Segurança da Informação.

3.18. Plano de Resposta a Incidentes de Segurança da Informação

A Dock possui estratégias de monitoramento, observabilidade e resposta a incidentes de Segurança da Informação, cobrindo todos os produtos críticos, além de sempre observar as legislações vigentes que são aplicáveis à operação.

3.19. Cenários de Incidentes

A Dock realiza testes de mesa a fim de comprovar a eficácia dos planos de resposta a ciberataques, para cenários relevantes. Além disso, são realizadas melhorias contínuas de acordo com os resultados observados.

3.20. Privacidade

A privacidade dos clientes, colaboradores e parceiros, é tema prioritário para a Dock. Para mais detalhes de como os dados pessoais são tratados, coletados, utilizados e divulgados, acesse o Portal de Privacidade da Dock.

4. Definições

Dock Ltd. e suas subsidiárias/Dock: Contemplam todas as empresas e CNPJs do grupo Dock Tech, Dock Ip, Bpp, Cacao, Dock Colômbia e as demais Latam;

PCI DSS: Acrônimo para o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (Payment Card Industry Data Security Standard) foi desenvolvido para incentivar e aprimorar a segurança dos dados do portador do cartão e promover a ampla adoção de medidas de segurança de dados consistentes no mundo todo;

Acessos Lógicos: Conjunto de controles de hardware e software destinados a proteger informações e prover acesso apenas aos colaboradores que possuem permissão;

Terceiros: Empresas fornecedoras, prestadoras de serviços, parceiros comerciais ou terceiros em sentido estrito (Recurso humano, pessoa jurídica simples que não faz parte da estrutura organizacional interna da Dock, alocada por um determinado período de tempo para exercer a prestação de serviço).