Importante: A partir de 02/09/2024 a AGK estará apta a atendê-los em operações de câmbio comercial no novo limite de USD 500.000,00. Clique para saber mais detalhes
Contato: +55 11 3123-7166
Horário de Atendimento: Seg a Sex - 8h as 18h
AGK Corretora de Câmbio

Política de Segurança Cibernética

Política de Privacidade - AGK Corretora de Câmbio

1. OBJETIVO

Os pilares da política de Segurança da Informação e Cibernética da AGK Corretora estão aderentes aos valores da Instituição e presentes no cumprimento da função de todos os colaboradores. As suas premissas são:

  1. Proteger as informações e ativos de tecnologia da informação contra acesso, modificação, destruição ou divulgação não autorizados;

  2. Garantir a continuidade do processamento das informações críticas ao negócio;

  3. Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual e atender às leis e normas que regulamentam as atividades da Corretora e seu mercado de atuação;

  4. Determinar os mecanismos de gestão de riscos cibernéticos.

A área de Segurança da Informação e Cibernética é responsável por manter e atualizar a Política de Segurança da Informação e Cibernética. Esta Política aplica-se a todos os administradores, colaboradores, terceiros e demais envolvidos nas atividades da Corretora.

Para os fins desta Política, os termos "informações" e "ativos de informação" incluem o conceito de dado pessoal e/ou dado pessoal sensível, tal como definido pela Lei Geral de Proteção de Dados, Lei Federal nº 13.709/18 e alterações posteriores.

2. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Por princípio, a segurança da informação abrange 4 (quatro) aspectos básicos destacados a seguir:

a) Confidencialidade

Somente o usuário da informação, que esteja devidamente autorizado pelo Gestor da Informação, deve ter acesso às Informações respeitando os critérios de segregação de funções pré-definidos;

b) Integridade

Garantir que informações não sejam alteradas desde a sua criação até seu uso. Eventuais alterações, supressões e/ou adições devem ser autorizadas pelo Gestor da Informação;

c) Disponibilidade

Deve garantir que as Informações estejam sempre disponíveis para o Usuário da Informação;

d) Autenticidade

Garante a identidade de quem está enviando a Informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não pode se esquivar da autoria da mensagem (irretratabilidade)

Para os fins desta Política, o termo usuário significa qualquer indivíduo, processo, dispositivo ou mecanismo que acesse, use, manipule ou trate uma informação ou ativo de informação.

3. ASPECTOS GERAIS

  1. As diretrizes desta Política constituem os principais pilares do Sistema de Gestão de Segurança da Informação da Corretora, norteando a elaboração de instruções normativas e manuais de procedimento pelas áreas responsáveis.

  2. A proteção das informações e ativos de informação da Corretora deve ser uma prioridade constante das áreas de negócio e de suporte, de forma a reduzir riscos de falhas, bem como danos e/ou prejuízos que possam comprometer a imagem e os objetivos organizacionais da Corretora.

  3. A proteção das informações e ativos de informação deve ser aplicada de forma compatível com seu impacto, abrangendo todos os processos, informatizados ou não.

  4. As informações sob responsabilidade da Corretora devem ser manuseadas de acordo com as leis vigentes e normas internas e utilizadas apenas para a finalidade para a qual foi coletada, evitando o comprometimento de sua confidencialidade, integridade, disponibilidade, autenticidade e privacidade.

  5. Todos os processos devem garantir a segregação das funções por meio da participação de mais de um colaborador ou equipe de colaboradores nas atividades, a fim de evitar o conflito de interesse e reduzir o risco de uso indevido acidental ou proposital dos ativos de informação e sistemas da Corretora.

  6. Todos os colaboradores e fornecedores, conforme aplicável, devem ter ciência de que o uso dos ativos de informação, dos sistemas e ambientes podem ser monitorados e que os registros podem ser utilizados para detecção de violações desta Política e normas de segurança da informação, servindo de evidência para a aplicação de medidas disciplinares, processos administrativos e/ou legais.

