Cresol > Segurança e Privacidade

Segurança e Privacidade

A Cresol, reforça seu compromisso com a Privacidade e Proteção dos Dados Pessoais de todos os cooperados em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Leia a Política Completa

Segurança Digital Privacidade e LGPD

Segurança Digital

A Cresol investe continuamente em tecnologias para proteger suas transações. Reunimos alguns pontos importantes para garantir a sua proteção:

Senhas fortes

Utilize senhas seguras de seis a oito dígitos, incluindo números, letras maiúsculas e minúsculas, além de caracteres especiais. Evite utilizar datas de aniversário e/ou nome/sobrenome.

Autenticação em dois fatores

Esta ação traz segurança extra às senhas para que somente você possa fazer login em suas contas. Ative no celular e nas redes sociais.

Cuidado com seus dados pessoais

Não compartilhe dados pessoais, dados de seu cartão e senhas por ligação telefônica, SMS, WhatsApp ou e-mail.

Não clique em links desconhecidos

A cooperativa não envia links via WhatsApp e SMS solicitando a instalação de aplicativos ou confirmando compras em seu nome.

Dispositivos

Procure sempre manter os aplicativos dos seus dispositivos atualizados através das lojas oficiais.

Atenção!

Caso desconfie do vazamento de seus dados e/ou credenciais, procure a agência mais próxima e cadastre novas senhas.

Roubaram seu celular?

Imagine que seu aparelho celular foi roubado ou então perdido. Sabemos que nossos celulares guardam muitas informações valiosas e dados que podem ser utilizados para aplicar golpes.

Por isso, mesmo que o aplicativo da Cresol possua segurança e seja confiável, é essencial adotar cuidados para manter sua conta protegida em casos como esses.

Previna-se:

Não anote suas senhas no celular, não compartilhe senhas por mensagens e use senhas diferentes para contas.
Ative bloqueio de tela seguro e utilize o duplo fator de autenticação nas plataformas que acessa.
Não salve senhas em navegadores, anote o IMEI em local seguro e delete mensagens e fotos sensíveis.

Perda de cartão ou transações desconhecidas:

4007 1600 (Capitais) | 0800 704 7500 (Demais regiões)

Celular furtado (Bloqueio de conta):

(46) 3904-0054 | (46) 3904-0241

Seg a Sex: 07h às 23h | Finais de semana e feriados: 09h às 18h

Segurança Digital - Pessoa segurando celular

Dados que a Cresol não solicita para você

Juntos, protegemos sua segurança e privacidade.

Passar a senha

Sua senha é pessoal e intransferível. Por isso, não deve ser compartilhada com ninguém.

Acesso remoto

A Cresol nunca solicita acesso à distância ao seu dispositivo ou computador.

Instalação de app

Desconfie! A Cresol não pede para baixar aplicativos além dos oficiais da cooperativa.

Transações de teste

Não é uma prática da cooperativa solicitar que você faça uma transação de teste.

Links

A Cresol não envia links via WhatsApp e SMS. Na dúvida, não clique!

Prevenção contra fraudes

A Cresol nunca liga solicitando senhas, códigos de autenticação (tokens), atualizações de módulo de segurança ou pedindo para realizar transferências.

FIQUE MAIS SEGURO

Golpes e fraudes: tudo o que você precisa saber

Preparamos um e-book completo sobre os principais golpes e fraudes na internet. Entenda como se proteger!

Baixar e-book

Fique atento aos principais golpes e fraudes:

Veja como reconhecer e se proteger de cada um.

Golpe do falso empréstimo

Golpe do WhatsApp

Falso colaborador

Falso leilão

Boleto fraudulento

Falso intermediário

Falso emprego

Falso investimento

Golpe da mão fantasma

Golpe do DDA capital

Golpe do código de segurança

Golpe do SMS

Golpe da atualização cadastral

Golpe do motoboy

Golpe da maquininha quebrada

Golpe da linha presa

Golpe do FGTS

Golpe da taxa de presente

Comunique sua Agência

Busque contato imediato com a sua agência de relacionamento para relatar o ocorrido e iniciar os procedimentos de bloqueio e tentativa de recuperação.

