POLÍTICA DE SEGURANÇA

Em vigor: 7 de janeiro de 2025

Seguimos as melhores práticas do sector no que diz respeito à segurança e à conformidade, utilizando estruturas e diretrizes como OWASP, NIST, CIS e CSA, juntamente com o cumprimento dos requisitos regulamentares nas jurisdições dos nossos Clientes.

Os nossos princípios

  • Implementamos vários níveis e tipos de controlos de modo a que, se um controlo falhar, outros controlos limitem o impacto de um compromisso de segurança da informação, o que designamos por princípio da "defesa em profundidade".

  • Asseguramos que o acesso e a configuração dos activos de informação são limitados ao mínimo necessário para atingir os objectivos comerciais. Isto é referido como o princípio do "privilégio mínimo", que visa reduzir o número de vectores de ataque que podem ser utilizados para comprometer a nossa segurança da informação.

  • Asseguramos a deteção atempada de incidentes de segurança da informação. Isto minimiza o impacto de um comprometimento da segurança da informação.

  • Asseguramos que a segurança da informação é incorporada na conceção dos nossos activos de sistemas de informação, o que designamos por segurança desde a conceção.

  • Asseguramos que a utilização e o acesso aos activos de informação são atribuíveis a um indivíduo, hardware ou software, com atividade registada e monitorizada.

  • Asseguramos que o tratamento de erros é concebido de forma a que os erros não permitam o acesso não autorizado a bens de informação ou outros comprometimentos da segurança da informação.

  • Assumimos que os activos de informação têm um nível desconhecido e possivelmente reduzido de controlo da segurança da informação, o que designamos por princípio "nunca confiar, identificar sempre".

  • Aplicamos a separação de funções através da atribuição adequada de papéis e responsabilidades, o que reduz a possibilidade de as acções de um único indivíduo comprometerem a nossa segurança da informação.

  • Concebemos controlos que reforçam a conformidade com a nossa estrutura de políticas de segurança da informação, reduzindo assim a dependência de indivíduos.

  • Concebemos os controlos de deteção e resposta com base no pressuposto de que os controlos preventivos falharam. Este princípio é normalmente designado por "violação presumida".

Consciencialização

  • Temos um programa de formação e sensibilização para a segurança da informação para comunicar aos membros da equipa as práticas, políticas e outras expectativas em matéria de segurança da informação.

  • Acompanhamos as acções de formação realizadas e testamos a compreensão das políticas de segurança da informação relevantes aquando da sua entrada em funções e periodicamente.

  • Informamos os nossos utilizadores sobre a) a utilização pessoal ou empresarial dos activos de informação; b) a utilização do correio eletrónico, a utilização da Internet (incluindo as redes sociais) e a proteção contra malware; c) a proteção física, a computação remota e a utilização de dispositivos móveis; d) a sensibilização para as técnicas de ataque comuns dirigidas ao pessoal e aos activos (por exemplo e) controlos de acesso, incluindo normas relativas a palavras-passe e outros requisitos de autenticação; f) responsabilidades no que respeita a qualquer software desenvolvido/configurado pelo utilizador final (incluindo folhas de cálculo, bases de dados e burótica); g) expectativas do pessoal quando a opção é trazer o seu próprio dispositivo; h) tratamento de dados sensíveis; e i) comunicação de incidentes e preocupações em matéria de segurança da informação.

Identidade e acesso

  • Adoptamos controlos de gestão da identidade e do acesso para garantir que o acesso aos activos de informação só é concedido quando existe uma necessidade comercial válida e apenas durante o período de tempo em que o acesso é necessário.

  • Consideramos os seguintes factores ao autorizar o acesso aos activos de informação: função comercial, localização física, acesso remoto, hora e duração do acesso, estado dos patches e do anti-malware, software, sistema operativo, dispositivo e método de conetividade.

  • O fornecimento de acesso aos nossos utilizadores envolve as seguintes fases do processo: a) identificação - determinação de quem ou o que está a solicitar o acesso; b) autenticação - confirmação da suposta identidade; e c) autorização - avaliação da permissão de acesso a um ativo de informação pelo requerente, com base nas necessidades da empresa e no nível de segurança da informação (confiança) exigido.

  • Implementamos processos para garantir que as identidades e credenciais são emitidas, geridas, verificadas, revogadas e auditadas para dispositivos, utilizadores e software/processos autorizados.

