Política de Segurança da Informação

Segurança da Informação como Cultura Organizacional

No Mercado Bitcoin entendemos que segurança é parte principal da cultura e DNA da empresa. Entendemos e acreditamos em uma abordagem de “Segurança por Design” onde toda a construção do negócio é feita em uma base sólida em segurança. Qualquer sistema, processo, procedimento e controle são concebidos em torno da segurança. A cultura da segurança por ‘design’ deve ser adotada internamente por todos os colaboradores, parceiros e fornecedores e suas cadeias de relacionamento em primeiro nível. Todos esses esforços convergem para a proteção dos ativos de informação do ecossistema “Mercado Bitcoin”, principalmente seus CLIENTES.

O que é Segurança da Informação?

Segurança da informação (SI) é a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades para a o Mercado Bitcoin, ou seus Clientes.

A Segurança da Informação é obtida a partir da implementação de um conjunto de controles, incluindo tecnologia, políticas, processos, procedimentos e a própria estrutura organizacional da empresa.

Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente , sempre que necessários, e melhorados continuamente para garantir que os objetivos e a segurança do Mercado Bitcoin sejam atendidos.

Internamente, considera-se como Informação toda a base de conhecimento, conteúdo, dado, conceito, envio ou recebimento de mensagem, processo ou fato existente, em meio físico ou eletrônico, que compõe documentos e informações de propriedade, interesse ou posse do Mercado Bitcoin.

Por que a Segurança da Informação é Necessária?

A informação e os processos de apoio, sistemas e redes são ativos CRÍTICOS para o negócio do Mercado Bitcoin. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a própria existência do Mercado Bitcoin como negócio, a confidencialidade de informações de clientes e usuários, bem como o atendimento aos requisitos legais e a imagem do Mercado Bitcoin junto ao mercado e seus clientes.

O Mercado Bitcoin, seus sistemas de informação, sua rede de dados e todos os dispositivos conectados nesse ecossistemas de informação, sofrem diversos tipos de ameaças à segurança da informação (sua disponibilidade, integridade e confidencialidade), incluindo alvo de cibercriminosos em todas as variantes de ataques possíveis, direcionados ou não. Danos causados por malwares, hackers e diversos tipos de ataques de negação de serviço estão se tornando cada vez mais frequentes e incrivelmente sofisticados.

A Segurança da Informação é crítica para o negócio do Mercado Bitcoin e, por isso, carregamos a “Segurança” como mais que um requisito para o negócio, Segurança 'é o principal valor da nossa cultura.. Sendo assim, temos como principal objetivo deste documento estabelecer as diretrizes necessárias para orientar a todos os membros de nossa equipe os cuidados a serem observados para a manutenção de nossas informações em um padrão de segurança superior.

Bases e Referências para a Política de Segurança da Informação

Este documento está fundamentado nos Objetivos de Controle elencados pela norma ABNT NBR ISO/IEC 27002, um código de práticas para a Segurança da Informação mundialmente reconhecido, assim como as publicações NIST e seu Framework de Segurança da Informação.

Em conformidade com as referências citadas acima, a Política de Segurança da Informação do Mercado Bitcoin visa prioritariamente a preservação dos Ativos de Informação, ou seja, inclui mas não se limita a, qualquer dado, material, procedimento, processo, especificações, inovações e aperfeiçoamento técnicos e comerciais que agreguem valor para o negócio da empresa, assim como todas as informações confidenciais dos nossos clientes sob nossa custódia, especialmente em relação aos seguintes atributos:

  • Confidencialidade: não permitindo sua disponibilização ou exposição a indivíduos, entidades ou processos não autorizados expressamente, seja por contratos ou outros instrumentos formais; Sendo que as informações dos clientes custodiadas pelo Mercado Bitcoin só poderão serem acessadas completamente e principalmente movimentadas pelos próprios clientes.
  • Integridade: salvaguardando sua exatidão e completeza, tal como foram criados ou recebidos utilizando tecnologias, controles e processos que garantam esse requerimento pelo próprio design dos produtos e sistemas do Mercado Bitcoin.
  • Disponibilidade: Os sistemas e informações pertencentes ao ecossistema tecnológico do Mercado Bitcoin deverão estar disponíveis para seus clientes, associados e colaboradores, atendendo também a confidencialidade das informações e integridade de seu conteúdo, formando, assim, uma tríade de Segurança de qualidade superior.

