Política de Segurança Cibernética

Definições

Para os fins desta Política, os seguintes termos, definições e abreviações devem ser usados:

Ameaça – Fonte potencial de dano. Elemento ou atividade que possui potencial de causar uma consequência danosa.
BCB ou Bacen – Banco Central do Brasil.
Cliente ou Merchant – Pessoa jurídica que se candidatou ou com quem se estabeleceu uma relação comercial para a prestação de serviços da Empresa.
Colaborador – Empregado ou prestador de serviço da UNLIMINT.
Incidente – Ocorrência que não é parte padrão da operação de um serviço e que pode causar uma indisponibilidade, redução na qualidade, perda de integridade ou confidencialidade das informações.
Política – Esta Política de Segurança Cibernética.
Risco Cibernético – Evento caracterizado como tentativa criminosa de danificar, roubar ou destruir dados, comprometendo sites, servidores ou interrompendo infraestruturas inteiras de tecnologia.
Terceiros – Entes que não são possuem vínculo empregatício com a UNLIMINT.
Unlimint ou Empresa – Unlimint Brasil Serviços de Internet Ltda., uma empresa com seu escritório no Município de São Paulo, Estado de São Paulo, na Av. das Nações Unidas, 12551, cj 2201, Brooklin Novo, São Paulo, 04578-000, inscrita no Cadastro Nacional de Pessoas Jurídicas do Ministério da Economia (“CNPJ”) sob o nº 35.542.555 / 0001-40.
Vulnerabilidade – Uma fraqueza ou um ativo que poderia ser potencialmente explorada por uma ou mais Ameaças.

Introdução

2.1. Atividade Comercial

A Unlimint Brasil Serviços de Internet Ltda., é uma empresa com sede no Município de São Paulo, Estado de São Paulo, na Av. das Nações Unidas, 12551, cj 2201, Brooklin Novo, São Paulo, 04578-000, sendo a sua sede social e inscrita no Cadastro Nacional de Contribuintes do Ministério da Economia (“CNPJ”) sob o nº 35.542.555/0001-40.

Os principais serviços prestados pela Unlimint são serviços de pagamentos consistentes na facilitação e acompanhamento da realização de transações de pagamento entre um Cliente e os Merchants.

2.2. Objetivo da Política

O objetivo desta política é estabelecer as regras e diretrizes para a Segurança Cibernética da Unlimint, que visam à proteção dos ativos de informação com eficiência e eficácia, de modo seguro e transparente, garantindo a confidencialidade, integridade e disponibilidade das informações, em atendimento a Resolução nº 85 de 08 de abril de 2021 do Banco Central do Brasil.

Escopo e Objetivo

Para que a Unlimint garanta suas operações contínuas e a prestação de serviços regulamentados como uma instituição de pagamento confiável e de boa reputação, esta Política foi estabelecida para definir princípios e padrões de alto nível para prevenir a materialização, mitigar e gerenciar Riscos Cibernéticos.

Abrangência

Esta Política se aplica a todas as áreas da Unlimint, bem como suas afiliadas onde possa estabelecer operações, seus administradores e Colaboradores, clientes e parceiros, prestadores ou fornecedores de serviços e usuários externos das informações detidas pela Unlimint.

Atribuições e Responsabilidades

5.1. Área de Segurança Cibernética

Fazer a gestão de Incidentes de Segurança da Informação;
Garantir e monitorar a conformidade desta Política;
Implementar controles de Segurança Cibernética de acordo com as regras da Unlimint e as estabelecidas nesta Política;
Desenvolver e atualizar, sempre que necessário, as diretrizes desta política;
Estabelecer as diretrizes e os mecanismos aplicáveis às comunicações relacionadas a eventuais Incidentes;
Continuamente, estabelecer e sugerir melhorias para o tratamento para Incidentes;
Zelar pelo nome e reputação da Unlimint;
Identificar as eventuais violações de Segurança Cibernética e determinar as ações a serem imediatamente tomadas;
Gerenciar o tratamento e a prevenção de incidentes, Ameaças e Vulnerabilidades nos ambientes físicos e lógicos, visando a mitigação dos Riscos Cibernéticos;
Garantir a continuidade de seus negócios, protegendo os processos críticos da operação;
Atender a todos os requisitos legais e regulamentares aplicáveis a Unlimint, bem como suas obrigações contratuais perante seus Clientes;
Elaborar um plano de treinamento e conscientização dos Colaboradores, com foco na Segurança Cibernética.

