-
Volkswagen Financial Services
- Visão Geral
- Quem Somos
- Missão, Visão e Valores
- Patrocínio
- Relacionamento Investidor
- Redes Sociais
- Transparência
- Trabalhe Conosco
- Imprensa
- Privacidade aos Parceiros
- Educação Financeira
-
Automóveis VW
- Visão Geral
- Financiamentos
- Vendas Corporativas
- Consórcio
- Seguros
- Revisões Planejadas Volkswagen
- Garantia Estendida Volkswagen
- Lojas Online Volkswagen
- VW Sign&Drive
- VW Protege
- Automóveis Audi
- Motos
- Caminhões e Ônibus
- Atendimento
-
Simple Way
- Visão Geral
- Relacionamento Investidor
- Volkswagen Financial Services
- Volkswagen Financial Services
- Para Sua Empresa
Segurança da Informação
Nossa responsabilidade também envolve a proteção das informações que coletamos e processamos. Para isso, a Volkswagen Financial Services opera com componentes tecnológicos e processos de negócio que garantem o tratamento de todas as informações de forma segura e responsável.
Nesta área, você tem acesso a mais informações sobre este tema.
Dicas para navegar de forma segura
Abaixo algumas dicas de como tornar sua navegação e contato conosco cada vez mais seguros:
Proteja sua senha
Se proteja de telefonemas suspeitos
Identificação de fraudes
Site seguro
Aumente a proteção de sua senha nos canais online
É muito importante criar senhas seguras com o Banco Volkswagen para evitar tentativas de fraude e proteger suas informações contra golpistas. Para maior segurança:
- Não use senhas com números sequenciais, Ex. - 1,2,3,4;
- Não use senhas como datas de nascimento, nome do parceiro ou número de telefone.
- Tenha atenção para a estrutura de senhas, número de caracteres utilizados, quantidade mínima de letras maiúsculas e minúsculas ou caracteres especiais.
Como identificar indícios de fraude
Para mais detalhes sobre como tratamos seus dados, dê uma olhada na Política de Privacidade do nosso site.
Nossa Política de Segurança da Informação
1. Introdução
Esta "Política de Segurança da Informação" (doravante "Política de SI") é um documento estratégico, descrevendo o tratamento da segurança da informação dentro da Volkswagen Financial Services Brasil (VWFS).
Constitui o compromisso da gestão de alto nível, objetivando alcançar um nível de segurança da informação em toda a VWFS. Isto eleva a importância da informação como um bem essencial da VWFS que precisa de proteção para o benefício dos colaboradores (empregados, estagiários e terceiros que executem algum tipo de atividade para VWFS) e nossos clientes.
A gestão responsável e a proteção da informação garantem a segurança dos ativos e a continuidade da prestação de serviços financeiros da VWFS como companhia.
As atividades decorrentes da política de segurança da informação fazem parte da nossa estratégia, e apoiam o atingimento dos objetivos de compliance e governança.
Este documento apresenta o destaque dos principais itens da Política de Segurança da Informação da VWFS. A versão completa da política e seus documentos relacionados estão disponíveis para os colaboradores e terceiros residentes da Volkswagen Financial Services Brasil.
2. Descrição
2.1. Objetivos
Preservar e proteger as informações da VWFS, ou aquelas que estejam sob sua responsabilidade, bem como os recursos de tecnologia que as protegem dos diversos tipos de ameaça e as suportam em todo o seu ciclo de vida, contidas em qualquer meio ou formato.
A proteção da informação baseia-se nos valores básicos de segurança da informação abaixo mencionados (os chamados objetivos de proteção), que são componentes integrantes de todas as ações operacionais e, portanto, precisam ser considerados permanentemente na construção de sistemas e desenhos de processos. São eles:
• Confidencialidade: As informações ou funções devem estar disponíveis para as pessoas com a permissão para tal.
• Integridade: A integridade da informação deve ser guarnecida em todos os momentos. As informações devem estar corretas e completas. As funções devem fornecer resultados corretos.
• Disponibilidade: Para aqueles cujo o uso das informações e funções é permitido, o acesso deve ser sempre possível, dentro do prazo exigido e com o nível de qualidade necessário.
• Autenticidade: A informação deve ser proveniente de uma fonte autêntica, confiável e responsável. Deve ser garantido que ela não sofreu mutações ao longo de um processo.
