A efetividade desta Política depende da conscientização de todos os Colaboradores e do esforço constante para que seja feito bom uso das Informações Confidenciais e dos Ativos disponibilizados pela Eight Consultoria ao Colaborador.

Esta Política deve ser conhecida e obedecida por todos os Colaboradores que utilizam os recursos de tecnologia disponibilizados pela Eight Consultoria, sendo de responsabilidade individual e coletiva o seu cumprimento.

Acordo de confidencialidade e responsabilidade: Acordos assinados entre duas partes que irão realizar algum tipo de troca ou compartilhamento de informações visando proteger em especial a confidencialidade das informações.

Ativos de informação: Qualquer recurso que tenha a capacidade de processar, armazenar ou transmitir informação e a própria informação.

Classificação da informação: Atividade de inventariar e categorizar as informações, definir seu grau de sensibilidade e o grupo de acesso.

Colaboradores: Empregados, estagiários, prestadores de serviço, visitantes e terceiros.

Confidencialidade: Propriedade de que a informação não seja disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados.

Conta de acesso: Identificação de acesso, pessoal e intransferível. Ela identifica os usuários e define seu perfil de acesso aos recursos de TI.

Disponibilidade: Propriedade de ser acessível e utilizável sob demanda, por uma entidade autorizada.

Informação: É um ativo que é, como qualquer outro ativo importante, essencial para os negócios da Eight Consultoria e consequentemente necessita ser adequadamente protegida. A informação pode existir de diversas formas. Ela pode ser impressa, escrita em papel, pode ser verbal, gravada, codificada ou ser expressa por meio dos mais diferentes meios e formas de comunicação possíveis, como transmitida pelo correio ou por meios eletrônicos.

Integridade: Propriedade da exatidão e completude da informação. Condição na qual a informação ou os recursos de processamento da informação são protegidos contra modificações não autorizadas.

Segurança da Informação (SI): É a proteção da informação dos vários tipos de ameaças a fim de garantir a continuidade dos negócios e minimizar os riscos associados. Essa proteção é realizada por meio da preservação da confidencialidade, integridade e disponibilidade das informações. A segurança da informação é obtida a partir da implantação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, diretrizes, estruturas organizacionais, treinamento, comunicação e conscientização além de softwares e hardwares específicos.

Tratamento da informação: Uso adequado da informação de acordo com as diretrizes estabelecidas nos diversos cenários que ocorrem no dia a dia, como armazenamento, transmissão, descarte, impressão etc.

Diante da possibilidade de vazamento, alteração, destruição e qualquer outra forma de prejuízo em relação às Informações Confidenciais, o que é de extremo valor para a Eight Consultoria, dado o princípio fundamental de confiança que a instituição trabalha para manter junto aos seus clientes, a Eight Consultoria utilizou como linha de estruturação de sua Política, o Guia de Cibersegurança, da ANBIMA, datado de dezembro de 2017.

O referido documento é um dos principais materiais sobre o tema no Mercado Financeiro, incluindo as melhores referências sobre proteção de dados. Adiante, a Eight Consultoria abordará os principais mecanismos e procedimentos de prevenção as ameaças ao patrimônio, à imagem e, principalmente, aos seus negócios.

Os avanços tecnológicos criam facilidades e possibilitam o uso de novas ferramentas para a atuação das instituições, permitindo agilidade na construção e disponibilização de serviços, aplicação dos meios de comunicação, entre outros avanços. Por outro lado, o aumento do uso de tais ferramentas potencializa o vazamento de informações e os riscos de ataques cibernéticos, ameaçando a confidencialidade, a integralidade e a disponibilidade dos dados e/ou dos sistemas das instituições.

As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade, informações ou ativos de cada organização. As consequências para as instituições podem ser significativas em termos operacionais, de risco de imagem, danos financeiros ou perda de vantagem concorrencial, podendo tais danos serem irreparáveis. Diante desse cenário, os métodos mais comuns de ataques cibernéticos são os seguintes:

• Malware – softwares desenvolvidos para corromper computadores e redes:
• Vírus: software que causa danos a máquina, rede, softwares e banco de dados;
• Cavalo de Troia: aparece dentro de outro software e cria uma porta para a invasão do computador;
• Spyware: software malicioso para coletar e monitorar o uso de informações; e
• Ransomware: software malicioso que bloqueia o acesso a sistemas e bases de dados, solicitando um resgate para que o acesso seja reestabelecido.
• Engenharia Social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito:
• Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento;
• Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais;
• Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais;
• Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais;
• Acesso pessoal; pessoas localizadas em lugares públicos como bares, cafés e restaurantes que captam qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.
• Ataques de DDoS (distributed denial of services) e botnets - ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou vírus, ou inundar uma rede com mensagens resultando na negação de serviços.
• Invasões (advanced persistent threats) - ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

Ainda, além de ataques cibernéticos, a Eight Consultoria pode estar sujeita a mal funcionalidades dos sistemas utilizados e a atos ou omissões de seus Colaboradores, que podem acarretar o perdimento e/ou adulteração de dados e Informações Confidenciais.