5.2. Gestor de Segurança Cibernética

Atuar como líder e proprietário do Processo de Gestão de Tratamento e Resposta a Incidentes.

5.3. Colaboradores

Ter ciência e cumprir as diretrizes estabelecidas nesta Política;
Reportar qualquer Incidente ou Ameaça de incidente o mais rapidamente possível, por meio do canal apropriado.

Diretrizes

Os Incidentes podem ser notificados por qualquer Colaborador ou identificados por áreas da Tecnologia da Informação da Unlimint.

6.1. Comunicação de incidentes

Os identificadores de possíveis Incidentes devem comunicar imediatamente os casos ao Gestor de Segurança Cibernética. Os incidentes deverão ser avaliados e investigados de forma a construir uma análise consistente de causas-consequências, riscos envolvidos, partes envolvidas e planos de respostas. A avaliação deverá ser direcionada à Diretoria responsável pela Política de Segurança Cibernética para decisão das ações a serem tomadas. Classificada a relevância do incidente, a Unlimint deverá emitir com adequada tempestividade um comunicado às partes envolvidas, informando a situação ocorrida e ações definidas, ao menos, de forma preliminar, informando e/ou notificando as atividades posteriores pertinentes.

Plano de Segurança Cibernética

O Plano de Segurança Cibernética visa:

Proteger as informações contra acesso, modificações, destruição ou divulgação não autorizada;
Prover a adequada classificação da informação, sob os critérios de confidencialidade, disponibilidade e integridade;
Assegurar que os recursos utilizados para o desempenho de sua função sejam utilizados apenas para as finalidades aprovadas pela Unlimint;
Garantir que os sistemas e as informações sob responsabilidade da Unlimint estejam adequadamente protegidos;
Selecionar os mecanismos de segurança da informação, balanceando fatores de riscos, tecnologia e custo;
Comunicar imediatamente à área de Segurança da Informação, quaisquer descumprimentos da Política Corporativa de Segurança Cibernética.

Segurança Física e Lógica

Devem ser implementados controles físicos para prevenir o acesso não autorizado aos ambientes da Empresa, sendo utilizados locais adequados para o armazenamento, processamento e manipulação de suas informações.

Os Colaboradores e Terceiros devem ser treinados periodicamente sobre os conceitos de Segurança da Informação, através de um programa de conscientização.

Gestão de Acesso

O acesso às informações deve ser autorizado de acordo com a necessidade de desempenho das atividades dos Colaboradores, sendo necessário o estabelecimento de controles para evitar acessos não autorizados, furtos, alterações indevidas ou seu vazamento. Os acessos devem ser rastreáveis, a fim de garantir que seja possível identificar individualmente o proprietário da credencial.

Continuidade de Negócios

O processo de gestão de continuidade de negócios relativo a Segurança Cibernética, deve ser implementado para minimizar os impactos e recuperar perdas de ativos da informação, após um Incidente crítico, a um nível aceitável, através da combinação de requisitos como operações, funcionários chaves, mapeamento de processos críticos, análise de impacto nos negócios e testes periódicos de recuperação de desastres. Incluem-se nesse processo, a continuidade de negócios relativos aos serviços contratados de nuvem e os testes previstos para os cenários de ataques cibernéticos.

Treinamento

Um programa de conscientização em Segurança Cibernética para garantia dos objetivos e diretrizes definidos nesta Política é realizado adequando-se às necessidades e responsabilidades específicas de cada Colaborador e, onde pertinente, Terceiros da Empresa.

Vigência

Esta Política passará a vigorar a partir da sua data de publicação e deve ser revisada a cada 3 (três) anos ou a qualquer tempo, sempre que necessário.

Aprovação

Esta Política foi aprovada pela Diretoria da Unlimint.

UNL.BR_Cybersecurity Policy_POR.pdf