Aplicabilidade da Política de Segurança da Informação

Os Objetivos de Controle aqui estabelecidos deverão ser seguidos por todos os colaboradores do Mercado Bitcoin, independentemente de sua relação contratual e nível hierárquico e são aplicáveis a toda Informação da empresa, seus clientes e usuários, em qualquer fase de seu ciclo de vida e meio ou suporte que os mesmos se encontrem, tais como, mas não se limitando a: mídias físicas, mídias eletrônicas, transmissão de dados ou mesmo pela transmissão verbal.

Organização e Estrutura Organizacional Aplicadas à Política de Segurança da Informação

Os Diretores, em nível estratégico, apoiam ativamente a cultura de Segurança da Informação como valor estratégico na empresa, por meio de um claro direcionamento, demonstrando o seu comprometimento, tal como demonstrado na Carta aos Colaboradores.

São atribuições específicas do CEO (também conhecido como Presidente, Diretor Geral ou Diretor Administrativo):

  • Definir a estratégia de Segurança da Informação para o Mercado Bitcoin, alinhando a mesma às demais estratégias do negócio;
  • Deliberar sobre a criação, organização, estrutura e regulamentação de um Comitê de Segurança da Informação;
  • Convocar e coordenar, a seu critério, reuniões periódicas e emergenciais deste Comitê;
  • Aprovar os documentos estratégicos.

O Comitê de Segurança da Informação terá uma atividade cooperativa, colaborativa e contínua, e será composto pelos executivos e gestor do comitê de segurança (normalmente o CSO - Chief Security Officer, ou Diretor de Segurança).

São atribuições específicas do Comitê de Segurança:

  • Criação do Documento de Políticas de Segurança da Informação do Mercado Bitcoin, o qual servirá como guia para as ações de educação e difusão cultural do tema de Segurança da e os controles técnicos aplicáveis;
  • Revisão das ações educacionais já existentes no Mercado Bitcoin, como treinamento específico sobre SI para novos colaboradores além de iniciativas recorrentes de atualização para os demais colaboradores, objetivando uma reciclagem total em até 18 meses para todos os colaboradores e associados do Mercado Bitcoin.
  • Revisão dos procedimentos para continuidade dos negócios do Mercado Bitcoin (Plano de Continuidade de Negócios), bem como a produção e implantação de novos procedimentos que garantam a operação contínua dos negócios e do Mercado Bitcoin frente aos riscos mapeados pelo comitê de segurança;
  • Revisão dos procedimentos para recuperação de falhas, desastres e resposta a incidentes que afetem a disponibilidade dos Sistemas de Informação do Mercado Bitcoin (Plano de Recuperação de Desastre);
  • Participação ativa no Comitê de Gestão de Crises, incluindo a atualização de procedimentos em conformidade com esta Política e com as estratégias da marca;
  • Participação ativa nas revisões dos procedimentos de Gerenciamento de Mudanças (“Change Management”) no ambiente computacional do Mercado Bitcoin;
  • Fomento à cultura de Segurança da Informação dentro do Mercado Bitcoin e em toda a cadeia de relacionamentos incluindo, Clientes, Fornecedores, Parceiros de Negócios, Colaboradores e Associados;
  • Gerenciar a realização de testes de vulnerabilidades periódicos, abrangendo a rede Internet e Intranet da empresa, a fim de identificar as ameaças existentes e aplicar as devidas correções para qualquer vulnerabilidade exposta;
  • Todos os sócios, empregados, colaboradores, associados, incluindo terceiros ou quaisquer prestadores de serviços recorrentes do Mercado Bitcoin, independentemente da relação contratual estabelecida e do nível hierárquico, são responsáveis por:
    1. Conhecer e cumprir rigorosamente a Política de Segurança da Informação do Mercado Bitcoin, bem como toda a documentação correlata;
    2. Dentro da responsabilidade de segurança, todos no Mercado Bitcoin são colaboradores e devem se atentar e reportar ao se deparar com práticas em não conformidade com a Política de Segurança, ajudando, inclusive, na reeducação dos hábitos em não conformidade;
    3. Reportar ao Comitê de Segurança da Informação, ou ao canal disponibilizado pela mesma, a suspeita ou confirmação de descumprimentos de toda a documentação de SI e seus Objetivos de Controle, bem como de tentativas de burla de recursos e ferramentas de SI e quaisquer incidentes de SI;

Classificação da Informação

A informação é tida como um ativo, e possui valor diferente dependendo do seu conteúdo. Os controles de proteção desses ativos podem aumentar de acordo com seu valor. A classificação das informações também podem definir quais controles de proteção precisam ser implementados. Podemos entender a classificação da informação também como uma escala de proteção a ser aplicada na mesma.

