Política de Segurança
OBJETIVO
A Política de Segurança da Informação e Cibernética da iugu tem como objetivo estabelecer normas, conceitos, diretrizes, e responsabilidades sobre os principais aspectos relacionados à segurança da informação e segurança cibernética, visando preservar e garantir a confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade (não repúdio), legalidade e conformidade dos dados e informações da iugu, dos clientes e do público em geral, observando as regulamentações aplicáveis e melhores práticas de mercado.
ABRANGÊNCIA
Todos os usuários com acesso a toda e qualquer informação ou dado da iugu ou que estejam sob responsabilidade da iugu, independente de seu vínculo com a empresa: dirigente, colaborador efetivo, estagiário, temporário ou terceiro, fornecedor, parceiro e prestador de serviço.
RESUMO DAS DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA DA IUGU
- As informações da iugu, dos clientes e do público em geral devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, evitando o mau uso e exposição indevida.
- As informações devem ser utilizadas de forma transparente e ética, apenas para a finalidade para a qual foi coletada.
- A iugu classifica as informações em: restritas, confidenciais, internas e públicas. Uma vez classificada, as informações devem ser rotuladas a fim de que os usuários possam compartilhar, manusear, armazenar e descartar as informações de forma apropriada e segura.
- A área de Segurança de Informação é responsável por estabelecer o Programa de Segurança da Informação e Cibernética na iugu e todos os colaboradores, tem como principal responsabilidade entender e estar em conformidade com as políticas e procedimentos de segurança da iugu.
- As informações devem ser protegidas contra acesso, modificações, destruição ou divulgação não autorizada.
- Garantir que os sistemas e as informações sob responsabilidade da iugu estejam adequadamente protegidos e disponíveis para a continuidade do processamento das informações críticas de negócios.
- Todo processo, durante seu ciclo de vida, deve garantir a segregação de funções.
- A identificação (login-senha) de qualquer usuário deve ser única, pessoal e intransferível, atribuindo responsabilidade às ações realizadas.
- A concessão de acessos deve obedecer ao critério de menor privilégio (“need to know”), no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o desempenho de suas funções.
- A senha de acesso a rede e sistemas deve ser mantida secreta, sendo proibido seu compartilhamento.
- O processo de desenvolvimento de softwares da iugu deve estar aderência às políticas de segurança e às boas práticas de segurança do mercado.
- A segurança física e dos ambientes da iugu devem ser protegidos contra acesso indevido e qualquer ameaça que possa ocasionar a indisponibilidade dos ativos de informação e comprometer a segurança das pessoas.
- A Política de Segurança da Informação e Cibernética é revisada, atualizada e aprovada anualmente ou quando necessário, pela alta administração da iugu.
INCIDENTES DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA
Sendo a segurança da informação e a proteção dos dados uma responsabilidade de todos os colaboradores, a iugu considera fundamental que qualquer incidente de segurança da informação e cibernético real ou suspeito seja reportado o mais rápido possível para que a iugu possa identificar a causa e conter danos e impactos. A iugu possui políticas e procedimentos implementados para lidar com incidentes de segurança e cibernético.
CONTINUIDADE DE NEGÓCIOS
A iugu possui um programa tem como objetivo garantir a continuidade de negócios, protegendo os processos e operações de interrupções causadas por falhas ou desastres. Este processo visa atender aos requisitos de segurança da informação exigidos por regulamentações, leis e/ou cláusulas contratuais as quais a iugu deve estar aderente.
CONSIDERAÇÕES FINAIS
O programa de segurança da informação e cibernética de uma empresa requer recursos tecnológicos e principalmente pessoas devidamente treinadas. A cultura de segurança da informação é um processo contínuo.
A iugu entende e preza pelo compromisso com seus clientes, investidores, colaboradores e público em geral, buscando sempre atingir um nível de segurança aceitável, de modo a minimizar os impactos nos negócios e na prestação de serviços.
iugu Instituição de Pagamento S.A
tecnologia que vira potência