Política de Segurança da Informação

Apresentação

A Política de Segurança da Informação é o documento que expressa o posicionamento do Mercado Bitcoin em relação à proteção das suas informações e dos seus dados.

É dever de todos seguir as orientações contidas neste documento, bem como em todo o conjunto de normas e procedimentos que formam a matéria, para mantermos a elevada confiabilidade e credibilidade de nosso ecossistema e honrarmos nosso compromisso para a garantia da confidencialidade, integridade e disponibilidade da informação.

Objetivo

A presente Política de Segurança Cibernética e da Informação (“Política”) foi elaborada pelo MERCADO BITCOIN SERVIÇOS DIGITAIS LTDA ("Mercado Bitcoin") para os Colaboradores e Terceiros que atuem, direta ou indiretamente, em nome ou benefício do Mercado Bitcoin, e que tenham acesso ou façam algum uso de informações do Mercado Bitcoin, e tem como objetivo estabelecer as diretrizes, atribuições e responsabilidades de tais Colaboradores, com o intuito de assegurar os mais elevados padrões de segurança, controle e gestão de riscos e de governança no tratamento de informações armazenadas, processadas e transmitidas nos ambientes físico e virtual do Mercado Bitcoin provendo orientação e apoio ao Mercado Bitcoin de acordo com os requisitos do negócio e com as leis e regulamentações relevantes, de modo a:

  1. preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das suas informações;
  2. orientar quanto ao uso adequado de seus Ativos e proteger as atividades finalísticas e a gestão do Mercado Bitcoin;
  3. estabelecer medidas técnicas e administrativas capazes de proteger as informações, inclusive dados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento de informação; e
  4. nortear a definição de procedimentos específicos de controles e processos para a gestão dos riscos de segurança da informação.

Levou-se em conta na elaboração desta Política o porte, o perfil de risco e o modelo de negócio do Mercado Bitcoin, assim como a legislação, as diretrizes e as melhores práticas aplicáveis.

Esta Política aplica-se a todas as informações coletadas, criadas, recebidas, armazenadas, processadas, transmitidas ou impressas, com o auxílio de qualquer sistema, meio de transmissão ou de armazenamento, por Colaboradores e Terceiros, devendo estar disponível a todo tempo a todos tais Colaboradores e Terceiros, aos quais caberão ler atentamente e aceitar todo o seu conteúdo antes de obter acesso a qualquer Ativo ou informação do Mercado Bitcoin.

As informações poderão envolver também dados pessoais, ocasião em que deverão ser observadas, além das diretrizes aqui presentes, a Política Interna sobre Tratamento de Dados Pessoais e a legislação aplicável à proteção de dados pessoais, incluindo a LGPD.

Abrangência / Escopo

A Política de Segurança Cibernética e da Informação é aplicável a todos os funcionários, fornecedores, consultores, incluindo os colaboradores de entidades externas ou outras entidades e/ou pessoas que acedam aos sistemas e tecnologias de informação e comunicações do Mercado Bitcoin.

É indispensável assegurar que todos, independentemente do seu nível hierárquico, função e/ou vínculo contratual, entidades externas ou outros contratados pela Mercado Bitcoin tenha conhecimento desta política e acesso adequado à informação necessária para o desempenho das suas funções, sendo exigido destes o respeito pelos controles de segurança implementados e o cumprimento dos aspectos de integridade, confidencialidade e disponibilidade da informação, sendo estes, responsabilidade de todos.

É de propriedade do Mercado Bitcoin toda a informação gerada ou tramitada por meio dos seus recursos.

Toda informação de propriedade ou custodiada pelo Mercado Bitcoin:

  • Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais ou, em outros casos, com autorização formal do Mercado Bitcoin, emanada por instância competente para fazê-lo;
  • Deve ser classificada segundo critérios definidos.
  • Deve ser protegida contra a modificação, destruição ou divulgação não autorizada, e principalmente quanto ao acesso de pessoas não autorizadas ou que não tenham direito ao seu conhecimento;
  • Deve ser armazenada, por tempo determinado pela empresa e/ou legislação vigente, e recuperada somente quando for necessária.

Termos e definições

Ativos: são todos os elementos que detém algum tipo de valor para o Mercado Bitcoin. Os ativos podem ser informações, hardwares (equipamentos), softwares (sistemas) e colaboradores.

Ativos de informação: qualquer elemento que tenha capacidade de coletar, desenvolver, receber, transmitir, manusear, armazenar, trafegar ou descartar informações.

Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

Ativos Físicos: equipamentos computacionais (computadores, processadores, monitores, notebooks, etc.), equipamentos de comunicação (roteadores, PABX, smartphones, tablets, etc.), mobília, acomodações.

Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração pública responsável, dentre outras competências, por cuidar, implementar e fiscalizar o cumprimento da LGPD.

Colaborador: corresponde a qualquer colaborador(a) em regime de trabalho CLT, pró-labore, estágio ou outro regime juridicamente aceito, vinculado à Mercado Bitcoin ou a sociedade afiliada, controladora ou controlada do Mercado Bitcoin, que venha a ter acesso no exercício de suas funções a informações detidas e/ou sob o controle do Mercado Bitcoin.

Confidencialidade (da informação): garantia de que a informação é acessível somente a pessoas com acesso autorizado quando necessário para o desempenho de suas funções.

Custodiante: pessoa, setor ou área do Mercado Bitcoin que mantém informação sob sua guarda.

Dados pessoais: informações relacionadas diretamente a uma pessoa física identificada (ex.: número de telefone, e-mail, CPF, data de nascimento, identificadores eletrônicos), ou que podem levar à identificação de uma pessoa (ex.: GPS, redes WiFi, IDs de utilização de aplicações).

Diretoria: órgão da administração, formado pelos diretores estatutários do Mercado Bitcoin.

Disponibilidade (da informação): prevenção contra interrupções na operação de sistemas e no acesso à informação quando houver necessidade, de forma contínua, segura e eficiente.

Incidente (de segurança): evento adverso, confirmado ou sob suspeita, motivado por violação ou falha de um controle ou procedimento de segurança, seja de forma intencional ou não, com probabilidade de colocar em risco a segurança da informação.

Informação: É um ativo que tem valor para a organização e necessita ser adequadamente protegido. Ela pode estar impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Integridade (da informação): salvaguarda da exatidão e completude da informação, independentemente dos métodos de processamento, transmissão e armazenamento, de forma a preservar sua originalidade e confiabilidade.

LGPD: Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados, que regula o tratamento de Dados Pessoais no Brasil, em meios físicos ou digitais.