Registre o B.O.

Faça um Boletim de Ocorrência (presencial ou online) com o máximo de detalhes. Denunciar é vital para ações preventivas.

Redefina Senhas

Altere suas senhas imediatamente e ative a autenticação de dois fatores (2FA) em suas contas e aplicativos sempre que possível.

Golpe via Pix? Use a opção "Me Ajuda"

No app Cresol > aba Pix > "Me Ajuda". Informe data e valor. A Cresol retornará via e-mail oficial (fique atento à caixa de entrada e spam).

Política de Segurança Cibernética

Apresenta a versão resumida da Política de Segurança Cibernética e da Informação do Sistema Cresol e seu objetivo é estabelecer diretrizes e responsabilidades sobre os principais aspectos relacionados ao tema, firmando compromisso de proteção de dados refletindo valores e visando preservar a confidencialidade, integridade, disponibilidade, rastreabilidade e conformidade de todas as informações sobre a gestão do Sistema Cresol, de forma a prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético , os aspectos abordados neste documento refletem os pontos abordados na atual “Política de Segurança Cibernética e da Informação do Sistema Cresol” em sua versão completa e nas melhores práticas em Segurança da Informação.

Esta Política é mandatória e destina-se a todos os dirigentes e colaboradores da Confederação, Cooperativas Centrais e das Cooperativas Singulares, assim como às instituições Coligadas às Centrais. Aplica-se também aos fornecedores e prestadores de serviço contratados pelo Sistema Cresol.

Ameaça: Qualquer causa potencial de um incidente que possa resultar em impacto nos objetivos do negócio. As ameaças podem ser internas ou externas, intencionais ou não.
Autenticação Multifator MFA: Processo de segurança que exige que um usuário forneça mais de uma forma de identificação para se autenticar em um sistema ou conta.
Biometria: Verificação da identidade de um indivíduo por meio de uma característica física.
Computação em Nuvem (Cloud Computing): Também conhecida como Cloud Computing, é uma tecnologia que usa a conectividade e a grande escala da internet para hospedar os mais variados sistemas, recursos, programas e informações. Dessa forma, a computação em nuvem permite que as organizações e usuários os acessem por meio de qualquer dispositivo conectado à internet.
Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas devidamente autorizadas.
Controle: Qualquer recurso ou medida que assegure formas de tratamento de riscos, incluindo a redução, eliminação ou transferência. A implantação e manutenção adequada de controles materializa a segurança das informações. Podem ser interpretados como controles: políticas, processos, estruturas organizacionais, técnicas padrões, software, hardware e outros.
Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Hardening: Processo que reforça a segurança de sistemas, dispositivos e redes, reduzindo suas vulnerabilidades e pontos de falha. Isso é feito através de ajustes e parametrizações em configurações padrão de fábrica que eliminam ou reduzem os riscos ao desabilitar componentes e recursos desnecessários, garantir a atualização dos pacotes de segurança, configuração de permissões de acesso e etc.
IDS (Intrusion Detection System): (Sistema de Detecção de Intrusão) monitora o tráfego de rede, identifica atividades suspeitas e envia alertas.
Informação: Qualquer conjunto de dados que possua algum propósito e valor para o Sistema Cresol, seus clientes, parceiros e colaboradores, processados ou não, que podem ser utilizados para produção e transmissão de ideias, contidos em qualquer meio, suporte ou formato, podendo estar na forma escrita, verbal ou imaginada, e em meio digital ou físico.
Integridade: Garantia da exatidão e completeza da informação para que não seja modificada ou excluída sem a devida autorização.
IPS (Intrusion Prevention System): (Sistema de Prevenção de Intrusão) faz o mesmo, mas também toma ações automáticas para bloquear e impedir o tráfego malicioso, como interromper uma conexão.
Melhores Práticas de Segurança da Informação: São consideradas as recomendações contidas em normas e instituições como: ISO/IEC 27001, ISO/IEC 31000, OWASP, NIST , ISACA, SANS.
Recurso: Qualquer ativo, tangível ou intangível, pertencente, a serviço ou sob responsabilidade do Sistema Cresol, que possua valor para a instituição. Podem ser considerados recursos: pessoas, ambientes físicos, tecnologias, serviços contratados, em nuvem, sistemas e processos.
Risco: Qualquer evento que possa afetar a capacidade da companhia de atingir seus objetivos e sua estratégia de negócios.
SaaS (Software as a Service): É um modelo de distribuição de software em que as aplicações são hospedadas na nuvem e acessadas pela internet, geralmente por meio de assinatura.
Segurança da Informação (SI): Proteção das informações, sendo caracterizada pela preservação da confidencialidade, integridade, disponibilidade e conformidade.
Token: Dispositivo ou código gerado para autenticar a identidade de um usuário ou para fornecer acesso seguro a sistemas, servindo como uma camada adicional de segurança, geralmente no processo de autenticação, confirmando que o usuário tem permissão para acessar determinado recurso.