Ações de Prevenção e Proteção

Para que se possam prevenir eventuais ataques cibernéticos e vazamento de informações, primeiro deve-se definir quais informações são as de maior sensibilidade para Eight Consultoria, assim como aquelas que teriam o maior impacto financeiro, operacional e reputacional para Eight Consultoria, em caso de incidente de segurança.

Deste modo, a Eight Consultoria segrega as informações geradas pela instituição, aperfeiçoando a implementação de processos e o devido manuseio, armazenamento, transporte e descarte destas informações.

Assim, classificam-se as informações digitais da instituição em 4 (quatro) classes diferentes, quais sejam:

a) Públicas

Devem ser classificadas como PÚBLICAS, as informações que podem ser divulgadas publicamente e não necessitam de atenção especial quanto à preservação de sigilo. São passíveis de classificação como PÚBLICAS, dados ou informações que podem ser divulgadas para o mercado ou para a comunidade em geral.

Exemplos: Informações divulgadas a investidores e ao mercado, telefones de atendimento ao público, sites institucionais da empresa na Internet e em mídias sociais etc.

b) Internas

Devem ser classificadas como INTERNAS, as informações que devem ser divulgadas a todos os colaboradores da Eight Consultoria e/ou para terceiros formalmente comprometidos com a segurança das informações. A informação somente deve ser classificada como INTERNA se for necessário que todos os colaboradores da Eight Consultoria tenham conhecimento de tal informação.

Exemplos: Listas de telefones internos, campanhas e comunicações internas, divulgações de metas da Eight Consultoria, normas e procedimentos de aplicação geral na Eight Consultoria etc.

c) Restrito

Devem ser classificadas como RESTRITAS as informações que devem ser divulgadas apenas para algumas pessoas, grupos de trabalho ou áreas da Eight Consultoria e que não devem ser divulgadas abertamente a todos os colaboradores da Eight Consultoria. A perda destas informações pode gerar impactos em processos, produtos ou serviços específicos da Eight Consultoria.

Exemplos: Informações de projetos internos, dados ou informações referentes a produtos, processos e serviços, procedimentos operacionais (POP), indicadores de desempenho das áreas, relatórios específicos das áreas etc.

d) Confidencial

Informações que requerem forma de proteção mais robusta contra acesso e compartilhamento não autorizado. Devem ser classificadas como CONFIDENCIAL todas as informações relativas a:

• Informações privadas das pessoas;
• Informações estratégicas de clientes e fornecedores;
• Informações estratégicas da Eight Consultoria;
• Know How da Eight Consultoria.
• Informações que denigrem a reputação e imagem da Eight Consultoria.

São informações cuja perda, roubo, acesso indevido ou não autorizado podem trazer sérios problemas para a reputação, imagem, ações judiciais, gerar passivo trabalhista e prejuízos financeiros diretos com eventual perda de competitividade para a Eight Consultoria

Exemplos: Atas de reuniões estratégicas, contratos com clientes e fornecedores, informações sobre os projetos com os clientes, balanço da empresa, informações pessoais e privadas dos colaboradores ou sócios, informações sobre o método da Eight Consultoria, know-how relativo a serviços, feedback dos colabores etc.

A partir da definição acima, a Eight Consultoria se empenhará para manter controles, conforme o nível de criticidade das informações e dados, sendo certo de que a prioridade será escalonada na seguinte ordem de relevância: Públicas, Internas, Restritas, Confidenciais.

