Segurança da Informação e Segurança Cibernética - Santander

Segurança da Informação e Segurança Cibernética

Conheça os processos e controles que o Santander estabelece para proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança da Informação e Segurança Cibernética.

Os princípios de Segurança da Informação e Segurança Cibernética estabelecidos nesta política possuem total aderência da alta administração da organização. São observados por todos na execução de suas funções, incluindo as instituições financeiras e demais sociedades autorizadas a funcionar pelo Banco Central do Brasil integrantes do Conglomerado Econômico-Financeiro do Santander Brasil que a ela tenham expressamente aderido.

Objetivos da Segurança Cibernética

A Segurança Cibernética do Banco Santander tem como objetivos a proteção dos ativos de     informação, a redução dos riscos de acessos não autorizados ou uso indevido da informação ou dos sistemas (por exemplo, roubo de informação pessoal ou estratégica), redução dos riscos de fraude financeira ou roubo (por exemplo, fraudes em contas correntes ou em cartões, roubo de identidade), risco de alteração de atividade comercial (por exemplo, sabotagem, negação de serviço), além da capacidade de identificar, proteger, detectar, responder e recuperar rapidamente de uma ameaça cibernética, a fim de proteger os ativos tecnológicos e informações auxiliando o Banco Santander Brasil a cumprir sua missão e valores. Desta forma, os objetivos principais são:

• Confidencialidade: visa garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas.
• Integridade: busca garantir que as informações sejam mantidas íntegras, sem modificações indevidas (acidentais ou propositais).
• Disponibilidade: garante que as informações estejam disponíveis às pessoas autorizadas.

Superintendência de Cyber Security

A superintendência de cyber security do Banco Santander é responsável por estabelecer, por meio da definição de políticas, padrões, procedimentos e controles, a integridade, disponibilidade e a confidencialidade das informações contidas nos ambientes do Banco Santander Brasil, minimizando possíveis impactos e vulnerabilidades e reduzindo a ocorrência de incidentes de segurança que afetem os negócios do Banco Santander Brasil, além de ser responsável por entender, gerenciar, reportar e escalar o risco de Segurança Cibernética em sua área (incluindo ativos relevantes, informações, sistemas e terceiros), estabelecer e supervisionar a correta aplicação da estratégia de segurança cibernética local em linha com a estratégia global e requisitos regulatórios do grupo, respaldar as áreas de negócio para impulsionar os comportamentos corretos de segurança cibernética, realizar avaliações de segurança e impor correções para os riscos e vulnerabilidades de segurança cibernética, gerir atividades de proteção contra fraude eletrônica e colaborar, coordenar e comunicar eventos de segurança cibernética com as áreas de negócio, reguladores, agências públicas e qualquer outro terceiro. Desta forma, tem as principais atribuições:
 
    • Governança e Gestão de Políticas de Segurança da Informação;
    • Gestão de Acessos (Definição de Regras e Critérios) e Segregação de Funções;
    • Certificação de Controles Internos de Segurança Cibernética;
    • Definição de Requisitos e Análise de Segurança em Projetos;
    • Gestão e Detecção de Vulnerabilidades;
    • Testes de Invasão;
    • Busca e Antecipação de Ameaças e Ataques Cibernéticos;
    • Resposta a Incidentes de Segurança Cibernética;
    • Segurança de Aplicações;

Princípios de Segurança da Informação do Santander

Proteção da informação

É diretriz que independentemente da forma apresentada que pode ser de forma básica, eletrônica, escrita ou falada ou como ela é compartilhada, armazenada ou transmitida, a informação seja utilizada unicamente à finalidade à qual foi autorizada pelo gestor da informação e não seja utilizada em meios não autorizados. É diretriz que toda informação de propriedade do Banco Santander Brasil seja protegida de forma a não comprometer a sua confidencialidade, integridade ou disponibilidade.

Gestão, controle de acessos e rastreabilidade

Os acessos às informações são realizados somente mediante autorização do responsável pela informação e são restritos a pessoas autorizadas.

Autenticação

Todo funcionário, estagiário ou prestador de serviços possui apenas um identificador (login) de acesso à informação.

Prevenção contra vírus, arquivos e softwares maliciosos

A organização tem controles para prevenir que vírus e outros tipos de softwares maliciosos entrem e se espalhem nos sistemas de informação por meio de arquivos e softwares não homologados cuja instalação e uso são proibidos.

Manutenção e cópias de segurança

A organização conta com procedimentos específicos para garantir a recuperação de dados e informações quando necessário.

Classificação dos dados e das informações

A organização adota cinco categorias para efeitos de classificação da informação:
        •Público;
        •Interno;
        •Confidencial;
        •Confidencial restrito;
        •Secreto.

Conscientização em Segurança da Informação

O Santander pratica a disseminação da cultura de Segurança da Informação aos seus funcionários, prestadores de serviços e estagiários por meio de treinamentos específicos focados em garantir a confidencialidade, integridade e disponibilidade das informações.

Mesa limpa e descarte de informações

O Santander tem práticas orientadas aos funcionários, prestadores de serviço e estagiários para que não deixem informações à mostra e as descartem sempre que necessário.

Confidencialidade

Todos os contratos firmados com o Santander possuem cláusula de confidencialidade.

Utilização dos recursos da informação

O Santander possui práticas em que apenas softwares disponibilizados e equipamentos configurados de acordo com o padrão da organização podem ser usados pelos funcionários, prestadores de serviço e estagiários.

Prevenção a vazamento de informações

O Santander tem controles e políticas que previnem o vazamento de informações estabelecendo boas práticas para uso de correio eletrônico, acesso à internet, acesso remoto, uso de telefones móveis, comportamento dos funcionários, prestadores de serviços e estagiários em locais públicos e na troca de informações com fornecedores.

Resposta, tratamento de incidentes de Segurança Cibernética e continuidade de negócios

Tratamento de incidentes cibernéticos

O Santander conta com mecanismos para prevenção de ameaças de origem cibernética. Todo e qualquer incidente de segurança cibernética, passa por uma análise e é classificado de acordo com o impacto causado pelo incidente, que pode ser crítico ou baixo de acordo com a classificação vigente.

Caso um incidente de origem cibernética seja identificado pelo público geral, o mesmo deverá ser reportado pelo e-mail csirt@santander.com.br.

Gestão de continuidade de negócios

A GCN (Gestão de Continuidade de Negócios) tem por objetivo avaliar a necessidade do desenvolvimento e implantação do PCN (Plano de Continuidade de Negócios), identificando procedimentos e infraestrutura alternativa para proteger as pessoas, a reputação, os valores e os compromissos com os públicos relacionados.

Para administrar crises, há uma governança pré-estabelecida, com membros previamente definidos. A responsabilidade é de administrar situações especiais, caso ocorra uma situação de excepcionalidade, diferente da esperada ou que deva derivar da gestão ordinária dos negócios. O objetivo é identificar o que possa comprometer o desenvolvimento das atividades ou acarretar em uma deterioração grave na situação financeira da entidade ou do grupo, por conjeturar um afastamento significativo do apetite ao risco e dos limites definidos.

O Santander possui mecanismos de acionamento dos planos de continuidade de negócios em caso de desastres, tanto de origem cibernética como operacional.

Aderência à Política

Caso seja identificada uma conduta não aderente à referida política, ou o seu descumprimento, o Santander tomará as medidas legais, tecnológicas ou disciplinares necessárias de forma a manter a aderência a mesma.