Trybe - Fintech Estude na Trybe

Política de Segurança Cibernética

RESUMO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

Última atualização: 06/12/2021

Introdução

Este Resumo da Política de Segurança da Informação e Cibernética (“Resumo”) foi elaborado pela Trybe Sociedade de Crédito Direto S.A., inscrita no CNPJ 42.622.791/0001-31 (“Trybe Fintech”), com o objetivo de divulgar os principais objetivos e diretrizes relativos a segurança, controle e gestão de riscos e de governança no tratamento de informações armazenadas, processadas e transmitidas nos ambientes físico e virtual da Trybe Fintech, conforme estabelecido na sua Política de Segurança da Informação e Cibernétic (“Política”), em cumprimento à Resolução 4.893/2021 do Banco Central do Brasil, e demonstrando o compromisso da Trybe Fintech com a segurança da informação e dos demais ativos de tecnologia da informação.

Objetivo

A Política tem como objetivo:

(i) preservar a confidencialidade, a disponibilidade, a integridade, o sigilo e a autenticidade das suas informações e demais ativos de tecnologia da informação, considerando a natureza e a complexidade dos produtos e serviços oferecidos pela Trybe Fintech;

(ii) orientar quanto ao uso adequado de seus ativos de tecnologia da informação por pessoas colaboradoras e terceiros a fim de proteger as atividades finalísticas e auxiliar na gestão da segurança da informação da Trybe Fintech;

(iii) estabelecer os procedimentos e controles adotados pela Trybe Fintech para reduzir a vulnerabilidade a incidentes de segurança da informação;

(v) fixar os procedimentos para a gestão de incidentes, incluindo procedimentos para o registro, a análise da causa e do impacto de incidentes relevantes para as atividades da Trybe Fintech, bem como o controle de seus efeitos;

(vi) estabelecer as medidas técnicas e administrativas capazes de proteger as informações (incluindo dados pessoais) contra acessos não autorizados e de situações acidentais ou ilícitas envolvendo a destruição, perda, alteração, comunicação ou vazamento da informação, bem como as medidas disciplinares eventualmente aplicadas em decorrência do descumprimento da Política por parte das pessoas colaboradoras.

Principais diretrizes e procedimentos

A Trybe Fintech e suas pessoas colaboradoras deverão pautar-se nas seguintes diretrizes e procedimentos, sem prejuízo das demais regras estabelecidas na Política:

Alinhamento estratégico: alinhamento entre políticas, normas e diretrizes de segurança da informação à luz dos objetivos de negócio, planejamento estratégico, porte, perfil de riscos e modelo de negócios da Trybe Fintech, bem como da natureza de suas operações e da sensibilidade das informações sob sua responsabilidade.

Promoção de ambiente positivo de segurança: engajamento na promoção do desempenho, pelas pessoas colaboradoras, de suas atividades de acordo com os parâmetros de segurança estipulados na Política, inclusive por meio de medidas educativas, de conscientização e de avaliação, assim como pela prestação de informações a prestadores de serviço, parceiros comerciais, clientes e usuários sobre precauções na utilização de produtos e serviços da Trybe Fintech.

Tratamento das informações: as informações devem ser tratadas de forma ética e sigilosa e de acordo com as leis vigentes e normas internas, e em observância às finalidades para as quais foram criadas ou coletadas.

Proteção de ativos: os ativos de segurança da informação da Trybe Fintech, de acordo com sua criticidade, devem ser devidamente identificados, inventariados e protegidos contra acessos indevidos.

Classificação da informação: engajamento na classificação das informações custodiadas ou de propriedade da Trybe Fintech, de acordo com sua relevância para os negócios e com o seu nível de confidencialidade e sensibilidade.

Reporte e transparência: toda pessoa colaboradora deve reportar os riscos de segurança à área de Segurança da Informação, à qual caberá comunicar às pessoas colaboradoras as suas respectivas responsabilidades a fim de mitigar tais riscos.

Gestão da continuidade do negócio: engajamento na implementação de planos que garantam a continuidade do processamento das informações relacionadas aos serviços essenciais da Trybe Fintech, os quais devem ser devidamente identificados, documentados, testados e periodicamente revisados, a fim de reduzir os impactos decorrentes da interrupção desses serviços.

Gestão de vulnerabilidades e prevenção de incidentes: engajamento na determinação e aplicação de mecanismos para a detecção, classificação e tratamento de vulnerabilidades de infraestrutura, aplicações e sistemas da Trybe Fintech.

Gerenciamento de incidentes de segurança da informação: engajamento na adoção de medidas técnicas e administrativas para a proteção das informações de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou de qualquer forma de incidente de segurança, o que inclui medidas como regras de segurança e segmentação de rede, gestão de perfis de acesso, controles para prevenção e detecção de softwares maliciosos, autenticação e criptografia de comunicações, diretrizes e regras de armazenamento e a realização de cópias de segurança (backups), investigação e avaliação dos eventos de segurança, reversão e mitigação de efeitos do incidente, notificação a pessoas responsáveis, titulares e autoridades competentes (quando necessário), elaboração de registros e relatórios do incidente, identificação e tratamento de causas raiz e aprimoramento de processos e controles de segurança da informação. Quando necessário, os prestadores de serviços contratados pela Trybe Fintech devem ser instruídos acerca dos procedimentos e controles recomendados pela Trybe Fintech para a prevenção e tratamento de incidente, sobretudo quando este envolver o manuseio de informações sensíveis ou que sejam relevantes para as atividades da Trybe Fintech.

Registro e monitoramento: criar, proteger, monitorar e manter registros (logs) de eventos, a fim de acompanhar e analisar possíveis violações da segurança e identificar ações indesejáveis ou não autorizadas.

Disposições Gerais

A Diretoria da Trybe Fintech é responsável pela aprovação da Política, cabendo à área de Segurança da Informação implementar e exigir o cumprimento das diretrizes e procedimentos nela descritos.

A Trybe Fintech deverá avaliar periodicamente as práticas de segurança da informação para garantir que estão sendo cumpridas e permanecem atualizadas. A Política e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

O descumprimento da Política é considerado uma falta grave e será analisado pelas áreas de Segurança da Informação e de Compliance da Trybe Fintech, e as penalidades aplicáveis serão decididas em conjunto com a Diretoria.