Gerenciamento de Risco: processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

Segurança da Informação: preservação da confidencialidade, integridade e disponibilidade da informação, protegendo-a de diversos tipos de ameaças, para garantir a continuidade de negócios, minimizar perdas e danos e maximizar o retorno dos investimentos e as oportunidades de negócio.

Terceiros: entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou estejam prestando serviços para a Mercado Bitcoin, como os prestadores de serviço em si, parceiros, franquias, fornecedores, auditores ou qualquer outro que se enquadre como prestador terceirizado.

Certificados de chave pública: também conhecidos como certificados digitais ou certificados de identidade, são documentos eletrônicos que usam uma assinatura digital para vincular uma chave pública a uma identidade, informações como o nome de uma pessoa ou organização, seu endereço etc. podem ser usados para verificar se uma chave pública pertence a um indivíduo.

Código malicioso: termo genérico que se refere a todos os tipos de programa especificamente desenvolvidos para executar ações danosas em recursos de Tecnologia da Informação, tais como Vírus, Cavalo de Tróia, Spyware, Worms, entre outros.

Encarregado (pela proteção de dados pessoais): pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

Trilha de Auditoria: Trilha de Auditoria ou log de Auditoria trata-se de um registro de todas as ações, eventos ou atividades que um usuário ou sistema realizou com seus dados. É usada para assegurar o fluxo preciso das transações desse sistema, funcionando como complexo e detalhado rastreamento. Dessa maneira podem estar relacionados à criação, modificação, exclusão de registros ou mesmo sequência de ações automatizadas do sistema.

Diretrizes

Os princípios são os pilares para as ações ou condutas de Segurança da Informação que atuam como um guia para a sua implementação e gestão. Dessa forma, considerando os princípios da confidencialidade, integridade, disponibilidade, autenticidade e não repúdio, algumas medidas técnicas e administrativas, conforme descritas nesta Política, são essenciais para garantir a proteção das informações do Mercado Bitcoin.

Para tanto, os Colaboradores, em especial a alta administração do Mercado Bitcoin, deverão pautar-se nos seguintes princípios:

Alinhamento estratégico: deve haver alinhamento entre políticas, normas e diretrizes de Segurança da Informação e os objetivos de negócio e o planejamento estratégico do Mercado Bitcoin.

Promover um ambiente positivo de segurança: a Segurança da Informação é construída sobre o comportamento humano. Este comportamento consiste no engajamento das equipes em desempenhar suas atividades de acordo com os parâmetros de segurança estipulados nesta Política, por meio de medidas educativas e de conscientização.

Propriedade da informação: toda informação produzida ou armazenada no Mercado Bitcoin é de sua propriedade e não dos colaboradores que nela trabalham, exceto nos casos em que a Mercado Bitcoin atuar como Custodiante da informação de outra organização, quando a informação poderá pertencer a um terceiro.

Os procedimentos, controles, mecanismos e ações adotadas pela Mercado Bitcoin para alcançar os objetivos de Segurança da Informação contemplam:

Gestão de vulnerabilidades e prevenção a incidentes

Para o processo de gestão de vulnerabilidades, são estabelecidas diretrizes para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas do Mercado Bitcoin.

Deve ser realizada análise Manual e Automatizada de vulnerabilidades de Segurança:

  • Análise Automatizada: Refere-se ao uso de ferramentas na esteira CI/CD. No momento da submissão (commit) de uma nova versão de software do ambiente de desenvolvimento para homologação, softwares de análise de segurança do tipo SAST e DAST deverão realizar inspeções com o objetivo de detectar vulnerabilidades. Na detecção, os times de Cyber Segurança e Desenvolvimento deverão ser notificados.
  • Análise Manual: Refere-se ao teste de Penetração aos sistemas alvo, utilizando a análise humana o teste de simular o comportamento de fraudadores ou especialistas em cibersegurança com o objetivo de identificar falhas de média e alta complexidade, assim como também falhas de segurança relacionadas ao negócio Mercado Bitcoin.

As verificações de vulnerabilidades devem ser realizadas pelo menos semestralmente ou após qualquer alteração significativa no ambiente. Isso deve se aplicar a todos os ambientes que mantêm dados de produção.

Deverá ser realizada a avaliação dos ativos pertencentes à infraestrutura e aplicação, considerando a identificação dos componentes que podem expor a segurança.

Deverá ser apresentado um plano de trabalho para avaliar e reportar a situação atual da segurança do ambiente considerando:

  • Quebra dos controles de segurança estabelecidos para a proteção do ambiente.
  • Exploração das vulnerabilidades identificadas na infraestrutura e nas aplicações disponíveis nos endpoints alvos da análise. Conduzir prioritariamente testes do tipo Black Box e Gray Box.

Os testes de intrusão, sejam eles internos ou externos, devem ser realizados pelo menos uma vez por ano e/ou após qualquer atualização, modificação significativa da infraestrutura ou dos sistemas. Isso se aplica a todos os ambientes que mantêm dados de produção. As falhas de segurança identificadas nos testes deverão ser tratadas com alta prioridade com vistas a mitigar os riscos envolvidos, e os resultados obtidos através dos testes deverão ser devidamente registrados, sendo que as falhas que oferecerem "alto risco" deverão passar por um novo teste após a implementação das medidas de mitigação.

Além disso, são adotados controles para rastreamento e prevenção de vazamentos de informações baseadas no nível de classificação. Os controles adotados permitem a identificação de informações armazenadas em ativos, evidenciando informações sensíveis. As diretrizes contidas nesta Política permitem que diferentes ações sejam tomadas de acordo com o nível de sensibilidade e autorização que cada colaborador possui em relação a manipulação de informações, registrando eventos indevidos que servem como trilhas para o registro de incidentes que violem a segurança das informações manipuladas.

A Equipe de Segurança da Informação deverá acompanhar todo o processo a fim de obter informações necessárias para realização de uma gestão sobre as aplicações de correções de vulnerabilidade, essas informações alimentará o controle de Segurança da Informação para as vulnerabilidades do ambiente Mercado Bitcoin.

Gestão de patches

O processo de gestão de patches é uma prática proativa destinada a prevenir, dentro da infraestrutura de tecnologia da informação, a exploração de vulnerabilidades que poderiam comprometer a confidencialidade, integridade ou disponibilidade das informações manipuladas por componentes dessa infraestrutura. Todos os Ativos de informação de propriedade ou mantidos pela Mercado Bitcoin devem ter instalados os últimos patches estáveis, disponibilizados pelos respectivos fornecedores.

Senhas de usuários

A política de senhas estabelece que elas sejam de uso confidencial, pessoal e intransferível, além de conter requisitos mínimos de segurança de acordo com o seu grau de criticidade.