A Segurança da Informação tem como princípios básicos a proteção da Confidencialidade, Integridade e Disponibilidade das informações, considerando que as informações e ativos de informação possuem alto valor e relevância para a Cresol. A área de Segurança da Informação da Confederação deve ser consultada nos casos de entendimentos que estejam em desacordo ao apresentado neste documento. Abaixo seguem as diretrizes organizadas por tema.

I. Aquisições, desenvolvimento, contratações e manutenções de Tecnologia da Informação devem ser gerenciadas pelos times de Tecnologia da Informação de acordo com sua responsabilidade e através de inventários devidamente atualizados. Devem existir garantias para:

adoção e manutenção dos requisitos previamente definidos nos baselines, padrões e normas de segurança da informação;
atendimento aos requisitos de segurança necessários para assegurar a confidencialidade, integridade e disponibilidade de sistemas e informações;

II. Na contratação de serviços de tecnologia e similares, os contratos devem conter cláusulas de confidencialidade, responsabilidade pela proteção da informação, não divulgação e descarte das informações.

Classificação da Informação

A informação é um ativo e, assim como qualquer outro, também possui valor agregado aos negócios. A violação da confidencialidade, integridade ou disponibilidade das informações podem causar prejuízos ao Sistema Cresol.

Toda informação do Sistema Cresol deve ser classificada e tratada conforme seu grau de sensibilidade e criticidade pelos respectivos proprietários, responsáveis e usuários da informação. O Sistema Cresol adota uma matriz de quatro níveis:

I. Confidencial - São informações estratégicas que requerem tratamento especial, pois sua revelação não autorizada ou uso indevido pode comprometer exigências legais, planos, projetos, processos, sistemas ou objetivos neles previstos ou referidos. A divulgação e tratamento indevido dessas informações representa vantagem relevante para a concorrência e pode afetar drasticamente os resultados financeiros (desvalorização, rompimento de contrato) entre outros danos irreparáveis. Dados pessoais e dados pessoais sensíveis são considerados informações confidenciais, portanto, devem ser tratados de forma adequada e somente para cumprir o propósito o qual foi coletado e armazenado.

II. Restrita - Informações destinadas a determinados grupos, áreas ou cargos os quais necessitam delas para execução de suas atividades.

Importante mencionar que a informação Interna pode circular livremente dentro do Sistema Cresol e a Restrita, não. A divulgação ou tratamento indevido dessas informações pode representar desvantagem e resultar em perdas.

