Poltica da Segurana da Informao

POLTICA DE SEGURANA DA INFORMAO DA BM&FBOVESPA 1. INTRODUO A informao um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada e protegida contra ameaas e riscos. A adoo de polticas e procedimentos que visem garantir a segurana da informao deve ser prioridade constante da empresa, reduzindo-se os riscos de falhas, os danos e/ou os prejuzos que possam comprometer a imagem e os objetivos da instituio. A informao pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrnicos, mensagens eletrnicas, internet, bancos de dados, em meio impresso, verbalmente, em mdias de udio e de vdeo etc. Por princpio, a segurana da informao deve abranger trs aspectos bsicos, destacados a seguir: (i) Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso informao. (ii) Integridade: somente alteraes, supresses e adies autorizadas pela empresa devem ser realizadas nas informaes. (iii) Disponibilidade: a informao deve estar disponvel para as pessoas autorizadas sempre que necessrio ou demandado. Para assegurar esses trs itens mencionados, a informao deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda no-intencional, acidentes e outras ameaas. Em empresas grandes e complexas, a proteo da informao no uma tarefa trivial. Em geral, o sucesso da Poltica de Segurana da Informao adotada por uma instituio depende da combinao de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados segurana da informao e maneira pela qual so implantados e monitorados, os sistemas tecnolgicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, funcionrios e colaboradores.

.ii. 2. OBJETIVO DA POLTICA DE SEGURANA DA INFORMAO A Poltica de Segurana da Informao da BM&FBOVESPA uma declarao formal da empresa acerca de seu compromisso com a proteo das informaes de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores. Seu propsito estabelecer as diretrizes a serem seguidas pela Bolsa no que diz respeito adoo de procedimentos e mecanismos relacionados segurana da informao. 3. ESTRUTURA NORMATIVA DA SEGURANA DA INFORMAO 3.1. DEFINIO A estrutura normativa da Segurana da Informao da BM&FBOVESPA composta por um conjunto de documentos com trs nveis hierrquicos distintos, relacionados a seguir: Poltica de Segurana da Informao (Poltica): constituda neste documento, define a estrutura, as diretrizes e as obrigaes referentes segurana da informao; Normas de Segurana da Informao (Normas): estabelecem obrigaes e procedimentos definidos de acordo com as diretrizes da Poltica, a serem seguidos em diversas situaes em que a informao tratada; Procedimentos de Segurana da Informao (Procedimentos): instrumentalizam o disposto nas Normas e na Poltica, permitindo a direta aplicao nas atividades da BM&FBOVESPA.

Figura 1 Estrutura normativa de Segurana da Informao da BM&FBOVESPA.

.iii. 3.2. DIVULGAO E ACESSO ESTRUTURA NORMATIVA A Poltica e as Normas de Segurana da Informao devem ser divulgadas a todos os colaboradores da BM&FBOVESPA e dispostas de maneira que seu contedo possa ser consultado a qualquer momento. Os Procedimentos de Segurana da Informao devem ser divulgados s reas diretamente relacionadas sua aplicao. 3.3. APROVAO E REVISO Os documentos integrantes da estrutura normativa da Segurana da Informao da BM&FBOVESPA devero ser aprovados e revisados conforme os seguintes critrios: Poltica Nvel de Aprovao: Diretoria Executiva Periodicidade de Reviso: anual Normas Nvel de Aprovao: Comit Gestor de Segurana da Informao Periodicidade de Reviso: anual Procedimentos Nvel de Aprovao: Diretoria responsvel pela rea envolvida Periodicidade de Reviso: anual 4. ATRIBUIES E RESPONSABILIDADES NA GESTO DE SEGURANA DA INFORMAO Cabe a todos os colaboradores (funcionrios, estagirios e prestadores de servios) da BM&FBOVESPA: Cumprir fielmente a Poltica, as Normas e os Procedimentos de Segurana da Informao da BM&FBOVESPA; Buscar orientao do superior hierrquico imediato em caso de dvidas relacionadas segurana da informao; Assinar Termo de Responsabilidade, formalizando a cincia e o aceite da Poltica e das Normas de Segurana da Informao, bem como assumindo responsabilidade por seu cumprimento; Proteger as informaes contra acesso, modificao, destruio ou divulgao no-autorizados pela BM&FBOVESPA; Assegurar que os recursos tecnolgicos sua disposio sejam utilizados apenas para as finalidades aprovadas pela BM&FBOVESPA;