Os sistemas, redes e aplicativos de informação devem ser protegidos pelo uso de senhas fortes para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis incorretamente.

A identidade de um usuário deve ser verificada, exigindo várias informações exclusivas do usuário antes da redefinição de uma senha. As credenciais do usuário (por exemplo, ID do usuário e senha) devem ser comunicadas separadamente.

A elaboração de senhas para acesso à rede ou aos sistemas deve ser realizada conforme abaixo:

  • Não utilizar a mesma senha para diversas finalidades;
  • Utilizar senha de no mínimo 12 caracteres, alfanuméricos, com caracteres especiais (@ # $ %) e variação de maiúsculo e minúsculo;
  • A senha não deve ser baseada em informações pessoais, como próprio nome, nome de familiares, data de nascimento e não deve ser constituída de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras;
  • Utilize um software gerenciador de senhas para gerar senhas fortes e armazená-las de forma segura;
  • Deverá ser utilizada a autenticação de dois fatores (2FA), exigindo que o usuário forneça dois meios de identificação antes de conseguir se autenticar.

Os critérios para elaboração, manutenção e gerenciamento dos acessos devem levar em consideração a criticidade das informações e as necessidades dos processos de negócio envolvidos.

Gestão de acessos

Todas as informações, sistemas, redes e aplicativos devem ser protegidos através do uso de controles de acesso lógico para garantir que as informações não sejam divulgadas, modificadas, excluídas ou tornadas indisponíveis indevidamente.

Os acessos aos ativos de informação e aos recursos computacionais e de comunicação do Mercado Bitcoin devem estar relacionados com os seus negócios, exclusivamente.

No ato da contratação, mudança de área ou desligamento de Colaboradores e Terceiros, deve-se existir processos que registrem, revisem e ajustem os acessos físicos e lógicos de acordo com as novas funções desempenhadas e que tenham acesso somente às informações e recursos que sejam necessários ao seu cargo ou função.

A informação deverá ser acessada de acordo com os controles de acesso existentes e deverá ser tratada com observância às finalidades para as quais foram criadas ou coletadas, respeitando-se, naquilo que for cabível, os princípios da necessidade e finalidade, sempre e exclusivamente para os fins corporativos.

A identificação de cada Colaborador para fins de acesso (usuário e senha), deverão ser de uso único, pessoal e intransferível, qualificando o respectivo Colaborador como o responsável pelas ações realizadas com a sua identificação, exceto quando comprovada fraude ou subtração.

As regras de controle de acesso e de direitos de uso para os proprietários de informação devem contemplar cada usuário individual ou grupos de usuários.

Os sistemas de informação utilizados no Mercado Bitcoin deverão ser acessados apenas por colaboradores identificados. Cada usuário deve estar restrito a apenas uma conexão por sistema, em um dado instante.

Deve ser obrigatória a utilização de controle de acesso baseado em biometria nas instalações físicas do Mercado Bitcoin, a fim de impedir o acesso não autorizado, danos e interferências nos recursos de processamento de informações.

  1. Concessão de Acesso:
    • A licença para a utilização dos recursos de Tecnologia da Informação é uma concessão do Mercado Bitcoin aos colaboradores que necessitam deles para desempenhar suas funções. A utilização poderá ser monitorada em tempo real e a licença poderá ser suspensa a qualquer momento por decisão do Gestor da área do colaborador, da área de tecnologia ou da área de RH, de acordo com os exclusivos critérios destes, visando evitar perda de produtividade e riscos de segurança.
    • Acesso à consulta ou utilização dos recursos de Tecnologia da Informação é permitido após a identificação do usuário, somente por meio de suas próprias credenciais de acesso.
    • As credenciais de acesso aos recursos de Tecnologia da Informação são pessoais, intransferíveis e de responsabilidade exclusiva do colaborador.
    • Toda solicitação, alteração, bloqueio e desbloqueio de acesso aos recursos de Tecnologia da Informação ou aos sistemas deve ser documentada e solicitada através de sistema definido pela área de TI.
    • Gestor da área do colaborador, deve informar à área de tecnologia todos os direitos de acesso que o usuário deve possuir.
    • Todos os direitos de acesso aos recursos de Tecnologia da Informação devem ter prazo de vigência definido.
    • É expressamente proibida qualquer tentativa de acesso não autorizado aos recursos de Tecnologia da Informação.

    Procedimentos de controle de acesso físico devem ser implementados de forma a restringir o acesso às áreas protegidas e seguras. Os procedimentos de controle de acesso devem, quando necessário, contemplar, entre outros:

    • A utilização de dispositivos de identificação pessoal;
    • Monitoração de acessos;
    • Restrições de horários de acesso e permanência;
    • Controle de acesso de terceiros;
    • Movimentação de ativos;
    • O pessoal autorizado deve ter acesso físico somente aos ativos imprescindíveis para a realização dos seus trabalhos.
  2. Concessão de Acesso Privilegiado:

    Devem ser identificados todos os Ativos ou grupos de Ativos do Mercado Bitcoin, classificando-os quanto ao nível de confidencialidade da informação, a fim possibilitar a criação, uso, monitoramento, e gestão de acessos privilegiados, os quais habilitam usuários autorizados a executar tarefas que usuários comuns não tem permissões para realizar.

    • Os usuários privilegiados deverão usar sua conta de Administrador exclusivamente vinculada ao indivíduo que está usando a conta. Essa conta deve ser distintamente diferente da conta de uso geral do usuário ("Não privilegiada");
    • Contas privilegiadas não devem ser associadas a nomes de computadores, nomes de departamentos, cargos ou qualquer outra informação semelhante que possa revelar a natureza privilegiada da conta;
    • Contas privilegiadas devem ser usadas apenas quando necessário e devem ser desconectadas imediatamente após o uso;
    • Um inventário de contas privilegiadas deve ser estabelecido, mantido, revisado e aprovado periodicamente pela área de tecnologia e segurança da informação;
    • Devem ser estabelecidos registros e monitoramentos auditáveis para emitir um alerta de múltiplas tentativas malsucedidas em efetuar login em uma conta administrativa.

