Home / Centro de Políticas / Política de CibersegurançaHome / Policy Center / Cybersecurity Policy

Voltar ao Centro de PolíticasBack to Policy Center

Política de CibersegurançaCybersecurity Policy

Versão 1.0 — Maio de 2026Version 1.0 — May 2026

1. Introdução

1.1 Objetivos e metas

O objetivo desta Política é definir as regras de cibersegurança da LaFinteca Instituição de Pagamento LTDA ("LaFinteca" ou "a Empresa"), incluindo controle contra malware, registro e monitoramento, criptografia, detecção de incidentes e segregação de dados.

1.2 Escopo

A Política aplica-se à LaFinteca e a todos os funcionários e contratados que utilizem os ativos ou plataformas da empresa. Não se aplica diretamente aos clientes ou a terceiros prestadores de serviços, a menos que especificado em acordos contratuais.

2. Governança

A responsabilidade pela gestão deste documento é atribuída ao Gestor de Segurança da LaFinteca. O documento é submetido à aprovação final e revisão anual pelo Diretor Executivo.

2.1 Manutenção, atualização e distribuição

A Política é publicada em formato que não possa ser facilmente alterado e em linguagem acessível ao público-alvo, disponibilizada a todos os membros da LaFinteca. O Gerente de Segurança é responsável pela distribuição. Cada nova versão é distribuída com um número de versão mais recente e registro no histórico de alterações.

3. Controle contra malware

Os principais elementos de proteção exigidos:

  • Funcionários são responsáveis por manter um ambiente computacional livre de códigos maliciosos para os ativos atribuídos e por reportar qualquer contaminação suspeita.
  • Envio ou download de software, dados e arquivos requer digitalização do material antes de ser salvo.
  • O software antivírus instalado e ativo nos computadores está configurado para varreduras ativas.
  • Responsabilidades para manutenção do antivírus, encaminhamento e comunicação de incidentes são definidas para funcionários, equipe de TI e Gerente de Segurança.

3.1 Responsabilidades do funcionário

Os funcionários não devem adulterar o software antivírus e devem seguir os procedimentos para limitar a atividade de códigos maliciosos. Qualquer contaminação suspeita deve ser reportada à organização apropriada.

3.2 Novos arquivos e anexos

O armazenamento autorizado exige digitalização do material. Fontes a serem digitalizadas incluem: e-mail e seus anexos, mídia removível, smartphones, laptops, outros PCs e conteúdo da Internet. Anexos de e-mail criptografados são verificados antes do conteúdo ser acessível. Todo o tráfego HTTP, incluindo conteúdo ativo, é analisado antes da entrega.

3.3 Implantação corporativa

Antivírus é obrigatório em todos os portais de acesso à Internet, servidores de infraestrutura e PCs internos. Exceções e desativações exigem aprovação do Gerente de Segurança. Antivírus é instalado em novos sistemas antes da conexão à rede e a qualquer mídia compartilhada. Scanners são instalados em todos os pontos de acesso às redes onde possa haver tráfego com software malicioso.

3.4 Recursos do scanner

O antivírus deve realizar varreduras ativas: na inicialização, em PCs e servidores ao menos uma vez por semana (verificação completa), em arquivos abertos, em anexos de e-mail (entrada e saída), em conteúdo web, e após sincronização com dispositivos portáteis. Funcionalidades: varredura manual/automática/programada, limpeza e quarentena de arquivos infectados, atualização automática, registro centralizado e relatórios/alertas via SMS ou e-mail.

3.5 Manutenção do antivírus

As configurações só podem ser alteradas por funcionário de TI autorizado, com acesso protegido por senha. Treinamento adequado é fornecido a todos os funcionários de TI. Atualizações automáticas devem ser consideradas; se houver processo de avaliação, este não deve levar mais de um dia útil. Atualizações são implementadas em até 24 horas da disponibilidade do fornecedor.

3.6 Escalada e resposta

Procedimentos de notificação e resposta abordam incidentes com base na gravidade. Planos de contingência tratam da recuperação. Quando software malicioso é detectado, o nome, data, hora e método de resolução são registrados e reportados à equipe de TI. Alertas de limpeza bem-sucedida são "silenciosos"; falhas exigem ação ativa do funcionário de TI.

3.7 Requisitos de registro

O antivírus deve registrar: detecção de código malicioso, limpeza realizada, atualizações de definição e arquivos colocados em quarentena. O Gerente de Segurança revisa relatórios de incidentes e comunica modificações necessárias em roteadores, firewalls, servidores de e-mail e softwares de terceiros para bloquear fontes indesejáveis. Relatórios mensais são encaminhados ao Diretor Executivo para análise de tendências.