.iv. Cumprir as leis e as normas que regulamentam os aspectos de propriedade intelectual; Comunicar imediatamente rea de Gesto de Segurana da Informao qualquer descumprimento ou violao desta Poltica e/ou de suas Normas e Procedimentos. e

Adicionalmente, so definidas as seguintes responsabilidades atribuies especficas relacionadas segurana da informao:

4.1. DIRETORIA EXECUTIVA Em relao segurana da informao, cabe Diretoria Executiva: Aprovar a Poltica de Segurana da Informao e suas revises; Aprovar a nomeao dos proprietrios da informao; e Tomar as decises administrativas referentes aos casos de descumprimento da Poltica e/ou de suas Normas encaminhados pelo Comit Gestor de Segurana da Informao. 4.2. COMIT GESTOR DE SEGURANA DA INFORMAO (CGSI) Cabe ao Comit Gestor de Segurana da Informao (CGSI): Propor ajustes, aprimoramentos e modificaes desta Poltica; Propor melhorias e aprovar as Normas de Segurana da Informao; Definir a classificao das informaes pertencentes ou sob a guarda da BM&FBOVESPA, com base no inventrio de informaes apresentado pela rea de Gesto de Segurana da Informao e nos critrios de classificao constantes de Norma especfica; Analisar os casos de violao desta Poltica e das Normas de Segurana da Informao, encaminhando-os Diretoria Executiva, quando for o caso; Propor projetos e iniciativas relacionados melhoria da segurana da informao da BM&FBOVESPA; Propor o planejamento e a alocao de recursos financeiros, humanos e de tecnologia, no que tange segurana da informao; Determinar a elaborao de relatrios, levantamentos e anlises que dem suporte gesto de segurana da informao e tomada de deciso; Acompanhar o andamento dos principais projetos e iniciativas relacionados segurana da informao; e Propor a relao de proprietrios das informaes da BM&FBOVESPA.

.v. O CGSI ter como membros: Diretor Executivo de Operaes e TI; Diretor de TI Sistemas de Negociao; Diretor de TI Sistemas de Liquidao, de Depositria e de Risco; Diretor de TI Infra-Estrutura, Arquitetura e Produo; Diretor de RH; Representante da Diretoria Executiva Financeira, Corporativa e de Relaes com Investidores (Diretor Executivo ou Diretor); Representante da Diretoria Executiva de Clearings, Depositria e de Risco (Diretor Executivo ou Diretor); e Responsvel pela rea de Gesto de Segurana da Informao. O Comit de Auditoria da BM&FBOVESPA poder, caso queira, indicar representante para participar das reunies do CGSI na condio de observador/ouvinte. A coordenao dos trabalhos do CGSI caber ao responsvel pela rea de Gesto de Segurana da Informao, cujas atribuies abrangero a convocao das reunies e a realizao de outros atos de suporte s atividades desenvolvidas. As reunies do CGSI: (i) Sero realizadas mensalmente, podendo haver convocao em freqncia maior ou extraordinariamente, sempre que necessrio; (ii) Sero instaladas com a presena de, no mnimo, 2/3 (dois teros) dos membros do CGSI; e (iii) Devero ser registradas em ata. O CGSI deliberar por maioria dos votos presentes. De acordo com a necessidade, outros profissionais da BM&FBOVESPA e convidados externos podero participar das reunies do CGSI. 4.3. REA DE GESTO DE SEGURANA DA INFORMAO Cabe rea de Gesto de Segurana da Informao: Convocar, coordenar, lavrar atas e prover apoio s reunies do CGSI; Prover todas as informaes de gesto de segurana da informao solicitadas pelo CGSI;