Proteção contra código malicioso

Devem ser implementados controles para prevenção e detecção de softwares maliciosos em todos os Ativos de tecnologia da Informação, com base nas diretrizes abaixo:

  • Os recursos de Tecnologia da Informação devem estar providos de sistemas de detecção e bloqueio de códigos maliciosos, prevenção e detecção de acesso não autorizado, tais como programas antivírus, programas de análise de conteúdo de Correio Eletrônico e firewall;
  • Havendo correções ou atualizações para os sistemas de detecção e bloqueio de códigos maliciosos, as mesmas devem ser implementadas, a fim de se evitar que estes sistemas fiquem vulneráveis a códigos maliciosos ou a qualquer tentativa de acesso não autorizado;
  • As atualizações e as correções para os sistemas de detecção e bloqueio na segurança do perímetro e nuvem devem ser homologadas em ambiente controlado antes de aplicadas ao ambiente de produção;
  • É obrigatório o uso de sistemas de detecção e bloqueio de códigos maliciosos em todos os recursos de Tecnologia da Informação;
  • Os sistemas de detecção e bloqueio de códigos maliciosos devem prover o monitoramento, em tempo de execução, dos arquivos e programas, quanto à contaminação por código malicioso;
  • Arquivos ou mídias que são utilizados nos equipamentos computacionais devem ser verificados automaticamente, quanto à contaminação por código malicioso, antes de sua utilização;
  • Os arquivos anexados às mensagens de Correio Eletrônico, logo após seu recebimento, devem ser verificados, quanto à contaminação por código malicioso, através do software antivírus homologado e instalado nas estações de trabalho dos colaboradores;
  • Os arquivos contaminados por código malicioso devem ser imediatamente descontaminados pelo software antivírus, isolados ou removidos do sistema. Em caso de persistência do problema, o equipamento deve ser isolado até que seja sanado o problema para não afetar o ambiente de produção;
  • Padrões e procedimentos para instalação, configuração, utilização e atualização de sistemas de detecção e bloqueio de códigos maliciosos devem ser estabelecidos pela área de tecnologia.

Segurança de redes

Toda a comunicação entre as redes do Mercado Bitcoin e a Internet ou qualquer outra rede pública deve necessariamente passar por um sistema de controle de acesso de conexões (Firewall), configurado com política restritiva, com monitoramento bidirecional dos fluxos de comunicação e com proteção contra ataques, tais como negação de serviço, entre outros.

Toda comunicação entre computadores remotos e as redes do Mercado Bitcoin, através da Internet ou outra rede pública, deve ser autenticada e criptografada, usando soluções tecnológicas autorizadas pela área de Tecnologia da Informação.

Cópias de segurança (backup)

A realização de cópias de segurança (backups) deve obedecer aos procedimentos internos, com o objetivo de garantir a realização e monitoramento das cópias de segurança.

As diretrizes abaixo descrevem os métodos e requerimentos para a realização de backup de dados do Mercado Bitcoin, as funções de armazenamento, manipulação e replicação durante o processo de backup.

  • Os administradores de armazenamento, servidor e banco de dados devem utilizar soluções e recursos de nível empresarial, que incluem métodos avançados para backup, arquivamento e restauração de dados;
  • Os backups devem ser concluídos regularmente;
  • Os registros das cópias de backup serão mantidos e incluirão o conteúdo e a localização atual;
  • Os procedimentos de restauração serão documentados pela equipe de TI;
  • Quando o serviço de backup é realizado por terceiros, o contrato de nível de serviço deve incluir proteções para controlar a confidencialidade, a integridade e a disponibilidade dos dados;
  • A equipe de TI deve testar as restaurações do backup semestralmente. O teste de backup deve ser limitado aos dados e sistemas críticos do Mercado Bitcoin;
  • A equipe de TI deve monitorar os processos de backup em busca de falhas nas rotinas e tomar as medidas necessárias para corrigir e documentar todos os problemas;
  • As cópias de segurança devem ser executadas nos sistemas de arquivos de produção;
  • Instantâneos (snapshots) dos servidores de produção, quando aplicável, devem ser usados ​​para garantir a configuração dos servidores e a integridade dos dados;
  • A replicação de dados de produção deve ser sincronizada de maneira confiável (contingência);
  • Não deve haver manipulação de dados do armazenamento externo de mídia sem autorização prévia da Área de Segurança da Informação;
  • Se necessário, uma lista global de exceções deve ser mantida para excluir o backup de arquivos que não requerem proteção de backup.
  1. Armazenamento:
    • Os backups externos precisam ser identificados de forma clara, contendo o nome, data, hora e categoria (Full / Incremental);
    • Os backups devem ser armazenados em um local remoto fisicamente seguro, a uma distância suficiente para torná-los imunes a danos aos dados no ambiente primário;
    • Todos os logs de backup devem ser armazenados em um repositório dedicado;

Criptografia e gerenciamento de chaves

O uso efetivo e adequado de um sistema de criptografia deve ser estabelecido com o intuito de assegurar a confidencialidade, autenticidade e integridade das informações sensíveis. Todos os sistemas, controles, ferramentas, técnicas ou soluções de criptografia devem ser aprovados pela área de tecnologia. A área de tecnologia deve executar revisões de criptografia e gerenciamento de chaves periodicamente, ou mediante alterações significativas de tecnologias. Os proprietários do sistema são responsáveis por estabelecer e manter uma descrição documentada da arquitetura criptográfica, incluindo:

  • Detalhes de algoritmos, protocolos e chaves, incluindo a força das chaves e a data de validade;
  • Descrição do uso da chave para cada chave criptográfica;
  • Inventário de qualquer HSM (Hardware Security Modules) e outros dispositivos criptográficos seguros usados para gerenciamento de chaves.

Utilização dos ativos de tecnologia da informação

Os Ativos de tecnologia da informação são recursos corporativos, de propriedade do Mercado Bitcoin, disponibilizados apenas para a execução das atividades funcionais dos colaboradores.