III. Interna - São informações específicas para uso interno que circulam de forma irrestrita dentro do sistema Cresol para colaboradores. Não devem ser distribuídas fora do âmbito corporativo, pois caracterizam-se como “informações sensíveis” e, sua divulgação ou tratamento indevido pode representar desvantagem e resultar em perdas.

IV. Pública - Informações que podem ou devem ser divulgadas externamente, não se caracterizam como “informações sensíveis” e são distribuídas pelos canais apropriados e oficiais da Cresol.

Todas essas diretrizes fazem parte da Norma de Classificação da Informação do Sistema Cresol, portanto, consulte-a para maiores detalhes sobre este tema.

Conformidade

I. O cumprimento e aderência às leis, regulamentações, documentos internos, obrigações contratuais e padrões de segurança, são obrigatórios e devem ser garantidos por todos os colaboradores, parceiros, fornecedores, prestadores de serviço e demais envolvidos.

II. Os colaboradores são responsáveis por manter as informações do Sistema Cresol em locais seguros. Isso se aplica a informações impressas, escritas em quadros ou em outras mídias físicas.

Conscientização e Divulgação de Segurança Cibernética e da Informação

I. Esta Política, e demais documentos internos referentes ao tema, devem ser amplamente divulgadas para todos colaboradores, parceiros, fornecedores, prestadores de serviço e demais envolvidos.

II. Programas de conscientização, treinamento, divulgação e reciclagem do conhecimento da Política de Segurança Cibernética e da Informação devem ser estabelecidos e praticados periodicamente para garantir que todos os colaboradores e terceiros conheçam as diretrizes e responsabilidades relacionadas à segurança das informações pelo menos anualmente.

I. Estabelecer, documentar, implantar e manter um plano para continuidade dos serviços e processos de negócios da Cresol. O modelo a ser adotado para a Gestão de Continuidade de Negócios deverá ser baseado na Norma ISO 22301 ou equivalente.

II. O Plano de Continuidade de Negócios e respectivos procedimentos operacionais que o compõem devem ser testados ao menos uma vez ao ano para comprovar sua eficácia e os resultados devem ser registrados para avaliações e melhorias no processo.

III. Na ocorrência da ativação de Plano de Continuidade de negócio, o qual pode caracterizar indisponibilidade de serviços aos cooperados, o Sistema Cresol comunicará de forma tempestiva o Banco Central.

Segurança Física

I. Os equipamentos e instalações de processamento de informação críticas ou sensíveis, bem como as próprias informações sensíveis, deverão ser mantidos em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais. As respectivas áreas, devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

II. Os acessos às instalações do Sistema Cresol deverão ser feitas somente mediante autorização de colaboradores responsáveis e mediante identificação do visitante, com exceção dos locais de acesso público, por exemplo, agências e recepções de unidades.

III. Nenhum visitante tem a autorização de circular pelas dependências do Sistema Cresol sem estar acompanhado por um colaborador do Sistema Cresol.

IV. Devem existir circuitos internos de câmeras de vídeo, instaladas em locais estratégicos. As imagens obtidas devem ser preservadas com segurança.

Acesso Lógico

I. Os acessos lógicos para qualquer sistema, plataforma ou tecnologia quer seja interno ou em nuvem, de propriedade ou uso do Sistema Cresol devem ser geridos de maneira centralizada e controlada.

II. Os acessos devem ser individuais, nominais e vinculados às permissões de acordo com a função exercida, seguindo os princípios de "necessário para saber, segregação de funções e mínimo conhecimento" e ingressar nos sistemas através de autenticação segura. Ou seja, protegido por credenciais de acesso, certificados, tokens ou qualquer outro método seguro de identificação e autenticação, precisam oferecer (exigir) a criação de senhas complexas/fortes.

III. Deve existir controles para garantir o ciclo de vida de um acesso, que contemple: Criação, modificação, suspensão, bloqueio e exclusão de cada usuário criado no ambiente tecnológico do Sistema Cresol. Todos os acessos e respectivas permissões devem passar periodicamente por revisões.