O objetivo é assegurar o nível de proteção definido para os respectivos processos empresariais, bem como para a informação processada por meio de medidas organizacionais e técnicas condizentes a avaliação executada (nível de segurança).
Além disso, esta política visa estabelecer as responsabilidades e limites de atuação dos colaboradores e clientes da VWFS em relação à segurança da informação e comunicação, reforçando a cultura interna e priorizando as ações necessárias conforme a criticidade do ativo.
Estas medidas visam capacitar a VWFS a prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados à informação tanto em seu ambiente tecnológico – padrão (Datacenters, sistemas internos) ou cibernético (utilizando a internet como recurso) – como também no ambiente físico (documentos físicos, informações guardadas em cofres, e etc.).
Iniciativas de compartilhamento de informações de incidentes relevantes com outras instituições do mercado financeiro também são estimuladas.
2.2. Princípios
Visando proteger as informações de forma eficiente e orientada para os objetivos, os seguintes princípios constituem a base para a estratégia de segurança da VWFS:
• Prevenção
• Reação
• Sustentabilidade
As medidas de sensibilização, formação e educação para o tratamento da tecnologia da informação, bem como a proteção da informação processada, são obrigatórias para manter as linhas de base de segurança da informação. Estas medidas abrangem não somente nossos colaboradores, mas também nossos Fornecedores e Clientes – esta página é um exemplo disso.
Os princípios acima mencionados são concretizados por meio de políticas e diretrizes abrangentes para a segurança da informação. A sua implementação pode ser apoiada por meio de instruções de trabalho específicas e manuais de processos.
2.3. Processo de Segurança da Informação
A VWFS atua de acordo com o conjunto da norma ISO IEC 27001:2013 e implementou seu sistema de gerenciamento de segurança da informação (SGSI) correspondente.
Com base nisso, são definidos os requisitos gerais para o SGSI; os papéis, as responsabilidades e os requisitos de documentação são especificados; as revisões internas do SGSI são realizadas; e este framework é continuamente melhorado por meio de medidas corretivas e preventivas. Se as especificações da ISO/IEC 27001:2013 não forem suficientes para os processos, outros frameworks reconhecidos podem ser usados no gerenciamento da Segurança da Informação (por exemplo: NIST, COBIT, etc.).
O alcance de metas de proteção e a adesão aos princípios de segurança da informação na VWFS são garantidas por meio de uma abordagem conjunta de todos os envolvidos como parte de um processo contínuo de segurança da informação.
As políticas, diretrizes, manuais de processos e descrições de função que são necessárias para isso são fornecidas em documentos separados.
2.3.1 Procedimentos, Controles e Monitoramento
Procedimentos e atividades de monitoramento são adotados a fim de reduzir a vulnerabilidade da VWFS à incidentes de segurança, e atender aos objetivos de segurança da informação.
Estes controles incluem processos que apoiam a rastreabilidade das informações e a segurança elevada das informações confidenciais e sensíveis.
Este conjunto de atividades é aplicado no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da VWFS e na gestão da sua Infraestrutura Tecnológica. Eles observam os níveis de complexidade, abrangência e precisão compatíveis àqueles utilizados pela VWFS e o apetite ao risco definido pelo corpo diretivo da VWFS.
No que tange a relação com empresas prestadoras de serviços e a terceiros residentes, são implantados procedimentos e controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por estes, principalmente àqueles que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da VWFS.
Outro método importante de controle das informações é o processo de Classificação da Informação. Ele orienta a equipe da VWFS na categorização da informação, e determina medidas de proteção adequadas à sua classificação (Pública, Interna, Confidencial e Secreta).
2.4. Propriedade Intelectual
Todo e qualquer registro de dados, voz ou imagem armazenado em meio magnético, óptico ou eletrônico da VWFS ou mesmo na forma de gráfico ou relatório em papel ou qualquer outro veículo de exibição, constitui informação de propriedade da empresa ou sob responsabilidade, sendo que todo componente do ambiente computacional deve ter um Gestor da informação.
O Gestor da informação deve assegurar que todos os componentes do sistema ou serviço estejam disponíveis e que eles cumpram os requisitos de segurança da informação, no que tange à classificação, rotulagem e descarte da informação.