  1. Acesso e Utilização do Correio Eletrônico
    • O serviço de Correio Eletrônico corporativo é uma concessão do Mercado Bitcoin, sendo assim, seu uso é permitido somente para as atividades profissionais de seus colaboradores, não sendo permitido enviar ou arquivar mensagens não relacionadas às atividades profissionais, que contenham:
      • Assuntos que provoquem assédio, perturbação a outras pessoas ou que prejudiquem a imagem do Mercado Bitcoin;
      • Temas difamatórios, discriminatórios, material obsceno, ilegal ou antiético;
      • Fotos, imagens, sons ou vídeos que não tenham relação com as atividades profissionais da organização;
    • As permissões de acesso a serviços de e-mail particulares, tais como webmail, podem ser estabelecidas, autorizadas e gerenciadas pela área de tecnologia, em função dos interesses do Mercado Bitcoin;
    • O acesso ao Correio Eletrônico corporativo se dá pelo conjunto “Identificação do Usuário e Senha”, que é pessoal e intransferível;
    • O endereço de e-mail disponibilizado ao usuário é de uso pessoal e intransferível e de responsabilidade do mesmo. Portanto, é terminantemente proibido suprimir, modificar, ou substituir a identidade do remetente ou destinatário de uma mensagem do Correio Eletrônico;
    • A disponibilização do Correio Eletrônico pode ser suspensa a qualquer momento por decisão do Gestor da área do colaborador ou da área de Tecnologia da Informação;
    • As concessões e revogações de acesso ao serviço de Correio Eletrônico devem ser autorizadas pelo Gestor da área do usuário ou pela área de RH, por meio de uma solicitação de serviço à área de tecnologia;
    • Os anexos das mensagens de Correio Eletrônico poderão ser bloqueados quando oferecerem riscos à Segurança da Informação;
    • A abertura de mensagens de remetentes desconhecidos, deve ser avaliada, especialmente quando houver dúvidas quanto à natureza do seu conteúdo, como arquivos anexados não esperados ou hiperlinks para endereços externos não relacionados às atividades profissionais;
    • Todas as mensagens originárias de colaboradores do Mercado Bitcoin deverão conter a assinatura do remetente em formato padronizado, além de um aviso legal, também padronizado, referenciando a confidencialidade da informação.
  2. Uso da Internet
    • É permitido o acesso a sites que sejam fontes de informação necessária à execução das atividades profissionais na Mercado Bitcoin;
    • Não devem ser usados os recursos de “Salvar Senha” ou “Lembrar Senha”, disponíveis na maioria das aplicações, devendo ser desmarcada sempre que for apresentada esta opção. Senhas não devem ser incluídas em nenhum outro processo de autenticação automática disponível;
    • Quando estiver usando a Internet e verificar que o site acessado contém conteúdo impróprio, o usuário deve abandonar o site e abrir um incidente de Segurança da Informação;
    • Não é permitido o uso de aplicações ponto-a-ponto (peer-to-peer) para distribuição de arquivos, tais como aplicativos Torrent, Emule e correlatos;
    • Não é permitido o uso de jogos on-line.
    • Ressalvado os interesses do Mercado Bitcoin, não é permitido:
      • Acesso a conteúdo impróprio, que são aqueles relativos à pornografia, racismo, violência, incitação ao ódio, invasão de computadores, jogos, entre outros;
      • Não é permitido o acesso à internet para fins de atividades ilícitas;
      • Uso de serviços de mensagem instantânea, que não seja a utilizada e chancelada pela área de tecnologia da informação do Mercado Bitcoin;
      • A sondagem, investigação ou teste de vulnerabilidade em computadores, através da Internet ou de outra rede pública, exceto quando autorizada pela área de tecnologia do Mercado Bitcoin.
  3. Segurança física
    • As instalações do Mercado Bitcoin devem estar protegidas contra acesso não autorizado, sendo obrigatório o registro de entrada e o registro de saída de todos os diretores, empregados, prestadores de serviços terceirizados e visitantes. A autorização de acesso deve ser aprovada e liberada por empregado com alçada para essa ação.
    • Todos prestadores de serviço enquanto presentes no ambiente do Mercado Bitcoin devem estar devidamente identificados e acompanhados por um colaborador.
    • A presença de uma pessoa não autorizada em área de acesso controlado caracteriza um Incidente de segurança que deve ser reportado à área de Segurança da Informação.

Gestão de mudanças

O processo de gestão da mudança tem como objetivo assegurar que as mudanças nos sistemas de TI sejam controladas e gerenciadas consistentemente a fim de manter a disponibilidade dos sistemas de produção, minimizar o risco de falhas do sistema, garantir aprovações apropriadas e apoiar a auditoria nas mudanças em produção, de acordo com os padrões estabelecidos nesta Política.

As atualizações de configuração no ambiente de produção devem ser realizadas, inicialmente, em ambiente de teste ou homologação e, todo software deve ser analisado criticamente, considerando os seguintes aspectos:

  • Análise crítica dos procedimentos de controle e integridade do software, garantindo que os mesmos não foram comprometidos pelas mudanças efetuadas no ambiente de produção;
  • Revisão do planejamento e do orçamento anual de tecnologia, garantindo investimentos para revisões e testes de softwares resultantes das modificações do ambiente de produção;
  • Revisão do Plano de Continuidade dos Negócios para contemplar mudanças necessárias resultantes das modificações do ambiente de produção.

Gestão de continuidade do negócio

O Mercado Bitcoin deve implementar planos de continuidade dos negócios documentados, testados e revisados periodicamente, de forma que seus serviços essenciais sejam devidamente identificados, contemplando os mecanismos de Segurança da Informação estabelecidos nos ambientes de produção.

Estruturar o entendimento integral de todos os aspectos e fenômenos relacionados à continuidade do negócio, incluindo:

  • Identificação das ameaças potenciais e os respectivos impactos nas operações do negócio;
  • Definição da estratégia de recuperação a ser utilizada caso ocorra um incidente;
  • Gerenciamento de Crise para incidentes adversos que interrompam um processo crítico;
  • Planejamento da continuidade e da recuperação das operações e sistemas após uma interrupção;
  • Estabelecimento de procedimentos de retorno à normalidade, quando aplicável;
  • Incorporar a gestão da continuidade de negócio ao desenvolvimento de novos produtos e serviços críticos e ao processo de gerência de mudanças para produtos e serviços existentes;
  • Prover a continuidade das operações do negócio em um nível aceitável pré-definido;
  • Aumentar o poder de recuperação da organização contra o rompimento ou interrupção de sua habilidade de fornecer seus produtos e serviços;
  • Orientar ações de prevenção e mitigação dos riscos operacionais;
  • Prover a organização de uma metodologia para a elaboração de planos de continuidade de negócios que possibilite o restabelecimento da sua habilidade de fornecer seus produtos e serviços críticos;
  • Gerenciar o Programa de Continuidade de Negócios por meio de treinamentos, testes e análises que garantam o bom funcionamento dos Planos de Continuidade.
  • Fixar normas e padrões de continuidade, compondo assim, um programa completo e consistente para a organização, devendo ser aceito e seguido inclusive pelas empresas prestadoras de serviço.

Deve haver redundância dos Ativos de informação da empresa, para que estes atendam aos requisitos de disponibilidade.

Classificação da informação

Todas as informações custodiadas ou de propriedade do Mercado Bitcoin devem ser classificadas em uma das seguintes categorias:

Pública: informações de caráter informativo, profissional ou que, em função da legislação vigente, são divulgadas a todo o público interno e externo, mediante a avaliação da Assessoria de Comunicação ou Unidade equivalente.

Interna: informações pertencentes ou custodiadas pela Mercado Bitcoin, que podem ser acessadas por todos os colaboradores, mediante autorização do respectivo proprietário.