Para o Mercado Bitcoin, são cinco os níveis de classificação da informação em ordem crescente de importância e sigilo:

  • PÚBLICAS: são todas as informações que já sejam de conhecimento público e estejam disponibilizadas para Clientes, Colaboradores e Público em Geral através da Internet, ou veiculadas em documentos publicados em jornais, revistas, folders, redes sociais, panfletos, avisos ou palestras autorizadas. Somente as áreas de comunicação e marketing poderão publicar informações sobre a empresa ou “em nome do Mercado Bitcoin”, bem como definir e orientar porta-vozes do negócio.
  • INTERNAS: são informações que estão disponíveis aos colaboradores por meio das ferramentas aprovadas, com armazenamento interno, em servidores do Mercado Bitcoin ou terceiros autorizados (na nuvem por exemplo). Qualquer informação classificada como “INTERNA” não poderá ser encaminhada, divulgada ou publicada em quaisquer meios para terceiros não autorizados, devendo a sua disponibilização ser restrita ao ambiente de trabalho do Mercado Bitcoin e uso limitado aos Colaboradores ou terceiros (mediante assinatura de termo de “não divulgação” - NDA), que realmente necessitem ter acesso a tais informações.
  • RESTRITAS: os documentos classificados como “INFORMAÇÃO RESTRITA” somente poderão ser acessados pela área, departamento, setor ou função dentro do Mercado Bitcoin que classificou a Informação. Normalmente são informações de uma determinada área que não deve ser acessada por outros setores da empresa, por exemplo, os documentos do setor de RH ou departamento financeiro da empresa.
  • CONFIDENCIAL: todas as informações classificadas como confidenciais deverão ser mantidas em arquivos físicos ou eletrônicos com níveis de segurança compatíveis com a relevância da Informação, tais como cofres, armários com chaves, diretórios criptografados ou envio dos arquivos somente após a inclusão de mecanismos de segurança (senha ou criptografia). A transmissão de arquivos confidenciais só deverá ser feita utilizando meios de transmissão seguras, para as partes previamente autorizadas, com contrato de sigilo claro e dentro da validade, sejam as partes: funcionários, colaboradores, associados, fornecedores ou qualquer tipo de parceiro de negócios que precisam: criar, armazenar ou processar qualquer tipo de informação CONFIDENCIAL.

ARMAZENAMENTO E TRANSMISSÃO DE INFORMAÇÕES CONFIDENCIAIS:

Atendendo aos requisitos contratuais de sigilo, os meios de armazenamento previamente aprovados são: discos criptografados, transmissão por rede ou internet utilizando SSL (com certificado de origem e destino da transmissão pertencentes às partes acordadas em contrato), SSH ou SFTP (FTP via SSH). Para transmissão de informações confidenciais por e-mail em servidores e domínios diferentes, é necessário adicionar criptografia adicional em nível de arquivo (senha no arquivo utilizando criptografia forte de no mínimo AES 1024 bits ou equivalente). A proteção por senha deve ser aplicada INCLUSIVE para proteção de certificados privados de uso geral (por exemplo, ao se gerar pares de chaves SSH, é necessário aplicar senha FORTE nas chaves privadas).

Deverão ser classificadas como confidenciais as informações que por sua origem, natureza ou importância não devam ser compartilhadas ou colocadas à disposição de pessoas não autorizadas. Consideram-se Informações confidenciais todas as que assim forem classificadas, bem como – indistintamente – dados recebidos ou compilados de/sobre clientes, senhas, informações financeiras ou de salários, código fonte, informações sensíveis de usuários entre outras.