IV. É proibido transferir, compartilhar, emprestar ou revelar a senha das credenciais de acesso concedidas pela instituição.

Gestão de Riscos de Segurança da Informação

I. A Gestão de Riscos de Segurança da Informação deve ser realizada através de um processo estruturado que contemple a identificação, análise, avaliação, priorização, comunicação, tratamento e monitoração dos riscos que podem afetar negativamente os negócios da Cresol, levando em conta aspectos processuais, tecnológicos, humanos, legais, regulatórios e relacionados à privacidade.

II. O processo de gestão de riscos deve contemplar todos os ativos, tecnologias ou processos, quer sejam eles internos, em nuvem ou conduzidos por parceiros, para reduzir os níveis de risco, levando em conta a relevância do ativo, probabilidade e o impacto da exploração de vulnerabilidades associadas aos riscos.

III. Toda avaliação de risco deve ter ao menos um responsável estratégico e um responsável técnico atribuídos. Os responsáveis estratégicos devem tomar a decisão de eliminar, evitar, modificar, reter ou compartilhar o risco e definir a priorização do tratamento dos riscos identificados com nível alto ou médio. O monitoramento dos riscos deve ser realizado periodicamente pelos responsáveis pelo risco e pela área de Gestão de Riscos de Segurança da Informação.

Incidentes de Segurança da Informação

I. A Cresol considera que incidentes de segurança da informação são quaisquer eventos adversos de segurança, confirmados ou sobre suspeita, que levem ou possam levar ao comprometimento de um ou mais princípios básicos de Segurança da Informação: confidencialidade, integridade e disponibilidade.

II. Violações ou tentativas de violação desta política, demais documentos internos ou de controles de segurança da informação, intencionais ou não, são considerados incidentes de segurança.

III. Deve existir um processo definido, implementado e amplamente divulgado para a gestão e respostas a incidentes de segurança da informação. Este deve ser revisado no máximo anualmente ou em situações de alterações significativas.

IV. Todos os colaboradores, terceiros e demais entidades com algum relacionamento contratual devem estar cientes e treinados para identificar e comunicar um incidente de segurança da informação.

V. Uma equipe específica e designada deve existir para monitorar, identificar, classificar, tratar, comunicar e resolver todos os incidentes identificados.

Monitoramento

I. Todas as ações de colaboradores e visitantes, realizadas nas dependências do Sistema Cresol ou remotamente, abrangendo o acesso físico e a utilização de recursos de tecnologia da informação e comunicação, podem ser monitoradas.

II. As áreas de TI e de Segurança da Informação são responsáveis por monitorar e garantir a privacidade dos registros. Os respectivos registros obtidos através de monitoramento poderão ser utilizados em processos de investigação de incidentes e suspeitas de violação.

Utilização de Recursos de Tecnologia da Informação

I. Os recursos de tecnologia da informação de propriedade do Sistema Cresol são destinados exclusivamente à finalidade laboral dos colaboradores, terceiros e demais profissionais. Entende-se como recursos: Sistemas, programas, dados, informações, usuário/senhas, documentos, internet, e-mail, computadores, notebooks e etc.

II. O uso destes recursos deve estar dentro do escopo das funções atribuídas ao usuário e previamente aprovadas.

III. Não é permitida aos Colaboradores e Terceiros a instalação de qualquer software ou a alteração de parâmetros de configuração de computadores do Sistema Cresol.

Segurança em Redes

I. Devem existir controles tecnológicos para proteger e segregar o acesso entre redes (ex: Internet, redes públicas, extranets, acesso remoto, sistemas, wireless etc).

II. A segurança em redes deve considerar dispositivos capazes de identificar e tratar comportamentos anômalos, suspeitos ou mesmo indevidos. A implementação de dispositivos do tipo IDS/IPS deve ser considerada para tal identificação.

III. Os equipamentos de proteção devem possuir mecanismos robustos para autenticação, tais como: token, MFA, biometria e etc. Os acessos privilegiados devem ser fortemente controlados e monitorados.