  7. Os papéis e responsabilidades quanto à segurança da informação são amplamente divulgados aos colaboradores, que devem conhecer e cumprir essas diretrizes. Os riscos de segurança da informação da Corretora, bem como dúvidas sobre a Política e normas relacionadas devem ser reportados à Superintendência Gestão & Riscos.

  8. Os sistemas, aplicações e infraestruturas tecnológicas, marcas, metodologias e quaisquer informações da Corretora não devem ser utilizados para fins pessoais. Sobre o uso da internet, para fins pessoais, deve ser responsável, seguindo as legislações vigentes (sobre ações discriminatórias, privacidade, pirataria, pedofilia, terrorismo e etc.), não deve contrariar as normas internas, que possa trazer riscos de contaminação ao ambiente ou de vazamento de informações e não deve prejudicar os princípios de Segurança da Informação contidos nesta política ou o Código de Conduta.

  9. Exceto com a expressa autorização do seu proprietário responsável, as tecnologias, marcas, metodologias e quaisquer informações da Corretora não devem ser repassadas ou compartilhadas com terceiros, ainda que tenham sido obtidas ou desenvolvidas pelo próprio colaborador da Corretora durante o exercício de suas funções.

4. TRATAMENTO DAS INFORMAÇÕES

  1. As informações devem ser tratadas de acordo com as leis vigentes, regulamentação aplicável, Instruções Normativas e sua classificação, e utilizadas apenas para a finalidade para a qual foram coletadas, ou para outras finalidades autorizadas por lei.

  2. As informações poderão ser tratadas em legítimo interesse da Corretora para proteger a segurança dos ativos de informação ou a segurança das operações comerciais da Corretora

  3. As informações são atribuídas a um proprietário formalmente designado como responsável pela autorização de acesso às informações sob sua responsabilidade.

  4. Para fins desta Política, o "proprietário" significa o indivíduo ou grupo com autoridade operacional sobre uma Informação específica e responsabilidade para estabelecer os controles por sua criação, coleta, processamento, disseminação e descarte.

  5. As atividades de tratamento das Informações devem ser rastreáveis e registradas em trilhas auditáveis.

5. SEGURANÇA CIBERNÉTICA

  1. A Corretora também aplica controles de segurança de informação de forma a garantir sua segurança cibernética, com o objetivo de assegurar a disponibilidade, confidencialidade, integridade e autenticidade das informações e ativos de informação em seus ambientes tecnológicos.

  2. De forma a auxiliar na implementação das diretrizes estabelecidas nesta Política e dos controles, processos e procedimentos do Sistema de Gestão de Segurança de Informação e da Segurança Cibernética da Corretora, são adotados, por padrão, os seguintes mecanismos e as melhores práticas disponíveis no mercado:

    1. Medidas de autenticação capazes de individualizar usuários que acessam ativos de informação, sistemas e ambientes da Corretora;

    2. Emprego de criptografia, mascaramento e ofuscação, quando aplicável, para o armazenamento de Informações relevantes e sensíveis em ativos de informação, sistemas e ambientes da Corretora e de fornecedores;

    3. Uso de tecnologia de criptografia e comunicação segura para a transmissão de informações entre colaboradores, usuários e fornecedores;

    4. Soluções de prevenção e detecção de intrusão e acessos não-autorizados aos ativos de informação, sistemas e ambientes da Corretora;

    5. Uso de procedimentos e controles para prevenir o vazamento de informações;

    6. Testes e varreduras periódicas para a detecção de falhas e vulnerabilidades nos procedimentos, controles, sistemas e ambientes da Corretora;

    7. Soluções de proteção contra softwares maliciosos (malwares, spywares, trojans, vírus, botnets, etc.) que podem afetar ativos de informação, sistemas e ambientes da Corretora;

    8. Sistemas de rastreamento de atividade e registros (logs) para as atividades realizadas em seus sistemas e ambientes, com o objetivo de garantir a segurança das informações;

    9. Controle de acesso pelos usuários que façam uso dos sistemas e ambientes da Corretora;

    10. Segregação e segmentação dos diferentes ambientes de rede disponibilizados pela Corretora ou fornecedores por ele contratado aos seus colaboradores, fornecedores e clientes;

    11. Manutenção de cópias de segurança das informações.

  3. Os controles mínimos listados no item “b)” também devem ser aplicados no desenvolvimento de novos produtos, soluções, aplicativos, sistemas e ambientes, como na aquisição de novas tecnologias e serviços que integrarão as atividades operacionais do Corretora.