A partir desse ponto, passamos a mencionar os procedimentos de prevenção e proteção adotados pela Eight Consultoria:

Disponibilização e uso

Conforme anteriormente citado, todo o processo de criação e exclusão de usuário, permissão de acesso, entre outras funcionalidades informáticas, são realizados por um responsável interno. A disponibilização de acesso aos dados da Eight Consultoria respeita as seguintes regras:

• A cada novo Colaborador, deverá ser autorizado, mediante solicitação, a criação de novo usuário e a disponibilização técnica de recursos;
• Todos os softwares e permissões acessos devem ser testados, homologados e autorizados pelo responsável por esta função;
• A identificação do usuário é feita através do login e senha, que através do registro de logs utilizado pela Eight Consultoria é sua assinatura eletrônica no servidor externo utilizado pela Eight Consultoria;

I. Responsabilidades do usuário

O Colaborador deve adotar um comportamento seguro condizente com a Política, devendo:

• Não compartilhar nem divulgar sua senha a terceiros;
• Não transportar Informações Confidenciais da Eight Consultoria em qualquer meio (CD, DVD, pen-drive, papel, etc.) sem as devidas autorizações e proteções;
• Não abordar assuntos confidenciais de trabalho em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais etc.);
• Não abrir mensagens de origem desconhecida, ou links suspeitos mesmo que advindos de origem conhecida;
• Armazenar e proteger adequadamente documentos impressos e arquivos eletrônicos que contêm Informações Confidenciais; e
• Seguir corretamente a política para uso de internet e correio eletrônico estabelecida pela Eight Consultoria.

II. Uso de correio eletrônico particular

• É proibido a utilização profissional de correio eletrônico particular.
• A Eight Consultoria disponibiliza endereços de seu correio eletrônico para utilização do usuário no desempenho de suas funções profissionais. (usuario@eightconsultoria.com)
• O endereço eletrônico disponibilizado para o usuário é individual, intransferível e pertence à Eight Consultoria.
• O endereço eletrônico cedido para o usuário deve ser o mesmo durante todo o seu período de vínculo com a Eight Consultoria.
• Se houver necessidade de troca de endereço, a alteração será realizada pelo responsável interno.
• O endereço de correio eletrônico disponibilizado para os Colaboradores e as mensagens associadas a este correio eletrônico são de propriedade da Eight Consultoria.

III. Acesso à distância ao e-mail

O usuário pode acessar o seu correio eletrônico cedido pela Eight Consultoria mesmo quando estiver fora do ambiente da empresa, através do serviço de correio eletrônico via Internet.

O Colaborador deve ter o mesmo zelo com a utilização do correio eletrônico à distância tal qual estivesse no ambiente físico da Eight Consultoria.

IV. Responsabilidades e forma de uso de Correio Eletrônico

O Colaborador que utiliza um endereço de correio eletrônico é responsável por todo acesso, conteúdo de mensagens e uso relativos ao seu e-mail, podendo enviar mensagens necessárias para o seu desempenho profissional na Eight Consultoria.

É proibido criar, copiar ou encaminhar mensagens ou imagens que:

• Contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza; • Façam parte de correntes de mensagens, independentemente de serem legais ou ilegais;
• Repassem propagandas ou mensagens de alerta sobre qualquer assunto.
• Menosprezem, depreciem ou incitem o preconceito a determinadas classes, como sexo, raça, orientação sexual, idade, religião, nacionalidade, local de nascimento ou deficiência física;
• Possuam informação pornográfica, obscena ou imprópria para um ambiente profissional;
• Sejam suscetíveis de causar qualquer tipo de prejuízo a terceiros;
• Defendam ou possibilitem a realização de atividades ilegais;
• Sejam ou sugiram a formação ou divulgação de correntes de mensagens;
• Possam prejudicar a imagem da Eight Consultoria; e

É proibido reproduzir qualquer material recebido pelo correio eletrônico ou outro meio, que possa infringir direitos de autor, marca, licença de uso de programas ou patentes existentes, sem que haja autorização expressa do autor do trabalho e da organização.

O Colaborador deve estar ciente que uma mensagem de correio eletrônico da Eight Consultoria é um documento formal e, portanto, possui as mesmas responsabilidades de um documento convencional em papel timbrado da entidade.

Exceto quando especificamente autorizado para tal, é proibido emitir opinião pessoal, colocandoa em nome da Eight Consultoria.

Deve observar se o endereço do destinatário corresponde realmente ao destinatário desejado.

O Colaborador deve ser diligente em relação:

• Usuários que receberão a mensagem (Destinatário/ To, Copiado/Cc e Copiado Oculto/Bcc);
• Nível de sigilo da informação contida na mensagem;
• Anexos da mensagem, enviando os arquivos apenas quando for imprescindível e garantindo a confidencialidade dos mesmos;
• Uso da opção encaminhar (Forward), verificando se é necessária a manutenção das diversas mensagens anteriores que estão encadeadas.

O Colaborador deve deixar mensagem de ausência quando for passar um período maior do que 24 (vinte e quatro) horas sem acessar seu correio eletrônico. Essa mensagem deve indicar o período de ausência e o endereço do substituto para quem deve ser enviada a mensagem.

