Política de Segurança da Informação

1. Objetivo

O objetivo desta política é estabelecer as diretrizes necessárias para assegurar a confidencialidade, a integridade e a disponibilidade dos dados e sistemas de informação utilizados pelo Conglomerado P3 BANK, conforme estrutura societária vigente, doravante denominada P3 Bank.

2. Público Alvo

As disposições desta política aplicam-se a:

• Todas as instituições pertencentes ao Conglomerado P3 BANK, bem como aos respectivos funcionários, estagiários e aprendizes, doravante denominados “colaboradores”;
• Entidades e órgãos que possuam acesso às informações do P3 Bank;
• Prestadores de serviços, pessoas físicas ou jurídicas, que manuseiam dados ou informações sensíveis à condução das atividades operacionais da organização.

3. Princípios de Segurança Cibernética

O processo de Segurança Cibernética do Conglomerado P3 BANK, cujo objetivo é proteger as informações do negócio e clientes, é pautado pelos princípios fundamentais de:

• Confidencialidade: o acesso à informação deve ser disponibilizado apenas para as entidades ou pessoas devidamente autorizadas pelo proprietário ou dono da informação.
• Integridade: manter a informação armazenada e trafegada com todas as suas características originais ao longo do seu ciclo de vida estabelecidas pelo proprietário ou dono da informação.
• Disponibilidade: garantir que a informação esteja disponível para uso sempre que entidades ou pessoas autorizadas necessitem.

4. Diretrizes

As diretrizes estabelecem um programa de prevenção, detecção e redução de vulnerabilidades e impactos relacionados aos incidentes. A seguir, um resumo das principais diretrizes:

4.1. Governança e Estrutura de SI/SC

Estabelecer uma estrutura de segurança da informação (SI) e segurança cibernética (SC) com responsabilidades, controles e mecanismos de acompanhamento (Monitoramento).

4.2. Gestão de Risco de SI/SC

Manter um processo para análise e mitigação de riscos, incluindo planos de ação para a sua redução.

4.3. Classificação da Informação

É obrigatória a classificação da informação para garantir que o nível de proteção seja proporcional à sua sensibilidade.

4.4. Controle de Acesso

Implementar controles para acesso físico e lógico, garantindo que apenas pessoas autorizadas tenham acesso aos dados e sistemas.

4.5. Monitoramento e Tratamento de Incidentes

Estabelecer mecanismos para monitorar, detectar, responder e tratar incidentes e eventos de segurança.

4.6. Continuidade do Negócio

Implementar um plano para que, em caso de eventos graves, a instituição possa restabelecer os serviços críticos em prazo aceitável.

4.8. Gestão dos Prestadores de Serviços relevantes

Devem ser estabelecidos e continuamente aprimorados os controles de segurança cibernética destinados a assegurar que as informações tratadas pelos seus fornecedores estejam devidamente protegidas.

4.10. Backup de Dados

O P3 BANK deve zelar pelo processo de salvaguarda dos dados necessários para completa recuperação dos seus sistemas relevantes, a fim de assegurar a continuidade do negócio em caso de falhas ou incidentes.

4.11. Conscientização de Colaboradores, clientes e fornecedores

O P3 BANK mantém um plano anual de conscientização direcionado ao desenvolvimento e manutenção das habilidades dos funcionários em relação à segurança cibernética.

5. Violações de Segurança

As violações das regras definidas nesta Política poderão ensejar a aplicação de medidas disciplinares, conforme determinam as normas de conduta do Código de Ética do P3 BANK.

6. Canal de Comunicação

No caso de alertas de segurança e/ou incidentes, as notificações devem ser enviadas para o canal de comunicação a seguir:

seguranca@P3BANK.com.br