Política de Segurança da Informação e Segurança Cibernética

Através dessa política, o Banco Sumitomo Mitsui Brasileiro S.A. (“SMBCB”) objetiva minimizar seus riscos e mostrar a devida diligência aos seus stakeholders.

O SMBCB preza pela garantia de que os riscos de segurança da informação, que possam afetar os negócios, sejam gerenciados de maneira adequada. Por isso, utiliza uma abordagem formal de gerenciamento de riscos, que inclui a identificação, avaliação, mitigação, monitoramento e a conformidade com os requisitos regulatórios aplicáveis.


Princípios

A política é fundamentada nos seguintes princípios:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Conformidade


Proteção contra acessos não autorizados

A política prevê controles para endereçar as seguintes ameaças:

  • Prevenção, detecção e resposta a incidentes de segurança
  • Continuidade das operações críticas em casos de incidentes
  • Conformidade com leis, normas e regulamentações aplicáveis

A política aplica-se a todos os colaboradores, terceiros e usuários com acesso a sistemas e informações, abrangendo todos os ativos tecnológicos e informacionais da instituição.


Estrutura de Gestão e Controles

A instituição adota processos formais para:

  • Gestão de riscos de segurança da informação e cibersegurança
  • Controle de acessos com base no princípio do menor privilégio
  • Classificação e proteção de informações conforme sensibilidade
  • Monitoramento contínuo e rastreabilidade de acessos
  • Gestão de vulnerabilidades e proteção de ativos


Gestão de Incidentes

São mantidos processos estruturados para:

  • Identificação, registro e tratamento de incidentes
  • Avaliação de impactos operacionais e reputacionais
  • Comunicação tempestiva à administração e autoridades competentes, quando aplicável


Continuidade de Negócios

A instituição garante a resiliência operacional em cenários adversos através de seu programa de continuidade que contempla:

  • Identificação de processos críticos
  • Planos de recuperação e contingência
  • Testes periódicos de efetividade


Cibersegurança

A gestão de cibersegurança inclui:

  • Monitoramento de ameaças e riscos emergentes
  • Controles preventivos, detectivos e corretivos
  • Resposta estruturada a incidentes
  • Evolução contínua das práticas de segurança


Terceiros e Serviços em Nuvem

A instituição adota controles para:

  • Avaliação de riscos de fornecedores
  • Definição de requisitos de segurança contratual
  • Proteção de dados em serviços terceirizados
  • Conformidade com requisitos regulatórios aplicáveis à computação em nuvem


Governança

A governança de segurança da informação é baseada em responsabilidades definidas entre:

  • Alta administração (supervisão e aprovação)
  • Área de segurança (gestão e monitoramento)
  • Áreas de negócio (controle e uso adequado)
  • Usuários (cumprimento das diretrizes)


Conformidade e Monitoramento

A instituição assegura:

  • Aderência às regulamentações do setor financeiro e de proteção de dados
  • Monitoramento contínuo dos controles implementados
  • Auditorias periódicas
  • Revisão regular da política e dos processos


Declaração

A instituição mantém um ambiente de segurança da informação e cibersegurança compatível com seu porte, complexidade e perfil de risco, assegurando a proteção de seus ativos, a continuidade de seus serviços e a confiança de clientes, parceiros e reguladores.