Poltica de Segurana da

Informao

ltima reviso: maio de 2014 Uso pblico

BM&FBOVESPA

Pgina 2

Poltica de

Segurana da Informao

ndice

1. OBJETIVO ..................................................................................................................................... 3

2. ABRANGNCIA ............................................................................................................................ 3

3. CONCEITOS .................................................................................................................................. 3

4. ESTRUTURA NORMATIVA .......................................................................................................... 3

5. DIRETRIZES .................................................................................................................................. 4

6. RESPONSABILIDADES ................................................................................................................ 5

7. AES EM CASOS DE NO CONFORMIDADE ....................................................................... 6

8. DEFINIES.................................................................................................................................. 6

9. DOCUMENTOS DE REFERNCIA ............................................................................................... 6

10. INFORMAES DE CONTROLE ............................................................................................... 7

Pgina 3

Poltica de

Segurana da Informao

1. OBJETIVO

Estabelecer os conceitos e diretrizes de segurana da informao, visando proteger as

informaes da organizao, dos clientes e do pblico em geral.

2. ABRANGNCIA

Esta Poltica aplica-se a todos os funcionrios, estagirios, prestadores de servios e das demais

controladas da BM&FBOVESPA (Grupo BM&FBOVESPA, empresas do Grupo ou Grupo).

3. CONCEITOS

A segurana da informao aqui caracterizada pela preservao dos seguintes conceitos:

Confidencialidade: Garante que a informao seja acessvel somente pelas pessoas autorizadas, pelo perodo necessrio;

Disponibilidade: Garante que a informao esteja disponvel para as pessoas autorizadas sempre que se fizer necessria;

Integridade: Garante que a informao esteja completa e ntegra e que no tenha sido modificada ou destruda de maneira no autorizada ou acidental durante o seu ciclo de

vida.

4. ESTRUTURA NORMATIVA

A estrutura normativa da Segurana da Informao da BM&FBOVESPA composta por um

conjunto de documentos, relacionados a seguir.

Poltica: define a estrutura, as diretrizes e os papis referentes segurana da informao;

Normas: estabelecem regras, definidas de acordo com as diretrizes da Poltica, a serem seguidas em diversas situaes em que a informao tratada;

Procedimentos: instrumentam as regras dispostas nas Normas, permitindo a direta aplicao nas atividades da BM&FBOVESPA.

Pgina 4

Poltica de

Segurana da Informao

5. DIRETRIZES

A seguir, so apresentadas as diretrizes da Poltica de Segurana da Informao da

BM&FBOVESPA. Tais diretrizes devem nortear a elaborao das Normas e dos Procedimentos.

I. ASPECTOS GERAIS

As informaes (em formato fsico ou lgico) e os ambientes tecnolgicos utilizados pelos usurios so de exclusiva propriedade da BM&FBOVESPA, no podendo ser

interpretados como de uso pessoal;

Todos os funcionrios, estagirios e prestadores de servios devem ter cincia de que o uso das informaes e dos sistemas de informao pode ser monitorado, e que os

registros assim obtidos podero ser utilizados para deteco de violaes da Poltica e

das Normas de Segurana da Informao, podendo estas servir de evidncia para a

aplicao de medidas disciplinares, processos administrativos e/ou legais;

Todo processo, sempre que possvel, durante seu ciclo de vida, deve garantir a segregao de funes, por meio da participao de mais de uma pessoa ou equipe.

II. TRATAMENTO DA INFORMAO

Para assegurar a proteo adequada s informaes, deve existir um mtodo de classificao da informao de acordo com o grau de confidencialidade e criticidade para

o negcio da BM&FBOVESPA;

As informaes devem ser atribudas a um proprietrio, formalmente designado como responsvel pela autorizao de acesso s informaes sob a sua responsabilidade;

Todas as informaes devem estar adequadamente protegidas em observncia s diretrizes de segurana da informao da BM&FBOVESPA em todo o seu ciclo de vida,

que compreende: gerao, manuseio, armazenamento, transporte e descarte;

A informao deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada.

III. GESTO DE ACESSOS E IDENTIDADES

O acesso s informaes e aos ambientes tecnolgicos da BM&FBOVESPA deve ser controlado de acordo com sua classificao, de forma a garantir acesso apenas s

pessoas autorizadas, mediante aprovao formal;

Os acessos aos funcionrios, estagirios e prestadores de servios devem ser solicitados e aprovados somente s informaes necessrias ao desempenho de suas atividades.

IV. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO

Em casos de violao desta Poltica e Normas de Segurana da Informao, o Comit Gestor de Segurana da Informao (CGSI) realizar deliberaes somente nos

incidentes classificados com alta criticidade. Os demais casos sero tratados pelo fluxo

normal de resposta a incidentes. Aps deliberaes, o CGSI recomendar ao Diretor

Executivo uma ao disciplinar a ser tomada.