Confidencial: informações pertencentes ou custodiadas pela Mercado Bitcoin e que, se reveladas, podem trazer impactos negativos aos negócios ou repercussões para a imagem do mesmo, embaraços administrativos com colaboradores ou vantagens a terceiros e outras informações protegidas por legislação específica.

  1. Recomendações para classificação:
    • Informação "pessoal" não é considerada uma classificação, mas uma designação para uma informação de natureza privada, como por exemplo, dados pessoais, significando que a informação é direcionada e que, somente o destinatário e as pessoas autorizadas podem ter acesso a ela;
    • Toda informação deve possuir um rótulo com a sua classificação. As informações não rotuladas devem ser tratadas como “Confidencial”;
    • A classificação das informações deve ser realizada com base nas exigências de negócio do Mercado Bitcoin, considerando as implicações que seu nível de criticidade trará para o negócio;
    • A classificação das informações deve ser feita para determinar as medidas de proteção necessárias, visando agilizar o processo de tratamento das informações e otimizar os custos com a sua proteção;
    • A classificação deve ser exercida quando a informação é gerada ou adquirida;
    • A informação deve receber tratamento adequado à sua classificação durante todo o seu ciclo de vida;
    • A inexistência de classificação explícita não exime quem a utiliza e gera quanto a avaliar o nível de sensibilidade da informação;
    • Um conjunto de ativos assume automaticamente a classificação mais restrita atribuída a um dos ativos que compõem o conjunto;
    • É expressamente proibida aos colaboradores a utilização, repasse e/ou divulgação indevida de toda e qualquer informação de propriedade do Mercado Bitcoin;
    • Toda divulgação de informação deve ser autorizada. As informações a serem divulgadas interna ou externamente, devem ser cuidadosamente avaliadas quanto à importância e aos possíveis impactos negativos nos negócios do Mercado Bitcoin, especialmente as que tenham como destinatário o público externo;
    • Antes que informações custodiadas ou de propriedade do Mercado Bitcoin sejam disponibilizadas a terceiros, para qualquer finalidade, deverão ser assegurado que esses terceiros tenham condições de manter sua integridade e confidencialidade;
    • Terceiros devem ser orientados e supervisionados quanto aos aspectos da segurança da informação. O contratante deve garantir que o compromisso de sigilo seja parte integrante do contrato;
    • Informações Internas ou Confidenciais não devem ser descartadas como lixo comum. Documentos impressos ou em mídia eletrônica, que contenham informação com esses níveis de classificação, devem ser destruídos antes de serem descartados, de forma que torne impossível a sua recuperação.

Gestão de incidentes de segurança da informação

Todos os Colaboradores devem reportar imediatamente quaisquer incidentes de segurança que tomarem conhecimento à liderança da área de Segurança da Informação, para que estes possam ser classificados, analisados, monitorados, comunicados e devidamente tratados conforme seu nível de criticidade.

Na ocorrência de incidente envolvendo dados pessoais, a área de Segurança Cibernética deverá acionar, por sua vez, o Encarregado, para que este tome todas as providências. Adicionalmente, em relação ao processo de Tecnologia da Informação, é preciso ainda assegurar que os incidentes e riscos deles decorrentes sejam categorizados e tratados de forma efetiva, permitindo o adequado registro, investigação e tomada de ação corretiva em tempo hábil para mitigar eventuais impactos negativos sobre os sistemas e ativos de informação.

Os procedimentos envolvidos devem descrever o processo de identificação, comunicação do incidente e o processo de investigação do incidente, devem também realizar o recolhimento de evidências e registros para cadeia de custódia. O processo de gerenciamento de incidente deve:

  1. Consolidar eventos (trilha de auditoria), identificar e tratar casos que possam afetar a confidencialidade, integridade e disponibilidade dos ativos de informação da empresa.
  2. Garantir a detecção de eventos e tratamento adequado, sobretudo na categorização destes como incidentes de segurança da informação ou não.
  3. Garantir que incidentes de segurança da informação sejam identificados, avaliados e respondidos da maneira mais adequada possível.
  4. Minimizar os efeitos adversos de incidentes de segurança da informação (tratando-os conforme sua criticidade).
  5. Reportar as vulnerabilidades de segurança da informação no Comitê de Segurança da Informação e Privacidade, além de tratá-las adequadamente.
  6. Ajudar a prevenir futuras ocorrências, através da manutenção de uma base de lições aprendidas (algo parecido com a base dados de erros conhecidos).

Toda vez que um incidente mal-intencionado for identificado e/ou resolvido, deverá ser feita uma investigação para identificar a origem do ataque e possibilitar a adoção dos procedimentos administrativos e/ou judiciais apropriados.

Treinamento e divulgação

Um programa de conscientização, avaliação, educação e treinamento em Segurança da Informação, com o objetivo de disseminar a cultura de segurança da informação no Mercado Bitcoin e avaliar o nível de maturidade e conhecimento dos colaboradores em relação aos temas ministrados, é essencial para garantir os objetivos desta Política.

Todos os colaboradores e terceiros contratados do Mercado Bitcoin devem concluir o treinamento em Segurança da Informação e participarem do programa de educação continuada. Treinamentos adicionais, incluindo treinamentos especializados em segurança, devem ser fornecidos conforme necessário a função e atribuições específicas de cada Colaborador.

Esta Política, juntamente com outras normas e padrões internos de segurança devem ser amplamente divulgadas no processo de admissão e integração de novos Colaboradores, conjuntamente pelas áreas de Recursos Humanos e Segurança da Informação.

Desenvolvimento seguro e segurança nas aplicações

Todo o ciclo de vida do desenvolvimento dos softwares do Mercado Bitcoin deve seguir as melhores práticas de desenvolvimento a fim de produzir softwares seguros, buscando mitigar o surgimento de vulnerabilidades de segurança. Todo desenvolvimento ou manutenção de software devem ser formalmente autorizados e deve ser realizada uma análise de impacto. Alterações de escopo de desenvolvimento ou manutenção de software deve ser documentada e formalmente autorizada.

Uma metodologia padronizada de desenvolvimento seguro de aplicações deve ser aplicada no desenvolvimento de novos sistemas ou na manutenção evolutiva de sistemas já existentes.

Controles adequados e trilhas de auditoria ou de registro de atividade devem ser projetados para cada aplicação. Estes controles incluem, mas não estão limitados a validação das entradas, processamento, preparação das saídas e, onde aplicável, à transmissão de dados.

Todas as ferramentas de desenvolvimento devem ser homologadas e licenciadas. O projeto de software deve conter um documento de especificação de segurança que descreva seus objetivos de segurança.