3.8 Boatos e avisos

Todos os avisos sobre vírus, worms e outras ameaças à infraestrutura da LaFinteca são provenientes do Gerente de Segurança. Informações externas — especialmente as encaminhadas repetidamente com alertas graves — devem ser consideradas não confiáveis e encaminhadas ao Gerente de Segurança. Comunicados a partes não pertencentes às organizações de segurança são emitidos exclusivamente pela área de Comunicação Corporativa.

4. Gerenciamento e controle de dispositivos

O acesso aos serviços, sistemas e dados da LaFinteca — seja em dispositivo pessoal ou fornecido pela empresa — é restrito ao usuário autorizado. A LaFinteca implementa controles técnicos para garantir que o dispositivo, seus backups e cópias relacionadas de dados e aplicativos sejam protegidos com criptografia aprovada e política de senhas em conformidade. Usuários cumprem todos os requisitos de senha e estão proibidos de burlar tais requisitos.

Os usuários informam o Gerente de Segurança sempre que o dispositivo ou os dados forem expostos a uso ou acesso não autorizado: dispositivo perdido, roubado, antes de reparo/substituição/descarte, ao encerrar relação com a empresa, ou em caso de suspeita de comprometimento. Notificação em até 24 horas.

É responsabilidade do usuário manter o dispositivo atualizado com as últimas atualizações e patches de segurança. O acesso a funcionalidades corporativas pode ser desativado se o dispositivo não for mantido conforme os padrões.

A utilização da Internet em dispositivos para fins corporativos segue as mesmas políticas estabelecidas para computadores da LaFinteca, incluindo não encaminhar e-mails corporativos para caixas privadas e não armazenar dados corporativos em sistemas não aprovados.

5. Registro e monitoramento de eventos

5.1 Registros de auditoria

Sistemas e infraestrutura geram registros de auditoria contendo no mínimo: data e hora, ID do usuário, recursos envolvidos, tipo de solicitação, status (sucesso ou falha) e estado inicial/final em mudanças.

5.2 Sistemas de auditoria

Sistemas de registro de auditoria são configuráveis e devem permanecer ativos. Usuários sem privilégios de administrador não podem desativá-los. Auditoria obrigatória inclui: ações realizadas por contas privilegiadas, alterações de senha, inicialização e desligamento do sistema. Quando registros automatizados forem insuficientes, registros manuais de uso privilegiado são mantidos.

5.3 Auditoria discricionária

Eventos ativados para sistemas multiusuário: login/logout bem-sucedidos e malsucedidos, acesso a estruturas de dados confidenciais. Procedimentos de resposta a incidentes definem quando ampliar a auditoria.

5.4 Funcionalidade exigida

O subsistema de auditoria deve oferecer: repositório de tamanho variável, garantia de não desligar o computador ao exceder 80% do espaço, integridade do repositório, limpeza por funcionário autorizado, compressão de dados quando aplicável e sincronização de relógio entre sistemas. O subsistema de análise suporta análise online, relatórios impressos, relatórios programados e estatísticas. Repositórios são protegidos contra modificações ou exclusões não autorizadas.

5.5 Proteção e retenção de registros

Os mecanismos de detecção e registro de eventos são resistentes a ataques e fraudes. Procedimentos de backup geram mídias específicas com registros de auditoria. Mídias removíveis com registros são protegidas conforme classificação; relatórios associados a investigação de incidente são classificados como Proprietários. Relatórios são analisados para garantir uso apropriado de privilégios e acesso a recursos sensíveis.

5.6 Escopo do monitoramento

Sujeitos a monitoramento contínuo:

  • Tráfego de rede — entrada e saída, detectando anomalias como transferências incomuns, tráfego para IPs maliciosos conhecidos ou protocolos não autorizados.
  • Atividade do usuário — tentativas de login, falhas de autenticação, escalonamento de privilégios e acesso a sistemas ou dados sensíveis.
  • Desempenho do sistema — servidores, bancos de dados e aplicativos críticos, em busca de padrões de uso anormais, tempo de inatividade ou DoS.
  • Registros de aplicativos — logs de autenticação, erros e alterações para detectar atividades suspeitas.