V. Contratação de Terceiros para Serviços de Armazenamento na Nuvem

Com vistas a garantir a segurança e confidencialidade dos dados, protegendo-os contra acesso não autorizado, divulgação, alteração ou destruição acidental ou ilícita, nossos dados são armazenados em servidores de nuvem externos à Eight Consultoria de alto padrão de segurança, com provedores de confiança e amplamente certificados nos frameworks internacionais do mais elevado padrão de rigor, como o Google Workspace.

O Google Workspace utiliza uma combinação de medidas técnicas e práticas de segurança para garantir a confidencialidade, integridade e disponibilidade dos dados armazenados, tais como:

Firewalls de rede

O Google utiliza firewalls de rede para proteger os data centers e infraestrutura subjacente do Google Workspace. Esses firewalls são configurados para controlar o tráfego de rede e filtrar pacotes indesejados ou maliciosos.

Sistema de Detecção e Prevenção de Intrusões (IDS/IPS)

O Google implementa IDS/IPS para monitorar e detectar atividades suspeitas ou maliciosas em tempo real. Isso inclui a identificação de tentativas de intrusão, ataques de negação de serviço e outras atividades anormais.

Web Application Firewall (WAF)

O Google utiliza WAF para proteger as aplicações web contra ataques comuns, como injeção de SQL, cross-site scripting (XSS) e outros tipos de explorações. O WAF ajuda a identificar e bloquear tráfego malicioso antes que ele atinja as aplicações.

Proteção contra ameaças

O Google Workspace possui recursos de detecção de ameaças integrados, como proteção contra phishing e malware. Isso ajuda a identificar e bloquear emails e links maliciosos, protegendo contra ataques cibernéticos.

Gateways de API

O Google utiliza Gateways de API para proteger as APIs e serviços do Google Workspace contra acesso não autorizado, além de gerenciar a autenticação e autorização de solicitações de API.

Testes de segurança (TDD)

O Google realiza testes de segurança rigorosos, como Testes de Destruição Distribuída (TDD), para avaliar a resiliência de sua infraestrutura e serviços. Esses testes ajudam a identificar e corrigir possíveis vulnerabilidades.

Criptografia de dados em trânsito

Todas as comunicações entre qualquer dispositivo e os servidores do Google são criptografadas usando protocolos seguros, como o HTTPS, para evitar o acesso não autorizado aos dados durante a transferência.

Criptografia de dados em repouso

Os dados armazenados nos servidores do Google são criptografados quando estão em repouso. Isso significa que mesmo que alguém obtenha acesso físico aos servidores, os dados permanecem ilegíveis sem a chave de criptografia adequada.

Autenticação de dois fatores (2FA)

O Google Workspace suporta a autenticação de dois fatores, que adiciona uma camada adicional de segurança para proteger as contas. Isso requer que os usuários forneçam um segundo fator de autenticação, como um código enviado para um dispositivo móvel, além da senha.

Controles de acesso granulares

O Google Workspace oferece controles de acesso granulares, permitindo que os administradores configurem permissões de usuário específicas para diferentes serviços e dados. Isso ajuda a garantir que apenas as pessoas autorizadas tenham acesso apenas às informações e recursos necessários para desempenhar suas funções. Além disso, a hierarquização de acessos permite um controle mais preciso e simplificado da segurança da informação em toda a organização.

• Contas de usuário e grupos
O Google Workspace permite a criação de contas de usuário para cada membro da organização. Os administradores podem atribuir funções específicas a cada usuário com base em suas responsabilidades, e criar grupos para facilitar a atribuição de permissões em massa.

• Políticas de acesso
É possível definir políticas de acesso personalizadas para diferentes grupos ou unidades organizacionais. Essas políticas podem determinar quais serviços estão disponíveis para cada grupo, bem como os níveis de acesso e permissões associados.

• Administração centralizada
O Google Workspace fornece um painel de administração centralizado que permite aos administradores gerenciar e controlar as configurações de acesso para toda a organização. Isso inclui a criação e remoção de contas de usuário, atribuição de funções e permissões, e configuração de políticas de segurança.

• Delegação de acesso
Os administradores podem delegar acesso a determinadas funções ou recursos para usuários específicos. Isso permite que diferentes equipes ou departamentos tenham controle sobre seus próprios recursos, enquanto a administração central mantém o controle geral.

• Auditoria e registros de atividades
O Google Workspace registra detalhadamente as atividades dos usuários e fornece recursos de auditoria para ajudar a monitorar o acesso e detectar possíveis violações de segurança. Os registros de atividades podem ser analisados para rastrear quem acessou quais recursos e quando.