Pgina 5

Poltica de

Segurana da Informao

V. PARTES EXTERNAS

Os contratos entre a BM&FBOVESPA e empresas prestadoras de servios com acesso s informaes, aos sistemas e/ou ao ambiente tecnolgico da BM&FBOVESPA devem

conter clusulas que garantam a confidencialidade entre as partes e que assegurem

minimamente que os profissionais sob sua responsabilidade cumpram a Poltica e as

Normas de Segurana da Informao.

6. RESPONSABILIDADES

De forma geral, cabe a todos os funcionrios, estagirios e prestadores de servios:

Cumprir fielmente a Poltica, as Normas e os Procedimentos de Segurana da Informao da BM&FBOVESPA;

Proteger as informaes contra acessos, modificao, destruio ou divulgao no autorizados pela BM&FBOVESPA;

Assegurar que os recursos tecnolgicos, as informaes e sistemas a sua disposio sejam utilizados apenas para as finalidades aprovadas pela BM&FBOVESPA;

Cumprir as leis e as normas que regulamentam a propriedade intelectual; No discutir assuntos confidenciais de trabalho em ambientes pblicos ou em reas

expostas (avies, transporte, restaurantes, encontros sociais etc.) incluindo a emisso de

comentrios e opinies em blogs e redes sociais;

No compartilhar informaes confidenciais de qualquer tipo; Comunicar imediatamente rea de Gesto de Segurana da Informao qualquer

descumprimento ou violao desta Poltica e/ou de suas Normas e Procedimentos.

I. REA DE GESTO DE SEGURANA DA INFORMAO

Cabe rea de Gesto de Segurana da Informao:

Prover todas as informaes de gesto de Segurana da Informao solicitadas pelo CGSI ou pela Diretoria Executiva;

Prover ampla divulgao da Poltica e das Normas de Segurana da Informao para todos os funcionrios, estagirios e prestadores de servios;

Promover aes de conscientizao sobre Segurana da Informao para os funcionrios, estagirios e prestadores de servios;

Propor projetos e iniciativas relacionados ao aperfeioamento da segurana da informao da BM&FBOVESPA;

Estabelecer procedimentos relacionados instrumentao da segurana da informao da BM&FBOVESPA.

Pgina 6

Poltica de

Segurana da Informao

7. AES EM CASOS DE NO CONFORMIDADE

As regras que estabelecem o controle e o tratamento de situaes de no conformidade relativas

Poltica e s Normas de Segurana da Informao da BM&FBOVESPA devem ser tratadas

conforme a Poltica de Gesto de Riscos Corporativos vigente.

Na ocorrncia de violao desta Poltica ou das Normas de Segurana da Informao, a Diretoria

Executiva poder adotar, com o apoio das Diretorias Jurdica e de Recursos Humanos, sanes

administrativas e/ou legais, que podero culminar com o desligamento e eventuais processos

criminais, se aplicveis.

8. DEFINIES

Ativos de Informao: conjunto de informaes, armazenado de modo que possa ser

identificado e reconhecido como valioso para a empresa.

Informao: resultado do processamento e organizao de dados (eletrnicos ou fsicos)

ou registros de um sistema. composta por dados, mas um conjunto de dados no

necessariamente considerado uma informao.

Sistemas de informao: de maneira geral, so sistemas computacionais utilizados pela

empresa para suportar suas operaes.

Segregao de funes: consiste na separao entre as funes de autorizao,

aprovao de operaes, execuo, controle e contabilizao, de tal maneira que nenhum

funcionrio, estagirio ou prestador de servio detenha poderes e atribuies em

desacordo com este princpio.

Comit Gestor de Segurana da Informao: grupo multidisciplinar composto por

membros das diretorias executivas da BM&FBOVESPA com o objetivo de avaliar a

estratgia e diretrizes de segurana da informao seguidas pela empresa.

9. DOCUMENTOS DE REFERNCIA

Cdigo de Conduta da BM&FBOVESPA.

Poltica de Gesto de Riscos Corporativos.

Srie ISO 27000.

Pgina 7

Poltica de

Segurana da Informao

10. INFORMAES DE CONTROLE

Vigncia: 01 ano

Verso: 4

Responsveis pelo documento:

Responsvel Nome rea

Elaborao Cristiano Adjuto e Campos e

Simone Sunaga

Gerncia de Segurana da

Informao

Reviso Ricardo Redenschi e

Eduardo Lopes Farias

Diretoria de Projetos e Governana

de TI;

Diretoria de Controles Internos,

Compliance e Risco Corporativo

Aprovao No aplicvel Reunio da Diretoria Executiva

(RDE);

Comit Gestor de Segurana da

Informao

Registro de alteraes:

Verso Data Modificao

1 16/02/2009 Verso inicial

1.1 10/08/2009 Primeira reviso da Poltica

1.2 27/12/2010 Incluso da abrangncia da Poltica, atualizao das nomenclaturas

das reas e reviso na aplicao da Poltica.

2 08/03/2011 Ampliao das diretrizes, substituio de glossrio por definies,

remoo de regras da Poltica.

3 15/05/2013 Reviso geral, foco nas diretrizes corporativas para a Segurana da

Informao.

4 06/05/2014 Incluso dos conceitos e gesto de incidentes, simplificao das

diretrizes e responsabilidades.