Sumário da Política de Governança em Cibersegurança
1. Introdução
1.1. Objetivo
A Alipay Brasil Meios de Pagamento Ltda. (referida como "Alipay Brasil" ou "a Empresa") tem implementada uma política de Cibersegurança. Disponibilizamos aqui um resumo dos principais pontos da política.
1.2. Escopo
O objetivo da Política é a implementação de diretrizes e processos que visam (i) manter a confidencialidade, integridade e disponibilidade das informações pertencentes a, ou sob a custódia da Empresa em meios físicos ou digitais, (ii) definir riscos considerando o modelo de negócios da Empresa, monitorar riscos e gerenciar riscos identificados adotando medidas de mitigação de riscos, e (iii) avaliar periodicamente a eficácia da Política.
A Política aplica-se a todos Colaboradores da Alipay Brasil, direta ou indiretamente gerido, incluindo:
- Funcionários permanentes da Alipay Brasil.
- Indivíduos contratados pela Alipay Brasil diretamente ou por meio de agências de recrutamento.
- Indivíduos com acesso autorizado aos ativos de informação ou instalações de processamento de informação da Alipay Brasil, incluindo Prestadores de Serviços Terceirizados e afiliadas.
A Política aplica-se a todas as instalações, equipamento físico, software e dados detidos ou geridos pela Alipay Brasil, direta ou indiretamente, para a prestação de serviços.
2. Gestão do Risco de Cibersegurança
A Alipay Brasil possui procedimentos para identificar, medir, avaliar e dar prioridade aos riscos de Cibersegurança em toda a Alipay Brasil (Gestão de Risco de Cibersegurança).
O programa de Gestão de Risco de Cibersegurança deve ser monitorado, avaliado, e ajustado conforme apropriado, à luz de quaisquer mudanças relevantes na tecnologia, da sensibilidade da informação dos clientes, das ameaças internas ou externas à informação, e das próprias mudanças nos acordos comerciais da Alipay Brasil, tais como fusões e aquisições, parcerias e joint-ventures, acordos de terceirização, e mudanças nas infraestruturas críticas de TI.
3. Controles de Cibersegurança
3.1. Classificação e Governança de Dados
Alipay Brasil está comprometida a:
- Identificar e classificar os dados conforme sua relevância, definindo se o dado é restrito, confidencial, interno ou público.
- Proteger os dados ao longo do seu ciclo de vida de acordo com a sua classificação.
- Manusear dados físicos e eletrônicos de uma forma segura.
- Destruir dados de acordo com os requisitos legais e regulatórios, incluindo o desenvolvimento de políticas e procedimentos para a periódica eliminação segura.
3.2. Gestão de Ativos e de Dispositivos
Alipay Brasil está comprometida a:
- Identificar claramente, registar e manter num inventário de bens centralizado contendo os detalhes apropriados de qual é aplicação comercial do ativo, qual é hardware, software, local de armazenamento e bens de escritório.
- Gerir adequadamente durante o ciclo de vida os ativos de informação com base na sua classificação de segurança.
3.3. Controles de Acesso e Gestão de Identidade
Alipay Brasil está comprometida a proteger os dados e sistemas de informação contra acesso não autorizado.
3.4. Continuidade de Negócios e Plano de Recuperação de Desastres e Recursos
A Alipay Brasil está comprometida a conduzir plano de continuidade de negócio que objetiva garantir que, em situação de crise, os processos essenciais e críticos sejam devidamente mantidos, preservando assim a continuidade de funções de negócios, operações e serviços críticos.
3.5. Gestão de Mudanças
Alipay Brasil está comprometida a:
- Estabelecer um processo para introduzir mudanças no ambiente de forma controlada.
- Responder às necessidades de negócio promovendo mudanças em tempo hábil.
3.6. Mitigação de Vulnerabilidades
A Alipay Brasil está comprometida a implementar medidas para reduzir vulnerabilidades a riscos de segurança cibernético aos quais a Alipay Brasil está sujeita.
A gestão de vulnerabilidades centra-se na obtenção de informações (controles que recolhem informações sobre vulnerabilidades); detecção de vulnerabilidades (controles que analisam ativamente o ambiente em busca de vulnerabilidades com várias tecnologias); avaliações de riscos de vulnerabilidade (controles que avaliam os riscos de vulnerabilidades); e reparação (controles que abordam as vulnerabilidades identificadas).
3.7. Política de Monitoramento de Sistemas e Redes
Alipay Brasil está comprometida a:
- Habilitar trilhas de auditoria para identificar atividades maliciosas, não autorizadas e anormais nos sistemas de informação da Alipay Brasil, bem como para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis tratadas pela Alipay Brasil.
- Rever os registros de auditoria para identificar riscos de potenciais violações de segurança.
- Assegurar que o monitoramento é adequado ao fim a que se destina e acompanhar novas ameaças, produzir alertas para análise e identificar eventos para ação e remediação de forma tempestiva e compatível com o risco.
- Reter trilhas de auditoria concebidas para detectar e responder a Eventos de Cibersegurança.
3.8. Resposta a Incidentes de Segurança
A Alipay Brasil realiza a gestão dos Incidentes de segurança da Informação: identificação do incidente (detecção, denúncias, notificações, registros de Eventos), triagem (análise inicial, categorização, análise do Risco, definição de prioridade), mitigação (análise detalhada, ações de contenção, erradicação, recuperação), resposta (elaboração de relatórios, categorização final, preservação de evidências, encerramento) e pós-incidente (aprimorar conhecimento e propor melhorias).
Alipay Brasil está comprometida a:
- Observar os termos do Plano de Respostas a Incidentes de Segurança da Informação, e, no que for aplicável, o Plano de Continuidade de Negócios, para responder prontamente a, e recuperar-se de, qualquer Evento de Segurança Cibernética (qualquer ato ou tentativa, bem ou mal sucedida, de obter acesso não autorizado a, interromper ou usar indevidamente um sistema de informação ou informação armazenada em sistema de informação) que afete materialmente a confidencialidade, integridade ou disponibilidade dos sistemas de informação da Empresa ou a continuidade dos negócios ou operações.
- Buscar compartilhar informações de Eventos de Incidentes relevantes ocorridos com instituições de meio de pagamento e demais autorizadas a funcionar pelo Banco Central do Brasil, observados seus segredos de negócios.
- Reportar ao Banco Central do Brasil Incidentes relevantes e/ou que causem interrupção do serviço prestado ao Cliente, que configurem situação de crise pela Alipay Brasil, bem como das providências para o reinício das suas atividades.
- Comunicar à Autoridade Nacional de Proteção de Dados e aos titulares afetados se o Incidente for uma violação de dados pessoais que possa acarretar risco ao dano relevante ao titular. A comunicação será realizada pelo DPO da Alipay Brasil.
4. Comunicação e Treinamento
Os colaboradores da Alipay Brasil são treinados para cumprir com a Política. Isto envolve uma combinação de diferentes canais de comunicação, incluindo: treino de conscientização e testes de segurança obrigatórios.