2.5. Proteção de dados pessoais
A VWFS tem o compromisso de promover a aderência às leis de privacidade e de proteção financeira para as informações de seus clientes. Assim deve assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados pessoais, em todo o seu ciclo de vida, em qualquer formato de armazenamento ou suporte, por meio:
• Do tratamento dos dados pessoais em conformidade com a legislação de proteção de dados pessoais vigente;
• Da adoção de medidas de segurança para proteger os dados pessoais de acesso não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito;
• Do armazenamento de modo seguro, controlado e protegido;
• Da aplicação de procedimentos de anonimização e pseudonimização, sempre que necessário e possível;
• Da aplicação de protocolos de criptografia na transmissão e armazenamento, sempre que necessário;
• Do registro das operações de tratamento de dados pessoais;
• Do descarte seguro dos dados pessoais ao término de sua finalidade e sua conservação de acordo com as hipóteses legais e regulatórias;
• Da transferência à terceiros de modo seguro e conforme contratualmente previsto;
• Da avaliação de impacto e sistemática à privacidade dos titulares de dados;
• Da gestão e tratamento adequado de incidentes que envolvam dados pessoais;
• Da execução de testes, monitoramento e avaliações periódicas da efetividade destas medidas.
2.6. Planejamento da Continuidade do Negócio
O planejamento de contingências deve ser documentado para todas as operações do negócio, devendo compreender a avaliação de impactos críticos para as operações do negócio, definição de procedimentos que facilitem a continuidade do trabalho em situações de emergência, planejamento de continuidade de sistemas com impacto crítico e procedimentos de restabelecimento das operações.
Regularmente devem ser efetuados testes de continuidade, prevendo cenários de catástrofes e incidentes de segurança, de forma a garantir a preparação das equipes no evento de uma ocorrência desta natureza.
2.7. Violações e tratamento de infrações
A inobservância às normativas estabelecidas sujeita o infrator e aqueles que colaborarem com ele, às sanções previstas no processo de medidas disciplinares da VWFS e/ou nos contratos pelo qual os terceiros residentes e/ou prestadores de serviços estão vinculados.
As violações incluem atividades deliberadamente e grosseiramente negligentes, em particular aquelas que:
• Comprometem a segurança da informação dos colaboradores e parceiros contratuais da VWFS;
• Prejudicam a reputação da VWFS;
• Fazem com que a VWFS sofra danos financeiros reais ou possíveis;
• Permitem o acesso não autorizado a informações ou a distribuição ou alteração destas informações;
• Resultam na violação do direito de determinar a forma como as informações são utilizadas (violações da proteção de dados);
• Constituem violações de leis, regulamentos ou contratos;
• Impedem a conclusão das tarefas (por exemplo, no que diz respeito à eficiência e capacidade); ou
• Permitem o uso de informações da VWFS para fins ilegais.
Qualquer inobservância das normativas de segurança da informação devem ser reportadas e encaminhadas para a área de Governança de TI - Segurança da Informação, através do endereço de e-mail seginfo.brasil@vwfs.com.
2.8. Papéis e responsabilidades
A operação segura dos processos de negócios na VWFS, juntamente com a tecnologia da informação necessária para isso, exige que os papéis e responsabilidades sejam claramente definidos. As tarefas, competências e responsabilidades dos respectivos papéis no SGSI estão descritas em documentos específicos.
Dúvidas a respeito deste documento devem ser direcionadas aos nossos canais de atendimento.
Diretrizes de Segurança da Informação para Fornecedores
1. Objetivo
Este documento tem como objetivo estabelecer as diretrizes, princípios e responsabilidades além de orientar a execução de ações relacionadas ao tratamento das informações e o uso adequado de ativos pelos fornecedores, parceiros e partes interessadas nos negócios do Conglomerado Financeiro Volkswagen.
2. Abrangência
O conteúdo deste documento aplica-se a todos os fornecedores, parceiros e partes interessadas das empresas do Conglomerado Financeiro Volkswagen.
3. Responsabilidades
É responsabilidade de cada fornecedor, assim como seus respectivos colaboradores relacionados aos serviços prestados às empresas do Conglomerado Financeiro Volkswagen, zelar pela proteção dos ativos de informação visando atingir os seguintes objetivos:
Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;
Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais;
Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las.