  • SECRETAS: as informações classificadas como SECRETAS possuem o mais alto nível de sensibilidade e criticidade para o negócio. Carteiras de bitcoin em geral, chaves de criptografia (certificados SSL ou chaves SSH) e credenciais de acesso em geral são exemplos de informações SECRETAS. Outras informações estratégicas com alto nível de confidencialidade também podem ser classificadas como SECRETAS a critério do proprietário da informação.

Informações em que seu possível vazamento implica em impacto financeiro direto ao negócio ou ponha em risco a continuidade dos negócios é um indício para que ela receba a classificação máxima de proteção: SECRETA.

As informações secretas normalmente possuem os seguintes controles e proteções:

  • São armazenadas em volumes criptográficos acrescidos de criptografia de arquivo: criptografia multinível com chaves e algoritmos distintos.
  • Aplicação de múltiplas chaves para o acesso à informação: é necessário duas ou mais pessoas, com suas respectivas chaves privadas para ter acesso a informação SECRETA.
  • O acesso à informação SECRETA é feito sempre que possível em equipamento OFF-LINE, em ambiente controlado sem que outros atores não estejam no recinto.
  • As informações SECRETAS não podem ser copiadas, fotografadas, filmadas (incluindo sistemas de CFTV) ou testemunhadas, pessoalmente ou por meio de telepresença de qualquer forma.
  • Algumas informações secretas podem simplesmente não serem armazenadas (brain storage only), processadas ou transmitidas no ambiente computacional do Mercado Bitcoin sempre que isso for possível.
  • Carteiras de criptomoedas de fluxo de transações (warm wallets): só poderão ser armazenadas em servidores de produção utilizando-se de criptografia forte adicionalmente à criptografia de disco, só devendo ser lida em seu formato aberto em memória do mesmo servidor e de forma temporária ao tempo das transações estritamente necessárias as movimentações do Mercado Bitcoin e seus clientes.
  • Carteiras de criptomoedas de reserva ou custódia (cold wallets): O armazenamento é offline, o acesso é via máquina offline, com uso de chave múltiplas para movimentação para as carteiras de transações (warm wallets).

A classificação dos documentos deverá ocorrer em campo visível, preferencialmente na primeira página e próximo ao cabeçalho do Documento.

Quando um Documento contiver mais de um tipo de informação com classificação original distintas, por exemplo, dois documentos unidos em um único arquivo, a classificação mais restritiva passa a valer para todo o documento.

Qualquer informação que não tenha sua classificação especificadade forma clara no documento será automaticamente considerada como informação “RESTRITA”.

Atribuição Inicial da Classificação à Informação

Caberá ao colaborador AUTOR da informação definir os acessos, níveis de permissão e formas de proteção quando se tratar de uma informação RESTRITA, CONFIDENCIAL ou SECRETA.

Será considerado como AUTOR da informação o colaborador que primeiro produzir ou manipular a informação dentro do ambiente do Mercado Bitcoin.

Todo colaborador será responsável pela sua classificação e armazenamento, seguindo as recomendações contidas neste documento.

Caberá à área de segurança da informação, prover o suporte técnico aos autores das informações geradas e realizar os devidos treinamentos sobre proteção e armazenamento seguro de dados.

A área de Tecnologia da Informação é a provedora dos recursos e meios de armazenamentos seguro dessas informações, assim como as ferramentas de controle de acesso, proteção e criptografia.

Publicação de Informações Abertas

Somente os gestores do Mercado Bitcoin, com assessoria devida das áreas de Comunicação e Marketing, poderão classificar informações para divulgar externamente ou as definir como Informação Pública.

Descarte de Informação Classificada

As informações classificadas como RESTRITA, CONFIDENCIAL ou SECRETA devem sofrer tratamento especial no seu descarte.

O descarte de informações, armazenadas em meio físico ou eletrônico, deverá ser realizado segundo o procedimento de descarte aplicável para garantir que a informação descartada não possa ser recuperada de qualquer forma.

Além dos demais procedimentos aplicáveis, todas as informações impressas deverão ser trituradas antes de seu descarte e informações eletrônicas deverão ser deletadas mediante o uso de ferramentas apropriadas ao descarte de dados (NIST 800-88 Data Sanitization).