IV. A prática de hardening, ou seja, customização com padrões de segurança deve ocorrer nos dispositivos de rede sempre antes de colocá-los em serviço.

Registros de Auditoria

I. Todas as ações de usuários, sistemas e qualquer evento de Segurança da Informação devem gerar trilhas de auditoria (logs), que deverão ser mantidas por um período mínimo de 5 anos, em local centralizado e protegido contra acessos não autorizados, quando possível.

II. Os logs devem ser integralmente protegidos contra acessos indevidos, alterações e exclusões, até mesmo por usuários privilegiados e administradores. A exclusão somente poderá ocorrer com expressa autorização.

Backups, arquivamento e restaurações

I. A área de Tecnologia da Informação deve determinar os recursos requeridos para cumprir com os requerimentos mínimos de respaldo dos ativos de informação, conforme definido pelos proprietários da informação.

II. A área de TI deverá estabelecer um plano de backup para cumprir com esses requisitos e deverá estabelecer mecanismos para a correta execução das rotinas, além disso, devem ser validados os resultados da realização dos backups, sendo que as falhas deverão ser reportadas como incidente de segurança.

III. O tempo necessário para que a informação seja mantida deverá estar de acordo com as necessidades do negócio e deve levar em consideração as exigências das leis vigentes.

Análise de Vulnerabilidade Técnicas

I. Periodicamente, devem ser realizados testes de vulnerabilidades técnicas dos equipamentos e sistemas de infraestrutura que sustentam os processos críticos.

II. Os testes devem ser registrados para avaliação e identificação de melhorias contínuas.

III. A organização deve considerar a contratação de uma entidade externa para realizar testes de vulnerabilidades nos sistemas da Cresol para aumentar a percepção e respectivos níveis de controles de segurança.

Proteção contra códigos maliciosos

I. Devem ser implementados controles para a proteção em todos os equipamentos de processamento de informação que executem algum tipo de sistema operacional ou software (tanto de usuário final como servidores e demais dispositivos) para a prevenção, detecção, correção e erradicação de códigos executáveis maliciosos.

II. A proteção deve estar sempre atualizada e implementada em todos os recursos.

Troca de informações

I. A transmissão digital de informações através de canais de comunicação não seguros deve ser protegida de acordo com o nível da classificação da informação, especialmente analisando a necessidade de utilização de criptografia.

II. A transmissão física de informações digitais deve ser protegida conforme sua classificação. Rótulos, lacres, assinaturas e criptografia devem ser considerados.

III. As áreas internas devem sempre utilizar os canais de comunicação seguros (STCP, VPN, SSH, etc.) para troca de informações confidenciais entre parceiros e fornecedores, quando possível.

Quando não for possível utilizar esse canal a informação deve ser protegida com criptografia ou senha forte, para evitar vazamento das informações.

Controles Criptográficos

I. Deverão ser utilizados controles criptográficos para proteger as informações segundo os requisitos da sua classificação. Somente algoritmos de criptografia aprovados pela área de Segurança da Informação podem ser utilizados nas soluções e sistemas.

II. O gerenciamento das chaves de criptografia deve prever mecanismos para o armazenamento seguro, geração e destruição da chave.

III. As chaves de criptografia devem ser trocadas periodicamente.

IV. Caso seja comprometida uma chave criptográfica, deve ser revogada imediatamente. Se for uma chave para criptografia de arquivos, deve ser trocada.

Aquisição, Desenvolvimento e Manutenção Segura de Sistemas

I. Sistemas da informação desenvolvidos ou adquiridos devem contar com atributos e funcionalidades de segurança. Os requerimentos devem ser documentados na fase de concepção do sistema para assegurar que as demandas de segurança sejam atendidas. A adoção de pŕaticas de desenvolvimento seguro são obrigatórias.

