Política de Segurança da Informação para Fornecedores

Princípios

Estabelecer as diretrizes para evitar a violação de qualquer lei, regulamentação ou obrigação contratual e garantir que os requisitos de segurança sejam atendidos por prestador de serviço, parceiro e fornecedor.

Abrangência em Sistemas e Ativos Computacionais

Este documento é aplicável a todo prestador de serviço, parceiro e fornecedor do Inter.

O Grupo Inter pauta suas ações em boas práticas e resoluções do mercado, sendo elas:

  • Constituição da República Federativa do Brasil.
  • Código ANBIMA de Regulação e Melhores Práticas para Administração de Recursos de Terceiros
  • Instrução nº 612/ 2019 da Comissão de Valores Mobiliários
  • Lei nº 9.609/1998 – Lei do Software
  • Lei nº 12.965/2014 - Marco Civil da Internet
  • Lei nº 13.709/2018 - Lei Geral de Proteção de Dados
  • ISO nº 27001 - Norma de Gestão de Segurança da Informação
  • ISO nº 27002 - Diretrizes de Gestão de Segurança da Informação
  • ISO nº 27701 - Norma de Gestão de Privacidade da Informação
  • ISO nº 22301 - Norma de Continuidade de Negócios
  • Resolução nº 4.553/2017 do Banco Central do Brasil
  • Resolução nº 4.893/2021 do Banco Central do Brasil

Diretrizes

  • O Inter realiza a análise do risco antes de formalizar o contrato com o fornecedor.
  • Na contratação de atividade de processamento de alto risco o Inter solicita Due Diligence adicional de um potencial prestador de serviço, parceiro e fornecedor para garantir que eles são capazes de fornecer proteção adequada.
  • A Política de Segurança da Informação (ou documento equivalente) do prestador de serviço, parceiro e fornecedor pode ser analisada pela Segurança da Informação para verificação de sua conformidade com as normas e políticas do Inter.
  • A área de Segurança da Informação pode solicitar relatório e evidência do atendimento da política apresentada pelo prestador, tais como: matriz de controles e relatórios.
  • A contratação do prestador pode ser discutida pela Diretoria de Segurança e Governança de Dados, caso a área de Segurança da Informação identifique algum risco durante análise que possa comprometer a confidencialidade, integridade e disponibilidade da informação do Inter.
  • Avaliação de risco de segurança da informação e privacidade para contrato com prestador de serviço, parceiro e fornecedor envolvendo dado pessoal são realizadas conforme a lei 13.709/2018.
  • Avaliação de risco de segurança da informação e privacidade são realizadas nos contratos dos prestadores de serviço, parceiros e fornecedores no que tange envolvimento de dados pessoais, armazenamento ou processamento de informação sensível, computação em nuvem.
  • Controles de segurança cibernética para prestador de serviço, parceiro e fornecedor serviço de computação em nuvem são avaliados conforme a resolução 4893 do Banco Central do Brasil.

Conformidade

Caso o Grupo Inter identifique alguma conduta não aderente ou o descumprimento das diretrizes estabelecidas, serão tomadas as medidas administrativas e ou legais cabíveis.