Extravio de Informação

Qualquer evento de perda, extravio ou roubo de informações, devem ser reportados IMEDIATAMENTE ao Comitê de Segurança da Informação, por meio do email: [email protected]

Do Uso das Ferramentas Corporativas

O Mercado Bitcoin poderá fornecer ao colaborador contas de correio eletrônico, acesso à internet e outras ferramentas de comunicação e produtividade para a dinamização do trabalho ou utensílios como gavetas, armários e quaisquer dispositivo físico ou lógico para a execução do trabalho.

O uso destas ferramentas estará sujeito a esta política de segurança da informação e restrições de acesso, de acordo com o nível de acesso outorgado ao usuário e deliberações do Comitê de Segurança da Informação.

Como política de nível de acesso à informação, utilizamos a premissa de “menor privilégio possível”. O colaborador somente terá acesso aos aplicativos e informações que forem estritamente necessários para a realização do seu trabalho.

É expressamente proibido o uso de qualquer recurso corporativo, computadores, redes, acessos bem como quaisquer meios de comunicação corporativas para a prática de qualquer ato ilícito sob pena de responsabilidades civis ou até criminais.

Acesso e Uso da Internet

O Mercado Bitcoin poderá permitir a navegação em sites de conteúdo e acesso à Internet, sempre de acordo com a sua política de segurança da informação e bloqueios de sites classificados como inseguros ou não confiáveis.

É explicitamente proibido a transferência de arquivos por meio de quaisquer protocolo, aplicativo ou ferramenta que não forem previamente e explicitamente aprovados pela área se segurança da Informação do Mercado Bitcoin.

Essa aprovação é, na verdade, uma análise de segurança da ferramenta e do fornecedor do produto, a fim de garantirmos que somente ferramentas e fabricantes que possuam alta maturidade em segurança da informação, proteção de dados e políticas claras de privacidade sejam incorporados à lista de ferramentas e fornecedores aprovados.

Isso evita a herança de vulnerabilidades por meio de ferramentas não seguras e não testadas, assim como parcerias com fornecedores que possam não seguir as boas práticas de segurança da informação.

Da mesma forma, não será permitido o download de materiais protegidos por direitos autorais ou a instalação de softwares não homologados pela área de Segurança da Informação.

E-mail / Correio Eletrônico

O correio eletrônico do Mercado Bitcoin, assim como todas as plataformas de comunicação utilizadas na empresa, são ferramentas de trabalho, não devendo ser utilizado para outros fins.

As informações contidas nas mensagens eletrônicas são de propriedade do Mercado Bitcoin podendo ser monitoradas a qualquer tempo sem aviso ou notificação prévia para fins de auditoria de conformidade às normas internas, regulamentações ou boas práticas aplicadas ao negócio do Mercado Bitcoin. (Veja o item MONITORAÇÃO nesta mesma política)

É expressamente proibido o envio de informações classificadas como “INTERNAS” e “CONFIDENCIAIS” para endereços de e-mail fora do domínios MercadoBitcoin.com.br e MercadoBitcoin.net exceto para terceiros (clientes ou fornecedores) diretamente envolvidos no assunto em questão.

As informações classificadas como SECRETAS não devem ser armazenadas ou transmitidas por e-mail simples. Para isso, é mandatório o uso de criptografia forte adicional para proteção do conteúdo da mensagem e seus anexos.

Senhas de Acesso

A senha de acesso aos recursos computacionais do Mercado Bitcoin é de inteira responsabilidade do colaborador que não deverá, em hipótese alguma, compartilhar ou emprestar a outros colaboradores e terceiros.

Os usuários deverão utilizar senhas “fortes”, misturando letras e números, em todos os sistemas corporativos e o tamanho mínimo recomendado para as senhas é de 12 (doze) caracteres.

Informações classificadas como SECRETAS deverão obrigatoriamente utilizar uma sequência longa de pelo menos 18 caracteres, ou optar pela utilização de uma chave específica de pelo menos 1024 bits (utilizando-se sempre uma senha adicional para a proteção da chave criptográfica).

Toda ação feita, dentro ou fora do ambiente computacional do Mercado Bitcoin, será de responsabilidade do colaborador associado às credenciais de acesso associadas às ações.

Contas Inativas

Toda e qualquer credencial de acesso que não tiver atividade em até 40 dias serão bloqueadas em TODOS os sistemas corporativos.

