1. Objetivo
A Dock Ltd. e suas subsidiárias, a seguir somente “Dock”, em razão de seu compromisso com a proteção das informações de sua propriedade e responsabilidade, tem como objetivo estabelecer diretrizes para a tratativa dos ativos de informação e níveis aceitáveis de confiabilidade.2. ABRANGÊNCIA
É destinada a todos os seus colaboradores, estagiários e terceiros, que atuam sob contrato e que, nas suas atribuições e/ou execução do contrato, fazem uso de informações de negócio ou administrativas.3. DIRETRIZES
Toda informação é protegida conforme as regras definidas nesta política. A adoção de procedimentos que garantam a Segurança da Informação são prioridade constante nas áreas da Dock, de forma a reduzir falhas e danos que venham a comprometer a sua imagem ou trazer prejuízos a outrem. Esta política assegura que as regulamentações e circulares do Banco Central aplicáveis são monitoradas e atendidas pela Dock, e que os processos envolvidos no tratamento de dados de cartão possuam os controles definidos pelo PCI-DSS (Payment Card Industry – Data Security Standard).3.1. Princípios de Segurança da Informação
Os princípios da Segurança da Informação abrangem, basicamente, os seguintes aspectos:3.2 Programa de Conscientização
A Dock possui programas de conscientização e treinamentos com o objetivo de elevar o nível de capacitação de todos os seus colaboradores nas temáticas de ciberataques e diretrizes de Segurança da Informação.3.3 Classificação, Tratamento e Rastreabilidade da Informação
Toda informação é classificada e controlada de maneira que sejam aplicados os princípios da integridade, confidencialidade, disponibilidade, autenticidade e não repúdio, garantindo a rastreabilidade de acordo com seu grau de sigilo.3.4 Controle de Acesso e autenticação
Todos os acessos ao ambiente da Dock são controlados, monitorados, restritos, revistos periodicamente e revogados tempestivamente ao término do contrato de trabalho do colaborador ou terceiro.3.5 Segurança Física e do Ambiente
As áreas e instalações da Dock são classificadas em níveis de segurança para fins de controle de acesso físico. O cerimonial de chaves criptográficas respeita os requisitos de segurança definidos na versão mais atual do PCI-DSS.3.6 Segurança em Nuvem
Na Dock, o uso de serviços em nuvem é uma estratégia importante para ganho de disponibilidade, confiabilidade e escala em seus serviços.3.7 Controles criptográficos
A Dock desenvolve e implementa controles criptográficos, padrões de criptografia fortes em trânsito e em descanso, gestão e cerimonial de chaves, conforme as melhores práticas dos frameworks de segurança, legislação vigente e normas internas.3.8 Desenvolvimento Seguro
A Dock possui diretrizes de segurança para o desenvolvimento e manutenção de aplicações e sistemas, de forma a direcionar a criação e execução destes processos de forma segura, garantindo maior nível de confiabilidade dos serviços.3.9 Backup e Continuidade de Negócio
A Dock trabalha para oferecer o mais alto nível em segurança e disponibilidade dos seus produtos. Todas as informações e sistemas necessários ao suporte e continuidade dos serviços da Dock são submetidos aos processos de backup e Plano de Continuidade de Negócio, para restauração e recuperação permanente das operações e atividades durante um evento de interrupção de serviços.3.10 Testes de Segurança
A Dock periodicamente realiza testes de intrusão internos e externos, assegurando que os seus ambientes atendem às necessidades de Segurança da Informação.3.11 Rede Corporativa e Segmentação de Redes
Na Dock, as redes e sub-redes são segmentadas para assegurar o controle de acesso restrito, proteção e isolamento dos ambientes críticos, conforme as melhores práticas do PCI-DSS, a fim de garantir a comunicação segura.3.12 Correio Eletrônico, Mensageria e Transmissão Segura
Os serviços de e-mail, mensageria, bem como demais meios de comunicação disponibilizados, devem ser usados exclusivamente para atender a propósitos, suporte, serviços e objetivos específicos de negócios da Dock.3.13 Gestão de Vulnerabilidades
A Dock executa, periodicamente, varreduras nos seus ambientes a fim de identificar possíveis fragilidades e vulnerabilidades que possam comprometer os sistemas. Além disso, conta com a análise de requisitos de segurança desde a concepção (security by design) de novos produtos.3.14 Monitoramento do ambiente
A Dock conta com mecanismos de monitoramento e auditoria para estações de trabalho, servidores, e-mail, conexões com a internet e dispositivos móveis. Além de mecanismos e práticas protetivas, preventivas, detectivas e corretivas para garantir a segurança das informações da Dock.3.15 Sistemas de Detecção e Prevenção de Intrusão
A fim de prevenir contra o vazamento de dados, a Dock utiliza soluções especializadas em monitoramento de alertas sobre suspeitas de movimentações atípicas, inclusive em transferências de informações via e-mail.3.16 Sistemas Antivírus e Antispyware
A Dock possui soluções de antivírus e antispyware instaladas em todos os seus servidores e estações de trabalho dos colaboradores.3.17 Hardware e Software
Todos os processos que envolvem o ciclo de vida útil de sistemas corporativos, incluindo hardware e software da Dock, seguem as melhores práticas e recomendações em Segurança da Informação.3.18 Plano de Resposta a Incidentes de Segurança da Informação
A Dock possui estratégias de monitoramento, observabilidade e resposta a incidentes de Segurança da Informação, cobrindo todos os produtos críticos, além de sempre observar as legislações vigentes que são aplicáveis à operação.3.19 Cenários de Incidentes
A Dock realiza testes de mesa a fim de comprovar a eficácia dos planos de resposta a ciberataques, para cenários relevantes. Além disso, são realizadas melhorias contínuas de acordo com os resultados observados.3.20 Privacidade
A privacidade dos clientes, colaboradores e parceiros, é tema prioritário para a Dock. Para mais detalhes de como os dados pessoais são tratados, coletados, utilizados e divulgados, acesse o Portal de Privacidade da Dock.4. DEFINIÇÕES