  • A força da identificação e da autenticação é proporcional ao impacto no caso de uma identidade ser falsificada. As técnicas comuns para aumentar a força da identificação e autenticação incluem a utilização de técnicas de palavra-passe fortes (ou seja, comprimento, complexidade, limitações de reutilização e frequência de alteração), a utilização de técnicas criptográficas e o aumento do número e tipo de factores de autenticação utilizados. Os factores de autenticação incluem algo que uma pessoa: a) conhece - por exemplo, IDs de utilizador e palavras-passe; b) tem - por exemplo, um token de segurança ou outros dispositivos na posse da pessoa utilizados para a geração de palavras-passe de uso único; e c) é - por exemplo, digitalizações da retina, digitalizações da mão, digitalizações da assinatura, assinatura digital, digitalizações da voz ou outros dados biométricos.

  • Os exemplos que se seguem são aqueles em que é normalmente necessária uma maior força de autenticação, dado o impacto no caso de uma identidade ser falsificada: a) administração ou outro acesso privilegiado a activos de informação sensíveis ou críticos; b) acesso remoto (ou seja, através de redes públicas) a activos de informação sensíveis ou críticos; e c) actividades de alto risco (por exemplo, transferências de fundos de terceiros, criação de novos beneficiários).

  • Implementamos os seguintes controlos de acesso a) realização de processos de diligência prévia antes de conceder acesso ao pessoal; b) implementação de perfis de acesso baseados em funções, concebidos para garantir uma separação eficaz de funções; c) proibição de partilha de contas e palavras-passe (com a possível exceção de contas genéricas, em que a proibição de partilha de contas e palavras-passe é inevitável devido a restrições tecnológicas); d) alteração de palavras-passe e nomes de utilizador predefinidos; e) remoção atempada de direitos de acesso sempre que haja uma mudança de função ou responsabilidade e em caso de cessação do contrato de trabalho; f) tempos limite de sessão; g) processos para notificar o pessoal adequado das adições, supressões e alterações de funções dos utilizadores; h) registo de auditorias e monitorização do acesso aos activos de informação por todos os utilizadores; i) revisões regulares do acesso dos utilizadores pelos proprietários dos activos de informação para garantir a manutenção do acesso adequado; j) autenticação multifactor para acesso privilegiado, acesso remoto e outras actividades de alto risco; k) geração, em vez de armazenamento, de palavras-passe/números de identificação pessoal (PIN) quando utilizados para autorizar actividades de alto risco; e l) regra de duas pessoas aplicada aos activos de informação com o nível mais elevado de classificação de sensibilidade (por exemplo, chaves de encriptação, geração de PIN) quando utilizados para autorizar actividades de alto risco.l) regra de duas pessoas aplicada aos activos de informação com o nível mais elevado de classificação de sensibilidade (por exemplo, chaves de cifragem, geração de PIN, bases de dados financeiras).

  • Para efeitos de responsabilização, garantimos que os utilizadores e os activos de informação são identificados de forma única e que as suas acções são registadas com um nível de granularidade suficiente para apoiar os processos de monitorização da segurança da informação.

Segurança do software

  • Incluímos considerações de segurança da informação em todo o ciclo de vida da entrega de software, incluindo quando são utilizadas técnicas ágeis. As actividades típicas do ciclo de vida da entrega de software incluem a determinação dos requisitos, a seleção e a configuração (para software fornecido pelo fornecedor, incluindo software como serviço), a conceção e a programação (para software desenvolvido internamente), os testes e a implementação.

  • A segurança contínua do software existente é considerada como parte da gestão de alterações e à medida que são identificadas novas vulnerabilidades. Os factores típicos que consideramos incluem a) requisitos - os requisitos de segurança da informação são explicitamente identificados como parte da definição dos requisitos do software e abordam potenciais ameaças; b) conceção - as considerações ao conceber software seguro incluem a modularização do software; em que ponto da rede se encontra o software; com que privilégios o software é executado; a inclusão de caraterísticas de segurança da informação como parte das especificações técnicas; e as normas e diretrizes de segurança da informação para as quais as especificações do software são redigidas; c) seleção e configuração - as considerações ao selecionar e configurar o software fornecido pelo fornecedor incluem a devida diligência quanto aos testes de segurança realizados para identificar vulnerabilidades (intencionais ou deliberadas); capacidades de gestão do acesso dos utilizadores (por exemplo, baseadas em funções, apoio à segregação de funções); vulnerabilidades da interface; capacidades de monitorização; capacidades de encriptação; e) segurança do software.por exemplo, com base em funções, apoio à segregação de funções); vulnerabilidades da interface; capacidades de monitorização; capacidades de cifragem para proteger dados sensíveis; capacidade de obter e aplicar actualizações de segurança da informação em tempo útil; conformidade com o quadro da política de segurança; e configuração/implementação do software que minimize o risco de um comprometimento da segurança; d) normas e orientações - o conjunto de conhecimentos para o desenvolvimento de software seguro está incorporado num conjunto de normas e orientações. Existem normas para cada linguagem de programação, tendo em conta as vulnerabilidades conhecidas e o que é considerado uma boa prática.