II. O acesso ao código fonte das aplicações deve ser rigorosamente protegido por se tratar de informação confidencial e de propriedade da Cresol.

III. Os ambientes de desenvolvimento, teste e produção devem ser segregados para evitar que dados de um ambiente sejam utilizados em outro.

IV. Dados reais de produção não devem ser utilizados em outros ambientes.

V. Termos de confidencialidade e demais documentos similares que comprovem a ciência e aceite sobre esta e demais documentos internos, devem ser devidamente assinados pelos terceiros e prestadores de serviços.

VI. O desenvolvimento de sistemas por parte de terceiros, deverá ser controlado e auditado por pessoal técnico do Sistema Cresol.

Serviço de Nuvem

I. Toda e qualquer contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem deverá ser previamente comunicada ao Banco Central do Brasil.

II. Os serviços para processamentos de dados e/ou armazenamento em nuvem, sejam eles software como serviço (SaaS) ou armazenamento da base de dados devem estar armazenados em mídias criptografadas, em canais de tráfego de dados com protocolos seguros, com métodos de autenticação segura e duplo-fator, possuir segregações de ambientes.

III. Os serviços em nuvem ou serviço (SaaS) devem preferencialmente ter suas informações armazenadas em território brasileiro, na ausência da possibilidade, devem estar em países que possuam acordo de bilateralidade de transferências de dados com o Brasil ou prévia autorização do Bacen, de acordo com a Resolução 4.893, sendo responsável o Sistema Cresol requerer as informações dos países onde os dados se encontram, bem como a existência de cláusulas em contratos que comportem as obrigações de fornecedores a transferência de dados ao Sistema Cresol.

IV. Deve ser avaliada a existência/eficácia de controles no prestador de serviços em cloud.

Prevenção ao tratamento de incidente por Prestadores

I. Deve-se avaliar os potenciais fornecedores, prestadores e demais terceirizados para garantir que estes possuam controles adequados e suficientes de segurança para assegurar níveis de proteção minimamente maduros e em conformidade com melhores práticas, leis, regulamentações, contratos e demais exigências.

II. Os prestadores deverão, contratualmente, colaborar com eventuais processos de auditoria e/ou avaliação para comprovar conformidade de controles e respectivos níveis de maturidade. É esperada a colaboração para disponibilização de acesso às evidências, documentos e demais insumos solicitados pelas equipes da Cresol.

III. Devem existir canais de comunicação ágeis para comunicar incidentes à Cresol no menor tempo possível, mesmo que estejam sob suspeita. As comunicações devem conter riqueza de detalhes para facilitar o processo de resposta a incidentes. Relatórios sobre os incidentes, confirmados ou não, que contenham informações sensíveis ou dados pessoais, também devem ser encaminhados ao Sistema Cresol.

IV. Devem ser previamente comunicados ao Sistema Cresol, os casos de eventuais intervenções nos sistemas, serviços ou algo que possa causar algum tipo de indisponibilidade ou alteração no fornecimento dos serviços contratados.

V. Todos os profissionais envolvidos devem ser devidamente treinados sobre controles de Segurança da Informação, Privacidade de Dados e Planos de Resposta à Incidentes para reduzir o volume de violações.

13/03/2026, 08:11:48 | V1

Privacidade

Proteção de Dados (LGPD)

Saiba tudo sobre a LGPD aqui

A Lei Geral de Proteção de Dados (LGPD) é uma legislação que tem como objetivo proteger a privacidade e a segurança dos dados pessoais. Ela foi criada para garantir que as informações sejam tratadas de forma adequada e segura pelas empresas e órgãos públicos.

Ler artigo completo

Política de Privacidade

Esta Política de Privacidade descreve como coletamos, usamos e protegemos suas informações pessoais. Valorizamos sua privacidade e estamos comprometidos em garantir a segurança dos seus dados.

Leia atentamente as seções abaixo para entender nossas práticas e como você pode exercer seus direitos.