Conformidade: Cumprir os processos que garantam os direitos e obrigações previstos no contrato, bem como aspectos de auditorias e regulatórios, dentro dos princípios éticos e de conduta estabelecidos no Código de Conduta e Ética – Fornecedores da VWFS.
4. Definições de Segurança da Informação
4.1. O que é Segurança da Informação
A informação é um ativo da VWSF. Informações que forem coletadas, utilizadas, armazenadas e eventualmente transmitidas pela VWSF são elementos essenciais para o trabalho diário das áreas do Conglomerado.
A segurança da informação é um conjunto de ações e controles que visam proteger as informações, softwares e infraestrutura de TI de problemas relacionados à divulgação, alteração, suspensão e descarte da informação de forma segura. Os requisitos da segurança da informação de confidencialidade, integridade, disponibilidade e conformidade devem ser praticados em todos os aspectos como prioritários em meios físicos ou digitais.
Observando as crescentes necessidades de mantermos um ambiente protegido, reforçamos que é fundamental um programa de conscientização efetivo em todos os fornecedores, parceiros e partes interessadas do Conglomerado Financeiro Volkswagen.
4.2. Que tipo de informação proteger?
Quem tem acesso aos sistemas e/ ou acessa informações de propriedade ou sob o controle do Conglomerado Financeiro Volkswagen deve proteger informações conforme sua classificação:
Informação Secreta - Informações que possam ameaçar a concretização de um objetivo da empresa de forma sustentável se essas forem obtidas por pessoas não autorizadas. Portanto devem ser objeto de uma lista de distribuição extremamente restritiva e controlada rigorosamente.
Informações Confidenciais - Informações que podem ameaçar a implementação de um produto e ou objetivo de um projeto se essas forem obtidas por pessoas não autorizadas. Portanto devem ser disponibilizadas a um círculo limitado de pessoas autorizadas. Esta categoria também inclui dados pessoais e dados pessoais sensíveis.
Informações Internas - Informação que não é destinada à divulgação pública e deve ser divulgada apenas no Conglomerado Financeiro Volkswagen. Essas informações não devem ser distribuídas a terceiros, a menos que:
· Tais informações sejam categorizadas como públicas;
· O proprietário aprovou a distribuição da informação; ou
· As partes externas dependem da informação para fins de cooperação.
4.3. Análise de Necessidade de Proteção (PNA – Protection Needs Analysis)
Componente da plataforma de gerenciamento de riscos, o processo de Análise das Necessidades de Proteção foi definido e implementado pelo Conglomerado Financeiro Volkswagen afim de identificar e mitigar os riscos mapeados. O propósito é definir um nível de proteção adequado aos sistemas utilizados pelo Conglomerado, além de dar visibilidade acerca da dependência das áreas de negócio em relação aos sistemas/serviços e estrutura de TI, incluindo a participação de fornecedores relacionados a esses serviços/ produtos.
A análise de necessidade de proteção define quais medidas de proteções são adequadas e pertinentes para:
• os processos de negócios;
• as informações processadas ali; e
• a tecnologia de informação utilizada.
As necessidades de proteção definidas, referentes aos ativos de informação do Conglomerado, formam uma base importante para a gestão de riscos operacionais ligados à segurança da informação e à tecnologia da informação.
Baseada nas metas de proteção com vistas aos processos de negócios, chamados de pilares de segurança da informação, a saber:
• A confidencialidade;
• A integridade;
• A disponibilidade;
• A conformidade; e
• A autenticidade.
Caso o fornecedor, parceiro ou parte interessada seja classificado como crítico sobre a ótica desta análise, um anexo contratual deverá ser assinado observando as medidas de proteção que devem ser aplicadas no ambiente gerenciado
4.4. Requerimentos Mínimos
Os fornecedores, parceiros e partes interessadas das empresas do Conglomerado Financeiro Volkswagen devem possuir os seguintes requisitos de governança e controles de segurança da informação:
• Ter uma Política de Segurança da Informação atualizada e de conhecimento de seus colaboradores;
• Manter um processo de gestão de incidentes de segurança;
• Manter um ambiente seguro e íntegro com o uso de ferramentas contra malwares;
• Usar recursos criptográficos compatíveis, quando aplicável;
• Seguir os prazos de atendimento e tempo de resposta previstos em contrato;
• Capacitar seus colaboradores nas boas práticas de segurança da informação e proteção de dados pessoais;
• Manter os registros das operações de tratamento de dados pessoais que realizar;
• Indicar os canais de contato do Encarregado de Dados Pessoais ou responsável interno com estas atribuições.