Aquisição, desenvolvimento e manutenção de sistemas

Todo sistema de propriedade do Mercado Bitcoin, seja ele adquirido ou desenvolvido internamente, deve ser submetido a um processo de avaliação de riscos antes de sua implantação, de forma a garantir seu alinhamento com as práticas de Segurança da Informação estabelecidas nesta Política.

Antes da implantação do aplicativo, todos os dados de teste e quaisquer contas especiais configuradas para fins de teste devem ser removidos. Além disso, todas as contas, nomes de usuário e senhas de aplicativos personalizados devem ser removidos antes que os aplicativos se tornem ativos ou disponíveis para os clientes.

Os desenvolvedores devem estar familiarizados e seguir diretrizes de codificação seguras, como as diretrizes do Open Web Application Security Project (OWASP) e/ou NIST . É necessário que os desenvolvedores sejam treinados e participem de formações de codificação segura fornecidas pelo Mercado Bitcoin uma ou mais vezes por ano. Todas as vulnerabilidades comuns de codificação nos processos de desenvolvimento de software devem ser evitadas.

Os controles de acesso devem estar em vigor para fornecer uma separação distinta. Os ambientes de teste e desenvolvimento devem ser separados do ambiente de produção.

Contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud)

A Mercado Bitcoin deve assegurar que suas Políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.

Previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

  • Adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;
  • Verificação da capacidade do potencial prestador de serviço de assegurar:
    • O cumprimento da legislação e da regulamentação em vigor;
    • O acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
    • A confidencialidade, integridade, disponibilidade e recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
    • O acesso da unidade de negócio contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
    • O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
    • A identificação e a segregação dos dados dos clientes da unidade de negócio por meio de controles físicos ou lógicos;
    • A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

Na avaliação da relevância do serviço a ser contratado, a unidade de negócio contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação de risco realizada e respectiva gestão dos serviços a serem contratados.

No caso da execução de aplicativos por meio da internet, a unidade de negócio deve assegurar que o potencial prestador dos serviços adote controles que mitigam os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

Os serviços de computação em nuvem deverão abranger a disponibilidade à unidade de negócio contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

  • Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à unidade de negócio contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos por ela ou adquiridos por terceiros;
  • Implantação ou execução de aplicativos desenvolvidos pela unidade de negócio contratante ou adquiridos por terceiros, utilizando recursos computacionais do prestador de serviços;
  • Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

A unidade de negócio é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

  • Indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
  • Adoção de medidas de segurança para a transmissão e armazenamento dos dados;
  • Manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
  • Obrigatoriedade, em caso de extinção do contrato, de:
    • Transferência dos dados citados ao novo prestador de serviços ou à instituição contratante;
    • Exclusão dos dados citados pela empresa contratada substituída, após a transferência dos dados prevista a confirmação da integridade e da disponibilidade dos dados recebidos;
  • Acesso pela unidade de negócio contratante às informações fornecidas pela empresa contratada, certificações e aos relatórios de auditoria especializada, informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

O disposto nos itens acima não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

Registro e monitoramento

O Mercado Bitcoin deve criar, proteger, monitorar e manter registros (logs) de eventos, a fim de acompanhar e analisar possíveis violações da segurança.

Todas as transações relacionadas aos clientes devem gerar trilhas de auditoria (logs), que deverão ser mantidas, protegido contra acessos não autorizados.

Não deve haver nenhuma modificação na integridade das trilhas de auditoria (logs), ou seja, não pode haver usuários com permissão de alteração.

Todo acesso de consulta, cópia ou tentativa de modificação e exclusão das trilhas de auditoria (logs) deve ser registrado.

As falhas nos registros das trilhas de auditoria (logs) devem ser registradas, analisadas e devem ser tomadas providências para corrigir o erro de forma imediata.

Avaliação periódica

A Mercado Bitcoin deve avaliar periodicamente as práticas de Segurança da Informação de forma a aferir a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

Monitoramento

A Mercado Bitcoin deve avaliar periodicamente as práticas de Segurança da Informação de forma a aferir a conformidade das ações de seus Colaboradores em relação ao estabelecido nesta Política e na legislação aplicável.

Revisão e análise crítica

O conjunto de documentos que compõem a Política de Segurança da Informação e Cibernética do Mercado Bitcoin deve passar por revisões e análises críticas periódicas, legais, estatutários, regulamentares e contratuais que possam influenciar ou afetar o processo de gestão de Segurança da Informação do Mercado Bitcoin.

Conflitos

Na existência de conflito entre os controles de Segurança da Informação e uma necessidade de negócio específica, controles mitigatórios devem ser analisados e implementados a fim de viabilizar os objetivos do Mercado Bitcoin, havendo ainda a necessidade de registro da aceitação dos riscos remanescentes por parte da Diretoria.

Atribuições e responsabilidades

Além das responsabilidades expressamente previstas nesta Política, caberá a cada um dos seguintes grupos de Colaboradores do Mercado Bitcoin:

