1) Objetivo
A Política de Segurança Cibernética visa prover a metodologia necessária para instituir processos e controles para prevenir e reduzir as vulnerabilidades e atender aos demais objetivos relacionados à segurança cibernética. Garantindo a proteção dos ativos associados aos negócios críticos, definindo processos para o tratamento de incidentes cibernéticos e para avaliação de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem para garantir a segurança das operações.
As definições relacionadas a instituição, contidas na política de segurança cibernética, são compatíveis com: definição de porte e modelo da instituição, perfil de risco da instituição, natureza e complexidade de suas operações, serviços e processos assim como a sensibilidade dos dados tratados pela instituição.
2) Diretrizes gerais
As diretrizes de Segurança Cibernética do PXT têm os seguintes objetivos principais:
- Estar em conformidade com a Resolução CMN nº 4.658/2018 que dispõe sobre a política de segurança cibernética;
- Atender ao programa de Segurança Cibernética exigidas na ICVM nº 612/2019;
- Assegurar que os procedimentos contenham no mínimo a descrição dos controles referentes à segurança;
- Garantir a confidencialidade, integridade e disponibilidade das informações dos clientes, colaboradores e proteger os dados e os sistemas da informação, contra acessos indevidos, pessoas e alterações não autorizadas;
- Definir procedimento para prevenção, identificação e tratamento de incidentes de Segurança Cibernética;
- Definir mecanismos de manutenções e atualizações técnicas e de segurança dos sistemas;
- Comunicar de forma tempestiva os reguladores das ocorrências de incidentes de segurança cibernética relevantes e das interrupções dos serviços relevantes, que configurem uma situação de crise pelo Grupo Modal, bem como das providências para o reinício das atividades;
- Definir procedimentos e controles voltados à prevenção, e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços às empresas do PXT que manuseiem dados ou informações sensíveis, ou que sejam relevantes para a condução das atividades operacionais da instituição;
- Definir procedimentos e controles voltados ao descarte e manutenção segura de dados e equipamentos;
- Definir os parâmetros para classificação de dados e as informações quanto à relevância;
- Monitorar serviços contratados;
- Adotar práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e
- Criar programas de conscientização e treinamento para os colaboradores e prepostos sobre a segurança das informações.
3) Considerações finais
Essa Política é uma versão resumida da Política de Segurança Cibernética, e nela apresentamos as principais diretrizes do PXT.