Periodicamente são feitas avaliações dos serviços prestados, bem como verificações sobre as aplicações ou prática dos requerimentos descritos nos itens 4.3 (Análise de Necessidade de Proteção) e 4.4 (Requerimentos Mínimos) descritos acima. O não cumprimento ou desvio de qualquer requerimento exigido acima pode acarretar medidas disciplinares e aplicações de sanções previstas em lei ou contratuais.
4.5. Responsabilidades relacionadas à segurança da informação
Os fornecedores, parceiros e colaboradores terceirizados devem assegurar que as regras de segurança sejam respeitadas ao lidar com os sistemas de processamento de informação ou as informações do Conglomerado Financeiro Volkswagen com as seguintes práticas:
• Conhecer e cumprir as diretrizes estabelecidas neste documento e demais regulamentos relacionados;
• Prevenir acesso não autorizado e Engenharia Social;
• Ficar atento e prevenir-se contra código malicioso ou Malware, Spam, Phishing e ações de Engenharia Social;
• Adotar medidas de segurança, tanto técnicas quanto administrativas, visando proteger as informações de acessos não autorizados bem como de situações de riscos ou de tratamento inadequado ou ilícito;
• Informar imediatamente à equipe de Segurança da Informação do Conglomerado Financeiro Volkswagen sobre situações de risco que possam comprometer seus dados, informações e imagem;
• Não compartilhar credenciais (ID, senhas e crachá);
• Participar de treinamentos oferecidos pela área de Segurança da Informação do Conglomerado Financeiro Volkswagen sobre este tema;
• Manter as melhores práticas recomendadas pela área de Segurança da Informação do Conglomerado Financeiro Volkswagen.
A violação das regras de segurança pode acarretar medidas disciplinares e aplicações de sanções previstas em lei e no contrato firmado com o Conglomerado Financeiro Volkswagen.
4.6. Tratamento de dados pessoais
4.6.1. Tratamento
Os fornecedores, parceiros e partes interessadas que realizam o tratamento de dados pessoais ou dados pessoais sensíveis (“informações confidenciais”) sob o controle do Conglomerado Financeiro Volkswagen devem seguir as instruções de tratamento de dados fornecidas.
O fornecedor, parceiro ou parte interessada deve solicitar autorização prévia e formal do Conglomerado Financeiro Volkswagen caso identifique a necessidade de realizar tratamento dos dados pessoais de modo diverso as instruções fornecidas.
O tratamento de dados pessoais relacionado ao serviço contratado com demais terceiros, em especial a transmissão e processamento, excetuando-se o compartilhamento realizado para cumprimento de obrigação legal, deve ocorrer somente após autorização prévia e formal do Conglomerado Financeiro Volkswagen.
4.6.2. Suboperadores
O fornecedor, parceiro ou parte interessada somente mediante autorização prévia e formal do Conglomerado Financeiro Volkswagen poderá subcontratar parte dos serviços que envolvam o tratamento de dados pessoais para um ou mais terceiros (“suboperador”).
Quando autorizado, o fornecedor, parceiro ou parte interessada deverá celebrar contrato escrito com o suboperador formalizando os mesmos critérios, as medidas técnicas e organizacionais e instruções fornecidas pelo Conglomerado Financeiro Volkswagen.
4.6.3. Monitoramento
O Conglomerado Financeiro Volkswagen poderá verificar o cumprimento das instruções apresentadas bem como das demais normas que tratam sobre a matéria dados pessoais.
O fornecedor, parceiro ou parte interessada deve monitorar, por meios adequados, sua própria conformidade e dos suboperadores autorizados, frente as instruções de proteção de dados pessoais e deverá fornecer ao Conglomerado Financeiro Volkswagen relatórios sobre esses controles sempre que solicitados.
Os relatórios acima citados deverão incluir, pelo menos: (i) o status dos sistemas de processamento de dados pessoais; (ii) as medidas de segurança aplicadas; (iii) o tempo de inatividade registrado das medidas técnicas de segurança; (iv) a (não) conformidade estabelecida com as medidas organizacionais; (v) quaisquer eventuais violações de dados e/ou incidentes de segurança; (vi) as ameaças percebidas à segurança e aos dados pessoais; e (vii) as melhorias exigidas e/ou recomendadas.