.vi. Prover ampla divulgao da Poltica e das Normas de Segurana da Informao para todos os colaboradores da BM&FBOVESPA; Oferecer orientao e treinamento sobre a Poltica de Segurana da Informao e suas Normas a todos os colaboradores da BM&FBOVESPA; Propor projetos e iniciativas relacionados ao aperfeioamento da segurana da informao da BM&FBOVESPA, mantendo-se atualizada em relao s melhores prticas existentes no mercado e em relao s tecnologias disponveis; Estabelecer procedimentos e realizar a gesto dos sistemas de controle de acesso da BM&FBOVESPA, incluindo os processos de concesso, manuteno, reviso e suspenso de acessos aos usurios; Analisar os riscos relacionados segurana da informao da BM&FBOVESPA e apresentar relatrios peridicos sobre tais riscos ao CGSI, acompanhados de proposta de aperfeioamento do ambiente de controle da Bolsa, quando for o caso; Realizar trabalhos de anlise de vulnerabilidade, com o intuito de aferir o nvel de segurana dos sistemas de informao e dos demais ambientes em que circulam as informaes da BM&FBOVESPA; Requisitar informaes s demais reas da BM&FBOVESPA (diretorias, gerncias coordenaes etc.), realizar testes e averiguaes em sistemas e equipamentos, com o intuito de verificar o cumprimento da Poltica e das Normas de Segurana da Informao; e Estabelecer mecanismo de registro e controle de no-conformidade a esta Poltica e s Normas de Segurana da Informao, comunicando o CGSI.

4.4. PROPRIETRIO DA INFORMAO O proprietrio da informao um diretor ou um gerente da BM&FBOVESPA, formalmente indicado pela Diretoria Executiva, responsvel pela concesso, manuteno, reviso e cancelamento de autorizaes de acesso a determinado conjunto de informaes pertencentes Bolsa ou sob a sua guarda. Cabe ao proprietrio da informao: Elaborar, para toda informao sob sua responsabilidade, matriz que relaciona cargos e funes da BM&FBOVESPA s autorizaes de acesso concedidas;

.vii. Autorizar a liberao de acesso informao sob sua responsabilidade, observadas a matriz de cargos e funes, a Poltica e as Normas de Segurana da Informao da BM&FBOVESPA; Manter registro e controle atualizados de todas as liberaes de acesso concedidas, determinando, sempre que necessrio, a pronta suspenso ou alterao de tais liberaes; Reavaliar, sempre que necessrio, as liberaes de acesso concedidas, cancelando aquelas que no forem mais necessrias; Analisar os relatrios de controle de acesso fornecidos pela rea de Gesto de Segurana da Informao, com o objetivo de identificar desvios em relao Poltica e s Normas de Segurana da Informao, tomando as aes corretivas necessrias; Participar da investigao de incidentes de segurana relacionados informao sob sua responsabilidade; Participar, sempre que convocado, das reunies do Comit de Gesto de Segurana da Informao, prestando os esclarecimentos solicitados.

4.5. DIRETORIA JURDICA Cabe Diretoria Jurdica: Manter as reas da BM&FBOVESPA informadas sobre eventuais alteraes legais e/ou regulatrias que impliquem responsabilidade e/ou aes envolvendo a gesto de segurana da informao; Incluir, na anlise e na elaborao de contratos, sempre que necessrio, clusulas especficas relacionadas segurana da informao, com o objetivo de proteger os interesses da BM&FBOVESPA; e Avaliar, quando solicitada, as Normas e os Procedimentos de Segurana da Informao elaborados pelas diversas reas da BM&FBOVESPA. 4.6. DIRETORIAS, GERNCIAS E COORDENAES Cabe s Diretorias, Gerncias e Coordenaes: Cumprir e fazer cumprir esta Poltica, as Normas e os Procedimentos de Segurana da Informao; Assegurar que suas equipes possuam acesso e conhecimento desta Poltica, das Normas e dos Procedimentos de Segurana da Informao;

.viii. Redigir os Procedimentos de Segurana da Informao relacionados s suas reas, mantendo-os atualizados; e Comunicar imediatamente eventuais casos de violao de segurana da informao rea de Gesto de Segurana da Informao.