Monitoramento e análise de segurança
O Google realiza monitoramento constante e análise de segurança para identificar atividades suspeitas, anomalias e possíveis ameaças. Isso inclui a análise de registros de atividades, detecção de padrões de comportamento incomuns e uso de inteligência artificial para identificar possíveis ameaças.

Com essas e outras medidas, a Eight Consultoria visa mitigar ao máximo os riscos de incidentes de segurança que possam acometer aos dados por ela tratados e, mesmo na improvável hipótese de algo assim ocorrer, temos o compromisso de identificar, detectar, proteger e responder a incidentes com a máxima eficiência, informando, sempre que necessário, a sua ocorrência, caso possa representar risco à privacidade dos titulares.

VI. Backup e Recuperação de Dados

Em relação às rotinas de backup e recuperação de dados, o Google Workspace implementa uma infraestrutura robusta para garantir a disponibilidade contínua dos serviços e a recuperação de dados, se necessário. Isso envolve:

Redundância de dados
Os dados do Google Workspace são replicados em vários servidores e data centers geograficamente distribuídos. Isso garante que, mesmo em caso de falhas ou interrupções, os dados possam ser acessados a partir de cópias alternativas.

Backup contínuo
O Google realiza backups regulares dos dados armazenados no Google Workspace, protegendo contra a perda de informações em caso de falhas catastróficas. Esses backups são criptografados e mantidos de forma segura.

Recuperação de desastres
Se ocorrer um evento que afete a disponibilidade dos serviços, o Google possui processos de recuperação de desastres para restaurar os serviços e os dados associados o mais rápido possível.

É importante ressaltar que o Google Workspace oferece uma infraestrutura de segurança robusta, mas é responsabilidade da Eight Consultoria adotar boas práticas de segurança, como senhas fortes, autenticação de dois fatores e proteção adequada dos dispositivos utilizados para acessar os serviços.

Conforme as melhores práticas de mercado, a Eight Consultoria desenvolveu um Plano de Resposta para indícios, suspeita fundamentada, vazamento de Informações Confidenciais ou outra falha de segurança.

Na hipótese de verificação de uma das hipóteses acima, inclusive em decorrência da ação de criminosos cibernéticos, as providências pertinentes deverão ser iniciadas, devendo cada área responsável agir conforme o disposto na presente Política, a fim de eliminar por completo, minimizar ou mitigar seus impactos e proteger os interesses de todas as partes interessadas.

Estas providências consistem em:

Empresa de TI Terceirizada:
a) Verificação e Auditoria dos Logs;
b) Criação de laudo pericial contendo as informações que foram potencialmente vazadas;
c) Execução de aplicativos externamente ou em sistemas afetados para eliminar aplicativos indesejados;
d) Desinstalação de software;
e) Execução de varreduras offline para descobrir quaisquer ameaças adicionais;
f) Formatação e reconstrução do sistema operacional;
g) Investigação interna para identificar a causa raiz e o impacto do incidente. Será elaborado um relatório detalhado que incluirá as descobertas da investigação, as medidas tomadas e as recomendações para evitar incidentes futuros.
g) Entre outros.

Jurídico Contratado:

a) Criação de relatório baseado no laudo pericial elaborado pela Empresa de TI Terceirizada, de forma a constar eventuais consequências reputacionais e jurídicas derivadas dos danos ocasionados pelo incidente de segurança;
b) Em caso de confirmação do incidente de segurança e eventual vazamento de informações confidenciais, notificação aos clientes afetados informando o ocorrido, para que possam tomar as medidas de contingência cabíveis.

BackOffice:

a) Análise de dados perdidos e suas influências frente ao planejamento contábil e aos ativos da Companhia;
b) Realizar planejamento de contenção de risco de liquidez frente a possibilidade de resgate de investimentos da Eight Consultoria resultantes do incidente de segurança.

Em caso de necessidade, poderá ser contratada empresa especializada no combate ao evento identificado, assim como nas respostas ao eventual dano.

Todo e qualquer incidente ocorrido, assim como os resultados do Plano de Resposta, deverão ser devidamente classificados por nível de severidade, arquivados e documentados.

A Eight Consultoria deverá realizar, em caso de incidente que afetem os dados pessoais que realize tratamento, a comunicação tempestiva às partes afetadas, bem como à Autoridade Nacional de Proteção de Dados (“ANPD”).

Caso o evento tenha sido causado por algum Colaborador, deverá ser avaliada a sua culpabilidade.