Sempre que relatórios forem solicitados pelo Conglomerado Financeiro Volkswagen ao fornecedor, parceiro ou parte interessada, este deverá disponibilizá-los em até 48 (quarenta e oito) horas.
4.6.4. Exercício de Direitos
O fornecedor, parceiro ou parte interessada deve notificar em até 24 (vinte e quatro) horas a área de Segurança da Informação do Conglomerado Financeiro Volkswagen, mencionada no item 4.14 desse documento - “Segurança da Informação”, sobre eventuais solicitações de titulares dos dados pessoais que estão sob o controle do Conglomerado Financeiro Volkswagen. Por exemplo: confirmação da existência de dados pessoais; correção de dados incompletos, inexatos ou desatualizados; entre outros direitos estabelecidos em Lei.
O fornecedor, parceiro ou parte interessada deve disponibilizar mecanismos para que o Conglomerado Financeiro Volkswagen execute as ações necessárias para atender as requisições dos titulares dos dados pessoais sob seu controle, em especial: (i) confirmar a existência de dados pessoais de determinado titular; (ii) ter acesso aos dados pessoais de determinado titular; (iii) corrigir ou solicitar a correção de dados pessoais correção de dados incompletos, inexatos ou desatualizados; e (iv) solicitar o bloqueio de tratamento ou eliminação dos dados pessoais de determinado titular.
4.6.5. Registro das atividades de tratamento de dados
O fornecedor, parceiro ou parte interessada deve registrar as atividades de tratamento realizadas nos dados pessoais sob o controle do Conglomerado Financeiro Volkswagen, incluindo: (i) registro da identificação do usuário que realizou o tratamento; (ii) o tratamento realizado; (iii) a data e hora do tratamento realizado; e ainda quando aplicável: (iv) os suboperadores, com data e hora da transmissão e/ou tratamento e (v) demais controladores, com data e hora que realizou o compartilhamento dos dados.
4.6.6. Novos produtos ou serviços
Salvo condição comercial contrária expressa em contrato, o fornecedor, parceiro ou parte interessada não deve transmitir, compartilhar ou comercializar qualquer informação, produto ou serviço criado a partir do tratamento dos dados pessoais sob o controle do Conglomerado Financeiro Volkswagen.
4.6.7. Transferência internacional
Caso o fornecedor, parceiro ou parte interessada tenha a intenção de realizar a transferência e/ou processamento dos dados pessoais sob o controle do Conglomerado Financeiro Volkswagen fora do Brasil deve solicitar autorização prévia e formal ao Conglomerado Financeiro Volkswagen.
4.6.8. Notificação
O fornecedor, parceiro ou parte interessada deve notificar em até 24 (vinte e quatro) horas o Segurança da Informação do Conglomerado Financeiro Volkswagen sobre: (i) qualquer não cumprimento (ainda que suspeito) das disposições legais relativas à proteção de Dados Pessoais; (ii) de qualquer descumprimento das obrigações assumidas ao tratamento dos Dados Pessoais; (iii) de qualquer violação de segurança nos seus suboperadores; (iv) de quaisquer exposições ou ameaças em relação à conformidade com a proteção de Dados Pessoais; (v) ou, em período menor, se necessário, de qualquer ordem de Tribunal, autoridade pública ou regulador competente.
4.6.9. Relatório de impacto na proteção de dados pessoais
Sempre que necessário, o fornecedor, parceiro ou parte interessada deve prestar informações claras sobre os processos de tratamento de dados pessoais e as medidas e os mecanismos empregados para o Conglomerado Financeiro Volkswagen elaborar ou manter atualizado o relatório de impacto à proteção de dados pessoais.
4.6.10. Descarte
Após cumprida a finalidade do tratamento e findo o prazo contratual estabelecido, o fornecedor, parceiro ou parte interessada deve devolver e/ou eliminar os dados pessoais sob o controle do Conglomerado Financeiro Volkswagen tratados de modo seguro, estejam eles em suporte físico ou digital.
A exceção para não eliminação do dado pessoal é somente quando a sua guarda está atrelada ao cumprimento de obrigação legal, devendo ser formalizada a exceção ao Conglomerado Financeiro Volkswagen com o prazo de retenção do dado e os controles de segurança aplicados.