Autenticação de Multi Fator (dois fatores)

É obrigatório o uso de autenticação multi-fator (2FA ou MFA; Two factor Authentication ou Multi-Factor Authentication) para TODOS os serviços onde a opção estiver disponível.

Acesso Remoto

Colaboradores previamente cadastrados, mediante aprovação explícita dos seus gestores diretos, poderão obter acesso remoto ao ambiente computacional do Mercado Bitcoin. Para isso, é necessário o preenchimento do formulário que indica a vigência inicial e final do acesso, sua necessidade e níveis de acesso externo. Esse processo deve usar equipamentos corporativos fornecidos pelo Mercado Bitcoin com a aplicação dos controles de segurança vigentes. A conexão será estabelecida por meio de VPN privada corporativa.

Mesa Limpa

Todos os colaboradores deverão obedecer as regras de limpeza e organização do ambiente de trabalho a fim de não expor desnecessariamente informações classificadas.

Os documentos impressos e anotações que precisem estar em um papel (impresso ou anotações) devem permanecer nas mesas em caráter temporário devendo ser recolhidos em compartimentos fechados disponíveis em seu departamento ou qualquer dependência da empresa que forneça segurança e proteção a esses materiais.

Toda informação que permanecer nas mesas poderá e deverá ser destruída pelo colaborador responsável ou por qualquer outro colaborador que assim o quiser fazê-lo exercitando as boas práticas de proteção de informações do Mercado Bitcoin.

Os documentos órfãos notoriamente importantes (que possuem assinaturas por exemplo) deverão ser depositados em um armário especial do tipo boca de lobo para que possam ser revisados posteriormente antes de sua destruição - cofre de documentos órfãos localizados ao lado das impressoras.

Esta regra vale para o ambiente de trabalho, incluindo a estação de trabalho, mesa, gavetas, arquivos e lixo.

Bloqueio de Dispositivos Por Inatividadde

Todo dispositivo corporativo de acesso aos sistemas corporativos devem sofrer bloqueio automático depois de 10 minutos de inatividade (computadores, smartphones, tablets ou qualquer outro dispositivo, móvel ou não).

Captura de Tráfego na Rede

É expressamente proibido a captura de tráfego de rede dentro da rede corporativa do Mercado Bitcoin salvo eventos devidamente autorizados pelo Comitê de Segurança ou pelo gestor de segurança para fins exclusivos de diagnóstico, auditoria e monitoração previamente autorizados.

Dispositivos Pessoais

O uso de dispositivos pessoais fica restrito a rede de convidados/guest do Mercado Bitcoin.

Não é permitido a conexão de dispositivos não corporativos as redes internas, cabeadas ou sem fio.

Aos colaboradores que precisem fazer uso de dispositivos móveis para o desempenho de funções e tarefas específicas, o farão utilizando equipamentos fornecidos pela empresa, com os devidos controles e proteções técnicas aplicadas.

Redes Sociais

É expressamente proibido que qualquer colaborador emita qualquer comunicado, opinião ou comentário EM NOME do Mercado Bitcoin sem a expressão aprovação e alinhamento com a área de marketing e comunicação.

As interações de resposta, réplica aos comentários feitos por terceiros sobre a empresa e afins, só podem ser feitas pelas áreas específicas de comunicação e gestão de mídias sociais.

A publicação de fotos em área internas também devem ser evitadas, para evitar que informações restritas contidas nas áreas internas da empresa sejam publicadas inadvertidamente.

Software, Apps e Plugins

Não é permitido a instalação de softwares não aprovados pela área de TI e Segurança em quaisquer dispositivos que acessam os sistemas de informação do Mercado Bitcoin que inclui: computadores, notebooks e dispositivos portáteis como tablets e celulares. Inclusive software, aplicativos, plugins pagos ou gratuitos.

A área de TI e Segurança já possui um portfólio de ferramentas e aplicativos para atender as demandas do negócio incluindo ferramentas de produtividade e afins.

A maioria dessas ferramentas já são previamente instaladas em todos os dispositivos corporativos.

Postura Geral de Privacidade

Todos os acessos aos sistemas internos devem ter como justificativa um propósito real de negócio.