  • Mantemos um registo das ferramentas de desenvolvimento de software aprovadas e da utilização associada. Fazemos cumprir o registo para efeitos de controlo de qualidade, evitando comprometer o ambiente de produção e reduzindo o risco de introdução de vulnerabilidades inesperadas. Isto não impede a utilização de outras ferramentas num ambiente que não seja de produção para efeitos de avaliação e experimentação.

  • Implementamos funções, responsabilidades e ferramentas para gerir o registo e a implementação do código fonte para garantir que os requisitos de segurança da informação não são comprometidos.

Técnicas criptográficas

  • As técnicas criptográficas referem-se a métodos utilizados para cifrar dados, confirmar a sua autenticidade ou verificar a sua integridade. Os exemplos seguintes são aqueles em que utilizamos técnicas criptográficas, tendo em conta os riscos envolvidos: a) transmissão e armazenamento de dados críticos e/ou sensíveis num ambiente "não fiável" ou quando é necessário um maior grau de segurança; b) deteção de qualquer alteração não autorizada de dados; c) verificação da autenticidade de transacções ou dados; e d) proteção de PINs de parceiros e utilizadores finais, que são normalmente utilizados para autorização de transacções financeiras.

  • Seleccionamos técnicas criptográficas com base na natureza da atividade e na sensibilidade e criticidade dos dados. Estas técnicas são normalmente revistas regularmente para garantir que continuam a ser proporcionais às vulnerabilidades e ameaças.

  • Seleccionamos algoritmos de encriptação a partir de uma população de normas internacionais bem estabelecidas e comprovadas que foram sujeitas a um rigoroso escrutínio público e verificação de eficácia. O comprimento de uma chave criptográfica seria normalmente selecionado para tornar impraticável um ataque de força bruta (ou seja, exigiria um período de tempo extremamente longo para ser violado utilizando as actuais capacidades de computação).

  • A gestão de chaves criptográficas refere-se à geração, distribuição, armazenamento, renovação, revogação, recuperação, arquivo e destruição de chaves de encriptação. Uma gestão eficaz das chaves criptográficas garante a existência de controlos para reduzir o risco de comprometer a segurança das chaves criptográficas. Qualquer comprometimento da segurança das chaves criptográficas pode, por sua vez, levar a um comprometimento da segurança dos activos de informação protegidos pela técnica criptográfica utilizada.

  • Implementamos, sempre que relevante, controlos para limitar o acesso a chaves criptográficas, incluindo a) a utilização de dispositivos e ambientes física e logicamente protegidos para armazenar e gerar chaves criptográficas, gerar PINs e efetuar encriptação e desencriptação. Isto implica a utilização de Módulos de Segurança de Hardware (HSM) ou de dispositivos de segurança semelhantes; b) a utilização de técnicas criptográficas para manter a confidencialidade das chaves criptográficas; c) a separação de funções, sem que uma única pessoa tenha conhecimento de toda a chave criptográfica (ou seja, controlos por duas pessoas) ou tenha acesso a todos os componentes que constituem essas chaves; d) datas de ativação e desativação predefinidas para as chaves criptográficas, limitando o período de tempo em que permanecem válidas para utilização. O período de tempo durante o qual uma chave criptográfica permanece válida é proporcional ao risco; e) processos de revogação de chaves criptográficas claramente definidos; e f) implementação de técnicas de deteção para identificar quaisquer casos de substituição de chaves criptográficas.