5.7 Ferramentas e alertas

São utilizados Sistemas de Detecção de Intrusão (IDS), ferramentas de análise de tráfego, e agregação e análise de logs. Limites de alerta:

  • Baixo nível — anomalias menores; registradas, sem ação imediata.
  • Médio nível — múltiplas tentativas falhas, acesso incomum, transferências inesperadas; analisado pela equipe de TI em até 24 horas.
  • Alto nível — detecção de malware, acesso não autorizado, alterações significativas; resposta imediata e encaminhamento à equipe de resposta a incidentes.

Todos os registros são agregados e armazenados com segurança por 12 meses, em conformidade com requisitos legais e regulatórios. São revisados semanalmente pela equipe de TI.

5.8 Investigação e resposta

Ao detectar alerta de alto nível, a Equipe de Resposta a Incidentes inicia a investigação. Ações de resposta incluem: isolar sistemas afetados, bloquear tráfego malicioso, revogar credenciais comprometidas ou análise forense. Incidentes são documentados no Relatório de Incidentes.

5.9 Relatórios

Reuniões semanais revisam alertas, incidentes e tendências. Relatórios mensais para gerência resumem incidentes, tempos de resposta e tendências. Auditorias trimestrais independentes verificam eficácia e abrangência. Atividades de monitoramento são atualizadas com base em lições aprendidas, auditorias e ameaças emergentes.

5.10 Controle de acesso às ferramentas

O acesso aos sistemas de monitoramento e aos registros é restrito apenas a pessoal autorizado. O acesso da equipe de segurança é registrado e revisado periodicamente para evitar acesso não autorizado ou adulteração.

6. Detecção de intrusão

Todos os componentes do gateway são monitorados quanto a tentativas de intrusão. O monitoramento rastreia e registra, no mínimo:

  • Tentativas repetidas e malsucedidas de acessar um recurso.
  • Tentativas repetidas de um usuário legítimo de exceder privilégios autorizados.
  • Padrão suspeito de acesso bem-sucedido (horário ou local incomum).
  • Tentativas deliberadas de burlar controles.
  • Padrões que possam levar a DoS/DDoS são tratados como tentativa de intrusão confirmada.

A equipe de TI realiza revisões diárias dos registros de auditoria em busca de atividades maliciosas, usando relatórios de exceção pré-formatados ou outras formas convenientes.

7. Contratação de terceiros e avaliação de riscos

Fornecedores terceirizados com acesso a dados, sistemas ou processos críticos passam por due diligence e avaliação de risco antes da finalização do contrato. A avaliação considera controles do provedor, histórico de incidentes, práticas de proteção de dados e conformidade regulatória. Contratos incluem cláusulas de cibersegurança: confidencialidade, prazos de notificação de incidentes, SLAs, direitos de auditoria e protocolos de rescisão em caso de descumprimento.

Fornecedores de alto risco — com acesso a sistemas de pagamento, dados pessoais ou infraestrutura essencial — passam por revisões periódicas e monitoramento. Quando possível, devem estar em conformidade com padrões como ISO/IEC 27001 ou equivalente. O processo é coordenado com as áreas jurídica, de conformidade e de segurança da informação.

8. Treinamento e conscientização

A conscientização dos funcionários é componente crítico da postura de cibersegurança. O programa contínuo:

  • Promove compreensão dos riscos, das políticas internas e dos padrões de uso aceitável em todos os níveis.
  • Garante treinamento obrigatório no momento da admissão e atualizações anuais.
  • Oferece treinamento baseado em função (TI, finanças, jurídico, suporte ao cliente).
  • Promove cultura de segurança via campanhas, exercícios de phishing e orientações práticas de reporte de incidentes.

Todas as iniciativas são documentadas e monitoradas para demonstrar conformidade e apoiar a melhoria contínua.

9. Revisão e atualização da política

Esta Política é formalmente revista e atualizada:

  • Pelo menos uma vez por ano, para alinhar com o cenário de ameaças atual, mudanças tecnológicas e melhores práticas.
  • Sempre que ocorrerem mudanças significativas na estrutura, processos, infraestrutura de TI ou relações com terceiros.
  • Em resposta a requisitos legais, regulatórios ou de supervisão novos ou atualizados.
  • Após incidentes graves ou conclusões de auditoria que questionem a adequação dos controles.

O processo é coordenado pelo Gerente de Segurança em cooperação com as equipes de Compliance e Jurídico. Atualizações são documentadas, aprovadas pela alta administração e comunicadas às partes interessadas.

Em caso de dúvidas, entre em contato pelo e-mail compliance@la-finteca.com.

The Portuguese version is the source-of-truth document. An official English translation is being prepared. For questions, contact compliance@la-finteca.com.