Regulatório · BCB 85/2022

Política de Segurança Cibernética

Diretrizes principais de segurança cibernética da Cumbuca, alinhadas ao porte, ao perfil de risco e ao modelo de negócio da instituição. Orientam a gestão de sistemas de informação e asseguram a confidencialidade, integridade e disponibilidade dos dados e serviços.

Versão 1.0 Data Março/2023 Responsável Segurança da Informação

Objetivo

Apresentar as diretrizes principais de segurança cibernética alinhadas ao porte, ao perfil de risco e ao modelo de negócio da Cumbuca. A política orienta a gestão dos sistemas de informação e assegura os três pilares fundamentais: confidencialidade, integridade e disponibilidade.

Visão geral

A Cumbuca fornece serviços de pagamento e organização financeira, o que exige canais seguros de comunicação entre usuários e sistemas, com controles efetivos e com a implementação desta política em toda a cadeia operacional.

Escopo

Aplica-se a todos os interessados nos procedimentos adotados pela Cumbuca para proteção de dados e sistemas, incluindo colaboradores, prestadores de serviço, fornecedores, parceiros de integração e usuários finais.

Regras e normas aplicáveis

A política observa o seguinte arcabouço normativo:

  • Lei nº 13.709/2018 (LGPD), Lei Geral de Proteção de Dados Pessoais
  • Lei nº 12.965/2014, Marco Civil da Internet
  • Resolução CMN nº 4.893, de 26 de fevereiro de 2021
  • Resolução BCB nº 85, de 8 de abril de 2022
  • Normas internas revisadas periodicamente pela área de Segurança da Informação

Diretrizes

A Cumbuca opera sob as seguintes diretrizes, auditadas ao menos anualmente pela área de Segurança da Informação:

  1. Área dedicada à proteção cibernética, com responsabilidades formalmente atribuídas
  2. Gestão segura de dados ao longo de todo o ciclo de vida (coleta, processamento, armazenamento, descarte)
  3. Treinamento periódico de colaboradores em segurança cibernética e proteção de dados
  4. Conformidade com a LGPD em todos os processos que envolvam dados pessoais
  5. Desenvolvimento seguro de software, com revisão de código, análise estática e testes de segurança
  6. Proteção contra malwares em estações de trabalho, servidores e aplicações
  7. Integridade de dados via checksums, logs imutáveis e controles de auditoria
  8. Monitoramento contínuo da infraestrutura, com alertas automatizados para eventos anômalos
  9. Gerenciamento de acessos baseado em princípio de menor privilégio e revisão periódica
  10. Classificação de informações por sensibilidade, com controles proporcionais
  11. Due diligence de parceiros, análise de riscos cibernéticos antes de integração
  12. Prevenção de incidentes, com playbooks e simulações periódicas
  13. Plano de continuidade de negócios (BCP) com metas de RTO e RPO definidas
  14. Controle tecnológico de endpoints, rede e acessos remotos
  15. Prevenção de divulgação não autorizada de informação (DLP)
  16. Resposta a incidentes com notificação tempestiva aos reguladores quando aplicável
  17. Revisão contínua de fornecedores críticos e dependências de cadeia de suprimento

Manutenção

Esta política é revisada no mínimo anualmente, ou sempre que houver atualizações normativas relevantes, alterações significativas no modelo de negócio, ou após incidentes de segurança que demandem revisão de controles.

Contato

Reportes de vulnerabilidades, incidentes ou consultas sobre esta política devem ser dirigidos à área de Segurança da Informação:

Segurança da informação

security@cumbuca.com

Disclosure responsável

/.well-known/security.txt

Privacidade / LGPD

privacidade@cumbuca.com

Ouvidoria

ouvidoria@cumbuca.com · 0800 715 8075