Segurança dos parceiros

  • Como empresa de plataforma, a nossa tecnologia pode introduzir vulnerabilidades adicionais de segurança da informação que, se exploradas, podem resultar em incidentes de segurança da informação potencialmente importantes que afectem os nossos parceiros e os beneficiários dos seus clientes. Implementamos controlos preventivos, de deteção e de resposta proporcionais a estes riscos. Os controlos comuns incluem: a) controlos de autenticação proporcionais à vulnerabilidade e às ameaças associadas aos produtos e serviços oferecidos, que incluem a utilização de um segundo canal de notificação/confirmação de eventos; b) limites para garantir que as perdas se situam dentro dos limites de tolerância ao risco (por exemplo, limites de transferência, limites de transação diária); c) monitorização da atividade de transação para detetar padrões de comportamento invulgares e análise das tendências de eventos de perda que podem desencadear a necessidade de controlos adicionais (por exemplo, perdas por fraude e roubo); d) controlo da segurança da informação.c) monitorização da atividade de transação para detetar padrões de comportamento anormais e análise das tendências de perdas que possam desencadear a necessidade de controlos adicionais (por exemplo, perdas por fraude e roubo); revisão da formação dos utilizadores finais e dos conselhos de segurança para garantir que continuam a ser adequados e alinhados com as práticas comuns do sector; d) procedimentos documentados e comunicados para a monitorização e gestão de incidentes de fraude, fuga de dados e roubo de identidade; e e) minimização da recolha de informações sensíveis sobre os clientes para além do que é relevante para as actividades comerciais realizadas. Isto inclui as informações sobre os clientes utilizadas para efeitos de autenticação, tais como palavras-passe/PINS.

Ensaios

  • Para limitar o acesso ao que foi autorizado com base na função e no princípio do menor privilégio, adoptamos a Gestão de Identidade e Acesso (IAM), a identificação e autenticação dos utilizadores, a segurança física, a sensibilização dos funcionários e a formação. Neste contexto, efectuamos (por exemplo) testes de engenharia social.

  • Implementamos uma política de palavras-passe e controlos de autenticação do sistema para autenticar os utilizadores com uma força proporcional à sensibilidade do ativo de informação que está a ser acedido. Para testar este objetivo, realizamos auditorias ao acesso dos utilizadores.

  • Para proteger as redes contra o tráfego não autorizado, utilizamos firewalls, routers e segmentação de redes e testamo-las através de testes de penetração.

  • Para proteger os sistemas contra ataques maliciosos, implementamos anti-malware, filtragem da Web e de correio eletrónico, amostras de teste de malware e testes de configuração para testar este objetivo.

  • Para proteger a comunicação entre sistemas, incluindo o intercâmbio de dados, contra o acesso e a utilização não autorizados, utilizamos a encriptação e a gestão de chaves, apoiadas por uma análise da gestão de chaves

  • Para detetar atempadamente o acesso e a utilização não autorizados, utilizamos registos, gestão de informações e eventos de segurança (SIEM), soluções de deteção de alterações de integridade, procedimentos de análise e escalonamento de eventos e testes de penetração para testar o nosso objetivo.

  • A fim de implementar software seguro, adoptamos práticas seguras de desenvolvimento, aquisição e implementação de software. Este objetivo é testado através de revisões de conceção, testes de penetração, revisão e verificação de código, análise de tráfego de rede, testes de falhas e fuzzing.

  • Para responder de forma eficaz e eficiente a incidentes de segurança da informação, adoptamos manuais de resposta a incidentes de segurança da informação, gestão de crises e um Plano de Continuidade de Negócio (BCP). Testamos este objetivo através de exercícios de mesa e testes de cenários público-privados.

  • Para que os sistemas tenham a capacidade de resistir à falha de componentes individuais, adoptamos soluções activas-activas, activas-passivas, soluções em sandbox e uma arquitetura de confiança zero. Testamos este objetivo através de testes de caos-macaco, revisões de arquitetura, testes de falhas e testes de recuperação de falhas.

  • Para recuperar em todos os cenários plausíveis, adoptamos planos de recuperação e controlos para proteger as cópias de segurança contra o comprometimento. Também efectuamos testes técnicos de recuperação e testes de penetração do ambiente de cópia de segurança.

  • Para que os controlos de implementação minimizem o risco de novas vulnerabilidades decorrentes da alteração do sistema, os nossos sistemas são seguros desde a conceção. Adoptamos um desenvolvimento de software seguro, testes não funcionais, controlo de alterações e reforço do sistema. Efectuamos análises de controlo de alterações, análise de código, análises de arquitetura e fuzzing.