  1. SÓCIOS-ADMINISTRADORES
    • Aprovar esta Política de Segurança Cibernética e da Informação;
    • Prover os recursos humanos, materiais e financeiros necessários à Segurança da Informação do Mercado Bitcoin e acompanhar periodicamente a evolução dos indicadores e resultados das medidas de segurança implementadas;
    • Assegurar que esta Política e as diretrizes de Segurança da Informação estão estabelecidas e são compatíveis com a direção estratégica do Mercado Bitcoin, assim como zelar pelo seu estrito cumprimento;
    • Prover comprometimento e apoio à aderência a esta Política de acordo com os objetivos e estratégias de negócio estabelecidas para a Mercado Bitcoin;
    • Fornecer as áreas de Tecnologia da Informação e Segurança da Informação amplo apoio e recomendação sempre que necessário, permitindo a melhoria contínua da estratégia de Segurança da Informação do Mercado Bitcoin.
  2. ÁREA DE SEGURANÇA DA INFORMAÇÃO
    • Assegurar a divulgação desta Política a todos os Colaboradores, Terceiros e demais partes interessadas do Mercado Bitcoin, inclusive suas atualizações, realizar treinamentos periódicos de conscientização sobre os procedimentos e controles de segurança aqui previstos;
    • Gerir a segurança da informação criando e acompanhando os indicadores de performance e eficiência;
    • Gerir os projetos de segurança da informação;
    • Avaliar os controles de segurança dentro do seu escopo de ação;
    • Desenvolver programas de conscientização e educação em segurança da informação;
    • Garantir a realização de testes de invasão e investigações no ambiente periodicamente.
    • Avaliar e responder aos incidentes relacionados a processos e pessoas;
  3. ÁREA DE TECNOLOGIA DA INFORMAÇÃO
    • Manter atualizada a infraestrutura tecnológica, de acordo com a recomendação de fabricantes de hardware e software;
    • Tratar os riscos e vulnerabilidades identificados em ativos, sistemas ou processos sob sua responsabilidade ou custódia;
    • Conduzir a gestão dos acessos a sistemas e informações do Mercado Bitcoin;
    • Implantar e manter funcionais os controles e padrões de segurança definidos para os ativos de tecnologia da informação;
    • Informar imediatamente a área de Segurança da Informação, sobre violações, falhas, anomalias e outras condições que possam colocar em risco as informações e ativos do Mercado Bitcoin;
    • Controlar alterações em ativos de TI e garantir que estas sejam analisadas criticamente e testadas para que não ocorram impactos adversos na operação do Mercado Bitcoin ou em sua segurança;
    • Garantir a continuidade dos serviços tecnológicos de forma a atender aos requisitos essenciais do negócio;
    • Garantir que todos os ativos críticos de tecnologia da informação devem ser instalados em ambientes especializados. Estes devem conter todas as proteções e contingências necessárias para a sua respectiva proteção;
    • Adequar esta Política às novas tecnologias que vierem a ser adotadas pelo Mercado Bitcoin, de forma a mantê-la sempre abrangente e atualizada.
  4. COMITÊ DE SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE
    • Aprovar a realização de investigações e determinar a adoção de medidas necessárias.
    • Assegurar que as infrações e violações sejam seguidas de ações disciplinares aplicáveis.
    • Tomar ciência de riscos corporativos;
    • Assegurar a conformidade de rotinas, práticas e procedimentos;
    • Apreciar os relatórios emitidos pelos Órgãos Reguladores e Auditorias;
    • Acompanhar a efetividade e eficácia das atividades e ações relacionadas aos temas;
    • Assegurar que Conselho esteja ciente dos assuntos que possam causar impacto significativo à imagem;
    • Deliberar sobre estratégias e contratação de serviços especializados.
  5. ÁREA DE RECURSOS HUMANOS
    • Garantir que todos os novos Colaboradores do Mercado Bitcoin leiam, entendam e declaram estarem cientes acerca da presente Política e de suas diretrizes;
    • Comunicar prontamente as áreas de Tecnologia da Informação e Segurança da Informação toda e qualquer alteração no quadro de pessoal, incluindo demissões, alterações de cargos, funções, entre outros necessários a fim de evitar acessos não autorizados e/ou em níveis não condizentes com a função ou cargo exercido.
    • Garantir que todos os contratos de trabalho de colaboradores contenham as cláusulas pertinentes às responsabilidades dos funcionários pela segurança da informação e confidencialidade.
    • Sempre que terminar a colaboração de um funcionário a área de recursos humanos deverá recolher os recursos disponibilizados e informar a área de infraestrutura para que esse colaborador possa ser, o mais rapidamente possível, desativado e os seus acessos cancelados.
  6. ÁREAS JURÍDICA E DE COMPLIANCE
    • Apoiar as áreas de Tecnologia da Informação e Segurança da Informação em investigações envolvendo incidentes de segurança e garantir a aplicação das sanções administrativas e judiciais cabíveis previstas em políticas internas do Mercado Bitcoin e em lei.
  7. COLABORADORES E TERCEIROS CONTRATADOS
    • Ler atentamente esta Política, declarar ciência e aderir às diretrizes que constam neste documento;
    • Utilizar as ferramentas e Ativos que lhe forem colocadas à disposição pela de forma diligente e em estrita conformidade com as políticas e normas internas do Mercado Bitcoin, incluindo esta Política.
    • Prover segurança às informações utilizadas no relacionamento com terceiros, obedecendo aos requisitos contratuais e/ou legais;
    • Administrar de forma conveniente e adequada, sob a ótica da segurança e proteção, informações, ativos de sistemas de informação e mídias que contenham qualquer informação pertencente ou custodiada;
    • Conhecer o tema de segurança da informação, com o intuito de evitar a ação de quaisquer tipos de fraudadores, ou ser vítima destes;
    • Guardar sigilo sobre qualquer informação que ainda não tenha sido divulgada, obtida em razão do cargo e capaz de influir de modo ponderável no negócio, sendo-lhe vedado valer-se da informação para obter vantagem para si ou para outrem;
    • Zelar para que os aspectos de segurança da informação sejam respeitados, inclusive comunicando à empresa situações suspeitas ou efetivamente irregulares;
    • Participar dos treinamentos e conscientização sobre práticas de Segurança da Informação que venham a ser oferecidos pela Mercado Bitcoin;
    • Reportar as áreas de Tecnologia da Informação e Segurança da Informação toda e qualquer suspeita de violação às diretrizes, procedimentos e controles previstos nesta Política;
    • Devolver (ou destruir, caso assim expressamente solicitado pela área de Segurança da Informação) todas as informações que estejam em seu poder ao final do seu vínculo com a Mercado Bitcoin;

Considerações finais

  1. SUPERVISÃO E PENALIDADES

    Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os Colaboradores e Terceiros do Mercado Bitcoin. O descumprimento da Política é considerado uma falta grave que será analisada pelas áreas de Segurança da Informação, Recursos Humanos e de Compliance do Mercado Bitcoin, e as penalidades serão decididas em conjunto com a Diretoria.

    O Colaborador que violar esta Política de Segurança da Informação estará́ sujeito às sanções administrativas e disciplinares previstas em políticas internas ou em lei, podendo, inclusive, ter a rescisão do respectivo acordo ou do contrato de trabalho por justa causa, sem prejuízo de eventual responsabilização cível ou criminal, conforme a legislação vigente.

Disposições gerais

Esta Política de Segurança Cibernética e da Informação foi aprovada pelo Comitê de Segurança da Informação e Privacidade em 03 de Fevereiro de 2021, e consiste na versão atual, válida e eficaz das diretrizes internas sobre gestão e enfrentamento de incidentes de segurança da informação do Mercado Bitcoin.

A Mercado Bitcoin realiza o monitoramento contínuo da conformidade de suas diretrizes e políticas internas e reserva-se o direito de atualizar e modificar periodicamente esta Política, assim como suas práticas de segurança da informação, sempre que entender necessário.

Os casos omissos nesta Política serão discutidos e encaminhados no Comitê de Segurança da Informação e Privacidade, em conjunto com a Diretoria, deverão analisar as questões envolvidas e emitir uma decisão a posteriori, em conformidade com a legislação aplicável.

Nossos Anexos

Regimento do Comitê de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo

Política de Gestão de Riscos Corporativos

Regimento Interno do Comitê de Conduta, Risco e Compliance

Política de Prevenção à Lavagem de Dinheiro