Segurança da Informação e Segurança Cibernética - Santander

Segurança da Informação e Segurança Cibernética

Conheça os processos e controles que o Santander estabelece para proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança da Informação e Segurança Cibernética.

Os princípios de Segurança da Informação e Segurança Cibernética estabelecidos nesta política possuem total aderência da alta administração da organização. São observados por todos na execução de suas funções, incluindo as instituições financeiras e demais sociedades autorizadas a funcionar pelo Banco Central do Brasil integrantes do Conglomerado Econômico-Financeiro do Santander Brasil que a ela tenham expressamente aderido.

Responsabilidades e objetivos da Segurança da Informação

A área de Segurança da Informação do Santander é responsável por estabelecer, por meio da definição de políticas, padrões, procedimentos e controles, a integridade, disponibilidade e confidencialidade das informações contidas nos ambientes da organização. O objetivo é minimizar possíveis impactos e vulnerabilidades e reduzir a ocorrência de incidentes de segurança que afetem os negócios do Santander. A disciplina concentra esforços contínuos para proteção dos ativos de informação, auxiliando a organização a cumprir sua missão e valores. Conheça nossos objetivos:

• Confidencialidade: visa garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas.
• Integridade: busca garantir que as informações sejam mantidas íntegras, sem modificações indevidas (acidentais ou propositais).
• Disponibilidade: garante que as informações estejam disponíveis às pessoas autorizadas.

Responsabilidades e objetivos da Segurança Cibernética

A área de Segurança Cibernética do Santander é responsável por identificar, proteger, detectar, responder e recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações. Buscamos identificar:

• Incidentes cibernéticos:  todo e qualquer evento não esperado que gere algum tipo de instabilidade, quebra de política ou que possa causar danos ao Santander.
• Ataque cibernético: é a exploração por parte de um agente malicioso para tirar proveito de ponto(s) fraco(s) com a intenção de alcançar um impacto negativo no alvo. Os atacantes podem ter como alvo os clientes, fornecedores e parceiros do Santander para causar impacto significante para a organização.
• Ativos tecnológicos: é qualquer dispositivo físico ou digital, equipamento ou outro componente do ambiente que suporte atividades relacionadas à informação.

Princípios de Segurança da Informação do Santander

Proteção da informação

É diretriz que toda informação de propriedade do Santander seja protegida de forma a não comprometer a sua confidencialidade, integridade ou disponibilidade, independentemente da forma apresentada ou do meio pelo qual é compartilhada ou armazenada.

Gestão, controle de acessos e rastreabilidade

Os acessos às informações são realizados somente mediante autorização do responsável pela informação e são restritos a pessoas autorizadas.

Autenticação

Todo funcionário, estagiário ou prestador de serviços possui apenas um identificador (login) de acesso à informação.

Prevenção contra vírus, arquivos e softwares maliciosos

A organização tem controles para prevenir que vírus e outros tipos de softwares maliciosos entrem e se espalhem nos sistemas de informação por meio de arquivos e softwares não homologados cuja instalação e uso são proibidos.

Manutenção e cópias de segurança

A organização conta com procedimentos específicos para garantir a recuperação de dados e informações quando necessário.

Classificação dos dados e das informações

A organização adota quatro categorias para efeitos de classificação da informação:
• Público;
• Interno;
• Confidencial;
• Reservado.

Conscientização em Segurança da Informação

O Santander pratica a disseminação da cultura de Segurança da Informação aos seus funcionários, prestadores de serviços e estagiários por meio de treinamentos específicos focados em garantir a confidencialidade, integridade e disponibilidade das informações.

Mesa limpa e descarte de informações

O Santander tem práticas orientadas aos funcionários, prestadores de serviço e estagiários para que não deixem informações à mostra e as descartem sempre que necessário.

Confidencialidade

Todos os contratos firmados com o Santander possuem cláusula de confidencialidade.

Utilização dos recursos da informação

O Santander possui práticas em que apenas softwares disponibilizados e equipamentos configurados de acordo com o padrão da organização podem ser usados pelos funcionários, prestadores de serviço e estagiários.

Prevenção a vazamento de informações

O Santander tem controles e políticas que previnem o vazamento de informações estabelecendo boas práticas para uso de correio eletrônico, acesso à internet, acesso remoto, uso de telefones móveis, comportamento dos funcionários, prestadores de serviços e estagiários em locais públicos e na troca de informações com fornecedores.

Resposta, tratamento de tncidentes de Segurança Cibernética e continuidade de negócios

Tratamento de incidentes cibernéticos

O Santander conta com mecanismos para prevenção de ameaças de origem cibernética. Todo e qualquer incidente de segurança cibernética, passa por uma análise e é classificado de acordo com o impacto causado pelo incidente, que pode ser crítico ou baixo de acordo com a classificação vigente.

Caso um incidente de origem cibernética seja identificado pelo público geral, o mesmo deverá ser reportado pelo e-mail csirt@santander.com.br.

Gestão de continuidade de negócios

A GCN (Gestão de Continuidade de Negócios) tem por objetivo avaliar a necessidade do desenvolvimento e implantação do PCN (Plano de Continuidade de Negócios), identificando procedimentos e infraestrutura alternativa para proteger as pessoas, a reputação, os valores e os compromissos com os públicos relacionados.

Para administrar crises, há uma governança pré-estabelecida, com membros previamente definidos. A responsabilidade é de administrar situações especiais, caso ocorra uma situação de excepcionalidade, diferente da esperada ou que deva derivar da gestão ordinária dos negócios. O objetivo é identificar o que possa comprometer o desenvolvimento das atividades ou acarretar em uma deterioração grave na situação financeira da entidade ou do grupo, por conjeturar um afastamento significativo do apetite ao risco e dos limites definidos.

O Santander possui mecanismos de acionamento dos planos de continuidade de negócios em caso de desastres, tanto de origem cibernética como operacional.

Aderência à Política

Caso seja identificada uma conduta não aderente à referida política, ou o seu descumprimento, o Santander tomará as medidas legais, tecnológicas ou disciplinares necessárias de forma a manter a aderência a mesma.