  • Para apoiar a identificação e correção atempadas de novas vulnerabilidades, aplicamos correcções e utilizamos a gestão da configuração, apoiada por análises de vulnerabilidades e testes de penetração.

  • Utilizamos informações sobre ameaças, temos uma estratégia de segurança da informação e contratamos periodicamente revisores independentes para apoiar a identificação e correção atempada de novas ameaças.

Relatórios

Geral

  • Para socializar as nossas capacidades, apresentamos relatórios sobre a estratégia de segurança da informação, as principais iniciativas e os progressos realizados até à data; a análise do conhecimento da situação (incluindo informações sobre ameaças); as avaliações de capacidades (auto-avaliadas ou através de avaliação comparativa); e as lacunas de capacidades identificadas e o estado das actividades de correção

  • Para comunicar incidentes, nós: (a) Relatórios pós-incidente para incidentes materiais; (b) realizamos análises de tendências de incidentes (internos e externos); e (c) realizamos resultados de testes de resposta a incidentes (incluindo simulações).

  • Para comunicar os controlos, comunicamos: (a) Actividades de teste de controlo, incluindo calendário, âmbito, resultados e tendências; (b) Actividades de auditoria interna, incluindo calendário, âmbito, resultados e tendências; (c) Progressos nas actividades de risco e correção; (d) Resultados das avaliações de vulnerabilidades e ameaças; (e) Avaliações de terceiros e partes relacionadas; e (f) Relatórios de conformidade com o quadro da política de segurança da informação.

  • Para socializar a formação das nossas equipas, comunicamos (a) o material informativo e de sensibilização e (b) os resultados das sessões de formação e de sensibilização.

Pré-compromisso

  • Para comunicar os eventos, comunicamos (a) Ligações bloqueadas por scanning externo - contagem; (b) Novas vulnerabilidades por tipo OWASP - contagem; (c) Malware parado - contagem; (d) Sítios de phishing conhecidos - contagem; (e) Sítios de phishing abatidos - contagem e horas de abertura; (f) Malware único dirigido a bancos - contagem; (g) Vulnerabilidades por linha de código - contagem; (h) Aplicações que entram em produção com vulnerabilidades de código - contagem; e (i) Eventos de segurança detectados - contagem.

  • Para comunicar as nossas práticas, apresentamos relatórios sobre: a) Testes de penetração por tipo, contagem e classificação das conclusões; b) Sistemas protegidos por sistemas de gestão da identidade e do acesso - contagem; c) Sistemas desenvolvidos internamente que não podem ser actualizados por tipo e contagem; d) Sistemas com componentes de apoio externos por tipo, contagem e percentagem de cobertura; e) Sistemas sem soluções anti-malware - contagem; f) Dispositivos não autorizados por tipo e contagem; (g) Conformidade da configuração da segurança da informação - % de cobertura; h) Exercícios de sensibilização - % de cobertura e contagem; i) Pessoal que responde a testes de phishing - % do pessoal total; j) Análise do acesso dos utilizadores por função, privilégio, antiguidade e % de cobertura; k) Avaliações de segurança dos fornecedores ao longo de doze meses - % de cobertura de terceiros relevantes; l) Antiguidade dos patches por grau de importância e dias; e m) Relatório de garantia sobre a segurança da informação - constatações por classificação e antiguidade até à correção.

Sobre o compromisso

  • Para comunicar os nossos eventos, comunicamos: (a) Pontos finais de software malicioso detectados - contagem; (b) Software malicioso detectado em servidores - contagem; (c) Diretórios em linha contendo informações sobre funcionários/clientes - contagem; e (d) Tipo de incidente durante o período - por tipo e contagem.

  • Para comunicar as nossas práticas, comunicamos (a) os planos de resposta e recuperação desenvolvidos por tipo, número e percentagem de cobertura; e (b) os ensaios de incidentes por tipo, número e percentagem de cobertura).

Compromisso de postagem

  • Para comunicar eventos pós-compromisso, comunicamos (a) APT detectada - contagem; (b) Ligações bloqueadas a sítios Web maliciosos - contagem; (c) Violações de dados detectadas - contagem; (d) Perdas financeiras - $; e (e) Perdas de parceiros - $.

  • Para comunicar as práticas pós-compromisso, comunicamos os relatórios pós-incidente - contamos.