  4. Da mesma forma, os controles mínimos listados no item “b)” também deverão ser adotados, conforme aplicável, por fornecedores que processam ou armazenam informações sensíveis ou relevantes para a condução das atividades operacionais da Corretora.

6. GESTÃO DE ACESSOS

  1. Os processos de concessão, alteração e exclusão de acesso aos ativos de informação, sistemas de informação e/ou ambientes da Corretora são realizados pela área competente mediante aprovação formal do gestor do solicitante e do respectivo proprietário do sistema e/ou perfil.

  2. São concedidos acessos para os colaboradores da Corretora e/ou de fornecedores somente às informações necessárias ao desempenho de suas funções e/ou determinação legal.

  3. São concedidos acessos privilegiados às informações, ativos de informações, sistemas e ambientes da Corretora aos seus colaboradores e/ou colaboradores de fornecedores mediante o cumprimento de regras específicas. Acessos privilegiados implicam em responsabilidades adicionais ao usuário.

  4. As exclusões de acesso devido ao desligamento de colaboradores devem ocorrer tempestivamente mediante comunicado de desligamento enviado à área responsável pela área de Recursos Humanos.

  5. Toda credencial de acesso ao ambiente, seja ele físico ou lógico, é única, individualmente identificada e atribuída a um proprietário, qualificando-o como responsável pelas ações realizadas por esta credencial, não podendo ser transferida ou compartilhada entre usuários ou terceiros.

  6. Contas de serviço e usuários genéricos, destinadas usualmente à execução de processamentos automatizados, devem seguir a governança estabelecida pela área de Segurança da Informação, garantindo a rastreabilidade dos acessos, bem como, os vínculos a área responsável e o processo de revisão periódico.

  7. Os acessos devem ser rastreáveis, a fim de garantir que todas as ações passíveis de auditoria identifiquem individualmente o usuário, para que ele possa ser responsabilizado por suas ações.

7. GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

  1. A Corretora possui um processo estruturado de monitoramento, análise e identificação de vulnerabilidades, ameaças e impactos sobre os ativos de informação, para que sejam identificados os controles adequados e a eficácia periodicamente testada.

  2. A Corretora desenvolve, documenta, homologa e testa periodicamente planos de contingência, e os aprova para ativação no caso de previsão, suspeita ou ocorrência de situações que comprometam a integridade, a disponibilidade e a continuidade das atividades da Corretora

8. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

  1. A Corretora adota procedimentos, requisitos e controles específicos para a prevenção e resposta a incidentes ocorridos. Os procedimentos, controles e requisitos para fornecedores devem estar alinhados com os próprios níveis de complexidade, abrangência e precisão da Corretora.

  2. Para os fins desta Política, o termo "incidente" significa qualquer ocorrência no acesso, no uso das Informações ou Ativos de Informação que afete ou possa afetar a confidencialidade, disponibilidade, integridade, autenticidade das informações ou dos ativos de informação ou a privacidade dos titulares dos dados.

  3. A classificação de relevância de incidente deve seguir o critério de impacto nos processos de negócios da Corretora mensurados por meio de análises qualitativas e/ou quantitativas, que avaliam potenciais impactos decorrentes da violação das diretrizes desta Política, conforme previstos nas respectivas instruções normativas.

  4. O tratamento de incidentes relevantes que se caracterize como crise deve ser acompanhado pela Superintendência de Gestão & Riscos.

  5. Compete à área de Segurança da Informação realizar o registro, análise de causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da Corretora.

