DIVULGAÇÃO DAS LINHAS GERAIS DA POLÍTICA DE SEGURANÇA CIBERNÉTICA LERA SERVICOS FINANCEIROS E TECNOLOGICOS LTDA

INTRODUÇÃO

No LERA BANK, oferecemos soluções de pagamento para nossos Clientes, possuindo soluções desenvolvidas para auxiliar a gestão de recebíveis com foco em desempenho financeiro.

E como nosso negócio é pautado em tecnologia, temos o objetivo de implementar e manter a nossa Política de Segurança da Cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade, a autenticidade e a disponibilidade dos dados e dos sistemas de informação utilizados. Bem como a privacidade dos dados de nossos clientes, colaboradores, fornecedores e prestadores de serviços.

Aqui nós divulgamos as linhas gerais da Política de Segurança Cibernética da instituição, que definem os critérios e diretrizes para preservar e proteger as informações contra ameaças e riscos relacionados à segurança da informação e cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade a incidentes, e dispõe sobre os requisitos para a

contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

PROCEDIMENTOS E CONTROLES ADOTADOS

Através dessa Política, adotamos procedimentos e controles que buscam reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de Segurança Cibernética, partindo sempre do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética, tais como:

− Autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações;

− Procedimentos e controles que são adotados pela LERA BANK, serão aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição;

− Controles específicos, incluindo os voltados para a rastreabilidade da informação, garantam, no melhor nível possível, a segurança das informações sensíveis;

− Plano de ação e de resposta a incidentes, bem como o registro, a análise da causa e o impacto, e o controle dos efeitos de incidentes relevantes para as atividades da LERA BANK;

− Diretrizes para a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados;

− Definição de procedimentos e controles voltados à prevenção e ao tratamento dos incidentes que devem ser adotados pelos prestadores serviços e terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da LERA BANK;

− Classificação dos dados e as informações quanto à relevância;

− Definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

− Assegurar os mecanismos para disseminação da cultura de segurança cibernética, incluindo:

• A implementação de programas de capacitação e de avaliação periódica de pessoal; e

• A prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos.

− Estimular iniciativas para compartilhamento de informações sobre incidentes relevantes, com Instituições de Pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil;

− Manter o registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes de informações recebidas de empresas prestadoras de serviços a terceiros;

− Contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela LERA BANK.

A Política de Segurança Cibernética e o Plano de Ação e de Resposta a Incidentes serão revisados minimamente uma vez por ano.

PROCEDIMENTOS PARA CONTRATAÇÃO DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

O LERA BANK, procura assegurar que todas as diretrizes, estratégias e estruturas quanto a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior, estejam alinhadas com sua Política e procedimentos.

Para isso, adotamos procedimentos que contemplam:

− As boas práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado, no País ou no exterior, e respectivos riscos a que estejamos expostos;

− Validamos a capacidade de nossos prestadores de serviços de assegurar: o cumprimento da legislação e da regulamentação em vigor; o acesso do LERA BANK aos dados e às informações a serem processados ou armazenados; a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados; a aderência de nossos prestadores quanto a certificações exigidas para a prestação do serviço a ser contratado; o acesso aos relatórios elaborados relativos aos procedimentos e aos controles utilizados na prestação dos serviços; a identificação e a segregação dos dados dos clientes do LERA BANK por meio de controles físicos ou lógicos; e a qualidade dos controles de acesso voltados à proteção dos dados e das informações de nossos Clientes.