4.7. Utilizar a rede da empresa
Apenas os recursos de tecnologia da informação de propriedade do Conglomerado estão autorizados a serem utilizados em sua rede corporativa. As redes WLAN de hóspedes é uma exceção a esta regra, entretanto as solicitações desse tipo de acesso devem ser registradas por meio de requisições de serviço junto a Equipe de Operações de TI, e autorizadas pela equipe de Segurança da Informação do Conglomerado Financeiro Volkswagen.
4.8. Transmitindo informações e programas
As informações e programas somente podem ser transmitidos a corporações externas, autoridades, instituições e outros terceiros fora do Conglomerado Financeiro Volkswagen se permitido e dentro dos regulamentos, instruções ou procedimentos existentes. Estes devem especificar que a transferência "eletrônica" de mensagens, textos, tabelas e gráficos tenham o seu envio permitido somente após confirmar a existência dessas regras por escrito e assinadas entre as partes.
A transferência de informações e programas para pessoas externas contratualmente vinculadas ao Conglomerado Financeiro Volkswagen (ex.: membros de equipes de projetos alocados remotamente, etc.) é permitida no âmbito dessa tarefa quando acordados por escrito.
A transmissão de dados de dentro da rede para troca com empresas externas deve ser tratada com base em ordens ou contratos escritos.
A transmissão de dados pessoais ou dados pessoais sensíveis deve ocorrer somente por canais quem permitam a aplicação de controles de segurança e de forma criptografada.
Para transporte físico, os envelopes devem ser rotulados de acordo com as instruções de Segurança Corporativa indicando a ordem do transporte.
4.9. Encriptação de Informações
As informações secretas devem ser armazenadas e transmitidas de forma criptografadas.
A troca de informações confidenciais e internas com partes externas via e-mail ou canais de comunicação similares deve ser feito de forma criptografada. Devem ser utilizados algoritmos de encriptação de última geração.
A capacidade de criptografia de ferramentas de compactação deve ser usada para criptografar informações não públicas de e-mails para todas as outras empresas, ou em casos em que o sistema de e-mail da sede não usar um segundo fator de autenticação (PKI). Nesse caso, a senha utilizada deve ser comunicada por um caminho de comunicação diferente (por exemplo, telefone), e usada uma única vez.
4.10. Devolução de ativos do Conglomerado
Após encerrar o contrato de trabalho, o colaborador terceirizado deve devolver todos os ativos do Conglomerado Financeiro Volkswagen que estejam em sua posse, incluindo informações, equipamentos, registos e notas.
4.11. Quanto aos contratos relevantes de processamento, armazenamento de dados e computação em nuvem
Os fornecedores contratados para prestar os serviços relevantes de processamento, armazenamento de dados e computação em nuvem ao Banco Volkswagen devem atender aos seguintes requerimentos:
a) Garantir o acesso irrestrito do Banco Volkswagen aos dados e às informações a serem processadas ou armazenadas na prestação de serviço;
b) Garantir a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processadas ou armazenadas;
c) Fornecer evidências quanto à sua aderência a certificações exigidas pelo Banco Volkswagen para a prestação do serviço a ser contratado;
d) Fornecer acesso ao Banco Volkswagen aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
e) Prover informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados;
f) Realizar a identificação e a segregação dos dados dos clientes do Banco Volkswagen por meio de controles físicos ou lógicos;
g) Garantir a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes do Banco Volkswagen;
h) No caso da execução de aplicativos por meio da internet, o prestador dos serviços deve adotar controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo;
i) Os contratos deverão prever os seguintes itens impreterivelmente:
i. A indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
ii. A adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso i;
iii. A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
iv. A obrigatoriedade, em caso de extinção do contrato, de:
• Transferência dos dados citados no inciso I ao novo prestador de serviços ou ao Banco Volkswagen; e
• Exclusão dos dados citados no inciso I pela empresa contratada substituída, após a transferência dos dados prevista na alínea "a" e a confirmação da integridade e da disponibilidade dos dados recebidos;
v. O acesso do Banco Volkswagen a:
• Informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III;
• Informações relativas às certificações e aos relatórios de auditoria especializada, citados nos itens “c” e “d”; e
• Informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no item “e”;
vi. O contrato em questão deve prever, para o caso da decretação de regime de resolução do Banco Volkswagen pelo Banco Central do Brasil
• A obrigação do fornecedor conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso “iii”, que estejam em poder do fornecedor; e
• A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção do fornecedor interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:
- O fornecedor obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
- A notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência do Banco Volkswagen.
