Política Corporativa de Segurança da Informação e Cibernética
1. Assegurar a confidencialidade, integridade e disponibilidade das informações da Organização, mediante utilização de mecanismos de Segurança da Informação e Cibernética, balanceando fatores de risco, tecnologia e custo.
2. Garantir a proteção adequada das informações e dos sistemas contra acesso indevido, cópia, leitura, modificação, destruição e divulgação não autorizados.
3. Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela Organização, estando sujeitos à monitoração, rastreabilidade e auditoria.
4. Assegurar a participação dos profissionais da Organização no Programa Corporativo de Conscientização e Educação em Segurança da Informação e Cibernética.
5. Assegurar a existência de processos de continuidade de negócios e gestão de incidentes de segurança para proteção, detecção, resposta e recuperação contra ataques cibernéticos, comunicando, quando aplicável, os titulares dos dados pessoais envolvidos e autoridades competentes, de acordo com as leis e regulamentações em vigor.
6. Assegurar a resolução de vulnerabilidades, sejam sistêmicas ou em jornada de negócio, considerando as responsabilidades de cada área envolvida e respectivos gestores de negócio, com a devida priorização conforme risco e impacto no negócio, reduzindo fragilidades no ambiente da Organização.
7. Informar aos Clientes e Usuários sobre as precauções de Segurança da Informação e Cibernética necessárias na utilização de produtos e serviços financeiros.
8. Garantir o cumprimento desta Política, das Normas e Padrões Corporativos de Segurança da Informação da Organização.
9. Assegurar o comprometimento da alta administração com a melhoria contínua dos processos e recursos necessários para Segurança da Informação e Cibernética.
Declaramos que a presente é cópia fiel da Política Corporativa de Segurança da Informação e Cibernética, aprovada na Reunião Extraordinária do Conselho de Administração (RECA) n. º 1.762, de 9.5.2011, cuja última revisão, com alterações, foi registrada na ata da RCA n. º 3.403, de 07.12.2023.
Corporate Information and Cyber Security Policy
1. Ensure the confidentiality, integrity and availability of the data of the Organization through the use of Information and Cyber Security mechanisms, balancing risk factors, technology and cost.
2. Ensure adequate protection of data and systems against unauthorized access, copying, reading, modification, destruction and disclosure.
3. Ensure that data assets are used only for the purposes approved by the Organization, being subject to monitoring, traceability and auditing.
4. Ensure the participation and engagement of entire employees in the Company in regarding information and Cyber Security awareness and education program.
5. Ensure that the business continuity and security incident management processes are in place for protection, detection, response and recovery against cyber-attacks also ensure communication to the PII holders impacted and authorities when applicable, according to the local laws and regulations in place.
6. Ensure the mitigation of vulnerabilities whether systemic or inside the business journey, considering the responsibilities of each area owner involved and the respective business manager, with the adequate prioritization based on risk and impact level to the business and reduction of weaknesses in the Organization environment.
7. Inform Clients and Users about the Information and Cyber Security precautions required when using financial products and services.
8. Ensure the compliance with the Corporate Information Security Policies and Procedures of the Organization.
9. Ensure that top administration is committed to continuous improvement of processes and resources required for information and Cyber Security.
This is a free English translation of the Corporate Policy for Information and Cyber Security, approved at the Extraordinary Meeting of the Board of Directors (RECA) No. 1,762, held on May 9, 2011, which latest revision, without changes, was recorded in the minutes of the Meeting of the Board of Directors (RCA) No. 3,403, held on December 07th, 2023.
Política Corporativa de Seguridad de la Información y Ciberseguridad
1. Asegurar la confidencialidad, integridad y disponibilidad de las informaciones de la Organización mediante utilización de mecanismos de Seguridad de la Información y Ciberseguridad, equilibrando factores de riesgo, tecnología y costo.
2. Garantizar la protección adecuada de la información y de los sistemas contra el acceso indebido, copia, lectura, modificación, destrucción y divulgación no autorizados.
3. Asegurar que los activos de información sean utilizados solamente para los fines aprobados por la Organización, estando sujetos a monitoreo, rastreabilidad y auditoría.
4. Asegurar la participación de los profesionales de la Organización en el Programa Corporativo de Sensibilización y Educación en Seguridad de la Información y Ciberseguridad.
5. Asegurar la existencia de procesos de continuidad del negocio y gestión de incidentes de seguridad para la protección, detección, respuesta y recuperación frente a ciberataques, comunicando, cuando corresponda, a los titulares de los datos personales involucrados y a las autoridades competentes, de acuerdo con las leyes y regulaciones vigentes.
6. Asegurar la resolución de vulnerabilidades, ya sean sistémicas o en el recorrido del negocio, considerando las responsabilidades de cada área involucrada y los respectivos responsables del negocio, con la debida priorización según riesgo e impacto en el negocio, reduciendo las debilidades en el entorno de la Organización.
7. Informar a los Clientes y Usuarios sobre las medidas de Seguridad de la Información y Ciberseguridad necesarias en la utilización de productos y servicios financieros.
8. Garantizar el cumplimiento de la presente Política y de las Normas Corporativas de Seguridad de la Información de la Organización.
9. Asegurar el compromiso de la alta administración con la mejora continua de los procesos y recursos necesarios para seguridad de la información y Ciberseguridad.
Declaramos que la presente es copia fiel de la Política Corporativa de Seguridad de la Información y Cibernética, aprobada en la Reunión Extraordinaria del Consejo de Administración (RECA) no 1.762, de 9.5.2011, cuya última revisión, sin modificaciones, consta en el acta de la RCA N° 3.403, del 07.12.2023.