É expressamente proibido o acesso a quaisquer informações de clientes, colaboradores ou qualquer registro nos sistemas de informação do Mercado Bitcoin sem um propósito claro de negócio, e ligado diretamente ao exercício das funções atribuídas na relação de trabalho entre o colaborador e a empresa.

É expressamente proibido o acesso a dados de clientes por mera curiosidade. Como por exemplo:

Acessar contas de celebridades, pessoas públicas, parentes, amigos ou qualquer outro cliente sem que haja um propósito de negócio e principalmente, um chamado relacionado ao caso. Caso precise resolver algum problema na sua própria conta, como por exemplo aprovar um depósito, abra um chamado e peça que um colega faça a aprovação para você.

Monitoração

O Mercado Bitcoin se reserva ao direito de monitorar todas as atividades feitas pelos seus colaboradores em seus sistemas de informação para garantir o cumprimento desta e outras políticas da empresa.

Os ambientes internos do Mercado Bitcoin também podem sofrer gravação audiovisual com o propósito principal de aumentar a segurança do perímetro interno da empresa contra incidentes de segurança de qualquer natureza.

Acesso ao Escritório e Escolta de Visitantes

O acesso ao nossos escritórios NÃO pode ser feito por pessoas DESACOMPANHADAS. Um colaborador sempre deverá escoltar o visitante DESDE a chegada na recepção do prédio, até a entrada no escritório. A recepção NÃO deve abrir a porta de acesso, ou seja, quem não possui biometria cadastrada, sempre terá que ser escoltado por outro colaborador. Para colaboradores ou consultores externos que trabalhem mais de dois dias por semana no escritório, iremos cadastrar sua biometria e liberar o acesso sem escolta. A porta principal DEVE PERMANECER SEMPRE FECHADA, mesmo para saídas rápidas do escritório (colocar detritos e lixos no compartimento do andar, por exemplo). Antes de abrir a porta, sempre OBSERVE com cuidado QUEM está no hall dos elevadores, na parte externa do escritório. Se houver presença de estranhos NÃO abram a porta, retornem a recepção e aguarde alguns minutos antes de retornar ao andar. Se necessário peça a segurança do prédio para subir ao andar, verificar e escoltar a pessoa para o andar correto (ele pode simplesmente ser de outra empresa e ter descido no andar errado ;)

Os pontos chaves desse capítulo são:

- A recepção INTERNA não deve abrir a porta para dar acesso ao escritório; - Todos os visitantes devem ser escoltados DESDE a recepção do prédio; - Não autorizamos que visitantes SUBAM ao nosso andar sem escolta de um colaborador; - Não atendemos clientes do Mercado Bitcoin em nosso escritório; - Só abra a porta depois de verificar se estranhos não estão no andar

Gravação de Conteúdo Audiovisual nas Dependências da Empresa

Eventualmente as áreas de negócios, lideradas pelo marketing poderão fazer gravações de áudio e vídeo dentro das dependências da empresa. Esta sessão trás algumas recomendações e obrigação a serem observadas durante esses eventos:

  1. Os profissionais que farão a captação do conteúdo, quando não forem colaboradores diretos da empresa deverão estar sob supervisão direta durante toda a permanência na empresa de pelo menos um colaborador;
  2. A empresa contratada, assim como quaisquer fornecedores, devem ter um NDA assinado e vigente ANTES da realização dos trabalhos;
  3. O colaborador e área cliente do trabalho, será o responsável pela observância de qualquer informação confidencial como telas, documentos, anotações (inclusive nos quadros localizados nas paredes usados para notas pelas equipes) garantindo que essas informações não sejam capturadas pelas fotos ou vídeos realizados dentro de nossas dependências. O fornecedor ainda, deve revisar e ofuscar qualquer conteúdo que for observado durante a edição do material e a área contratante deve sempre revisar a versão final da produção audiovisual para assegurar que informações confidenciais não tenham acidentalmente sido capturadas nas imagens.

Violação das Politicas

A violação desta política poderá acarretar em sanções administrativas e/ou legais, inclusive com rescisão do contrato de trabalho e/ou qualquer outro contrato de relacionamento de prestação de serviço entre o colaborador, associado, consultor e/ou sócio, assim como qualquer entidade com relação contratual direta ou indireta com o Mercado Bitcoin.

A observação do descumprimento desta política deve ser imediatamente reportada por meio do email: [email protected]

Anexos