A definição da relevância do serviço é realizada pelo Banco Volkswagen, e pode ser alterada ao longo do período da contratação caso haja alterações no tipo de informações armazenadas ou processadas pelo serviço. O Banco Volkswagen se responsabilizará pela informação ao fornecedor de sua relevância ao negócio, incluindo a necessidade das alterações contratuais relacionadas.
4.12. Incidente de Segurança da Informação
O Conglomerado Financeiro Volkswagen tem um processo de gestão de segurança da informação abrangente para tratativa de incidentes de segurança da informação.
Um incidente de segurança da informação pode ameaçar a privacidade ou a segurança das informações. Eles podem ser acidentais ou intencionais, incluindo roubo, perda, alteração não autorizada ou destruição de informações. Um incidente de segurança da informação é considerado quando, especialmente se identifica uma violação de privacidade.
Um incidente grave deve ser considerado quando os dados comprometidos incluírem dados pessoais como nome, data de nascimento, informações de saúde, financeiras e de cunho confidencial.
A veracidade e a cooperação são vitais para o processo de gestão de incidentes de segurança da informação. A chave para responder um incidente de forma apropriada é tomar medidas adequadas o mais rápido possível. As seguintes recomendações devem ser seguidas em caso ou suspeita de um incidente:
(i) Informar
• Comunicar de forma imediata as irregularidades à equipe de Segurança da Informação do Conglomerado Financeiro Volkswagen;
• Descrever a situação exatamente como ocorreu a fim de evitar maiores danos;
• Se possível, no primeiro contato informar uma estimativa sobre o tamanho do dano, consequência do dano, partes afetadas (interna, externa) e possíveis consequências.
(ii) Implementar medidas
• Seguir as instruções do pessoal de segurança e administradores de TI do Conglomerado Financeiro Volkswagen;
• Tomar apenas medidas adicionais se aconselhadas por pessoas autorizadas;
• Não fornecer qualquer informação a pessoas não envolvidas sem autorização explícita;
• Comunicar à equipe de Segurança da Informação do Conglomerado Financeiro Volkswagen sobre o andamento do plano e o status de implantação das medidas.
Os fornecedores e parceiros que manuseiem informações sensíveis, ou que sejam relevantes para a condução das operações do Conglomerado Financeiro Volkswagen, devem comunicar imediatamente os canais fornecidos na ocorrência de incidentes de segurança da informação em seu ambiente, que afetem de alguma maneira o Conglomerado Financeiro Volkswagen.
Os fornecedores e parceiros devem cooperar com o Conglomerado Financeiro Volkswagen fornecendo informações relevantes disponíveis e qualquer outra assistência para documentar e eliminar a causa e os riscos impostos por quaisquer violações de segurança.
Todos os procedimentos realizados no tratamento de um incidente devem ser documentados pelas partes envolvidas, sob a supervisão da equipe de Segurança da Informação do Conglomerado Financeiro Volkswagen.
4.13. Plano de Continuidade dos Serviços de Tecnologia
Os fornecedores, parceiros ou partes interessadas devem zelar pela garantia da continuidade dos serviços prestados dentro dos acordos de níveis de serviços definidos.
Os fornecedores classificados como críticos pelo Conglomerado Financeiro Volkswagen, no que tange à continuidade dos serviços de tecnologia da informação, assumem um papel chave dentro deste contexto. Eles têm a responsabilidade de realizar testes regulares de contingência técnica ou operacional (dependendo do serviço contratado), para verificação de sua capacidade de atendimento aos requerimentos definidos nos acordos de níveis de serviços, e devem apresentar as evidências da execução destes testes anualmente.
4.14. Quem contatar em Segurança da Informação
Problema / Incidente |
Contato |
· Eventos relevantes · Suspeita / evidência de um incidente de segurança da informação (por exemplo, infecção de vírus) · Perda / roubo de informações ou equipamentos da empresa · Questões relacionadas a Proteção/Privacidade de Dados · Questões gerais referentes à segurança de TI |
|