  6. Cenários de incidentes de segurança de informação são incluídos nos testes de continuidade de negócio da Corretora.

  7. Todo incidente de segurança da informação da Corretora deve ser formalmente reportado à Superintendência de Gestão & Riscos.

  8. A Corretora informará, em atenção ao arcabouço regulatório aplicável, ao Banco Central do Brasil e aos demais reguladores, todos os incidentes relevantes e interrupções de serviços relevantes, bem como as medidas tomadas para o reinício das atividades. Quando o incidente acarretar risco ou dano relevante à privacidade e proteção de dados do titular, o Encarregado do Dado comunicará à Autoridade Nacional de Proteção de Dados.

  9. Sem prejuízo do dever de sigilo e da livre concorrência e por dever regulatório, a Corretora compartilhará as informações que possuir sobre incidentes relevantes de segurança de informação com demais instituições financeiras, incluindo informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros, por meio de canais estabelecidos para esse fim e sempre que tais informações forem para benefício e segurança do mercado financeiro.

9. PLANO DE AÇÃO E RESPOSTAS A INCIDENTES

  1. A Corretora possui um Plano de Ação e Resposta a Incidentes, que deve conter as ações a serem desenvolvidas pela Corretora para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes desta Política, e rotinas, procedimentos, controles e tecnologias que serão utilizadas na prevenção e resposta de incidentes.

  2. O Plano de Ação e Resposta a Incidentes deve ser revisto a cada dois anos ou quando ocorrem mudanças significativas no processo e deve ser aprovada pelo Comitê Executivo da Corretora.

  3. A Corretora elaborará anualmente um relatório contendo a efetividade das ações e um resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, previstas no Plano de Ação e Resposta a Incidentes, os incidentes relevantes ocorridos no período, e os resultados dos testes de continuidade de negócios.

  4. O relatório anual deve ser submetido ao Comitê de Executivo da Corretora.

10. CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO

  1. A alta administração da Corretora, comprometida com a melhoria contínua do sistema de gestão de segurança de informação, assume seu compromisso em cumprir com as diretrizes elencadas nesta Política.

  2. Os papéis e responsabilidades quanto à segurança da informação são amplamente divulgados aos colaboradores e alta administração, que devem conhecer e cumprir essas diretrizes.

  3. Como parte do seu compromisso, A Corretora adota ações e iniciativas para promover a capacitação, aculturamento e avaliação dos colaboradores sobre o tema segurança da informação, reforçando as diretrizes declaradas nesta política.

  4. Um comunicado contendo uma versão resumida desta Política é divulgada aos colaboradores da Corretora e a sua versão completa fica disponível em local de fácil acesso para consulta.

11. DISPOSIÇÕES GERAIS

  1. Os contratos entre a Corretora e empresas ou pessoas prestadoras de serviços, colaboradores, parceiros, contratados e estagiários, que tiverem acesso às informações, aos sistemas ou aos ambientes tecnológico corporativos devem conter cláusulas que garantam o devido tratamento de dados pessoais de acordo com as diretrizes da Lei Geral de Proteção de Dados e com as exigências do Termo de Tratamento de Dados Pessoais, bem como, a confidencialidade entre as partes, requisitos mínimos de segurança alinhados com os mesmos quesitos de segurança adotados pela Corretora, e que assegurem minimamente que os profissionais sob sua responsabilidade cumpram a política e as normas de segurança da informação da Corretora.

  2. Os contratos de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem estarão sujeitos a regime de contratação específico, obedecidos as disposições previstas pelas áreas de Segurança da Informação em observância ao arcabouço regulatório aplicável.

  3. Avaliação Independente da Auditoria.

  4. A efetividade desta Política é verificada por meio de avaliações periódicas das áreas corporativas de controle, órgãos reguladores, auditorias internas e externas.

  5. Medidas Disciplinares.

  6. As violações a esta Política estão sujeitas a sanções disciplinares previstas na legislação vigente no Brasil e nos países onde as empresas estiverem localizadas.

  7. Revisão desta Política de Segurança de Informação deve ocorrer a cada dois anos ou a qualquer tempo, conforme mudanças na regulamentação.