4.7 REA DE RECURSOS HUMANOS Cabe rea de Recursos Humanos: Colher a assinatura do Termo de Responsabilidade dos funcionrios e estagirios, arquivando-o nos respectivos pronturios; e Informar, prontamente, rea de Gesto de Segurana da Informao, todos os desligamentos, afastamentos e modificaes no quadro funcional da empresa. 5. DIRETRIZES DE SEGURANA DA INFORMAO A seguir, so apresentadas as diretrizes da Poltica de Segurana da Informao da BM&FBOVESPA. Tais diretrizes constituem os principais pilares da Gesto de Segurana da Informao da Bolsa, norteando a elaborao das Normas e dos Procedimentos. 5.1. ADOO DE COMPORTAMENTO SEGURO Independentemente do meio ou da forma em que exista, a informao est presente no trabalho de todos os profissionais. Portanto, fundamental para a proteo e salvaguarda das informaes que os profissionais adotem comportamento seguro e consistente com o objetivo de proteo das informaes da Bolsa, com destaque para os seguintes itens: Diretores, gerentes, coordenadores, funcionrios e prestadores de servios devem assumir atitude pr-ativa e engajada no que diz respeito proteo das informaes da BM&FBOVESPA. Os colaboradores da BM&FBOVESPA devem compreender as ameaas externas que podem afetar a segurana das informaes da empresa, tais como vrus de computador, interceptao de mensagens eletrnicas, grampos telefnicos etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informao. Todo tipo de acesso informao da BM&FBOVESPA que no for explicitamente autorizado proibido. Informaes confidenciais da BM&FBOVESPA no podem ser transportadas em qualquer meio (CD, DVD, disquete, pen-drive, papel etc.) sem as devidas autorizaes e protees.

.ix. Assuntos confidenciais de trabalho no devem ser discutidos em ambientes pblicos ou em reas expostas (avies, restaurantes, encontros sociais etc.). As senhas de usurio so pessoais e intransferveis, no podendo ser compartilhadas, divulgadas a terceiros (inclusive colaboradores da prpria empresa), anotadas em papel ou em sistema visvel ou de acesso no-protegido. Somente softwares homologados pela BM&FBOVESPA podem ser instalados nas estaes de trabalho, o que deve ser feito, com exclusividade, pela equipe de servios de informtica da Bolsa. A poltica para uso de internet e correio eletrnico deve ser rigorosamente seguida. Arquivos de origem desconhecida nunca devem ser abertos e/ou executados. Documentos impressos e arquivos contendo informaes confidenciais devem ser adequadamente armazenados e protegidos. Qualquer tipo de dvida sobre a Poltica de Segurana da Informao e suas Normas deve ser imediatamente esclarecido com a rea de Gesto de Segurana da Informao.

5.2. ADOO DE INVENTRIO E DE SISTEMA DE CLASSIFICAO DA INFORMAO A rea de Gesto de Segurana da Informao deve manter um inventrio atualizado que identifique e documente a existncia e as principais caractersticas de todos os seus ativos de informao (base de dados, arquivos, diretrios de rede, trilhas de auditoria, cdigos fonte de sistemas, documentao de sistemas, manuais, planos de continuidade etc.). As informaes inventariadas devem ser classificadas de acordo com o grau de confidencialidade e criticidade para o negcio da BM&FBOVESPA, e com base na Norma de classificao de informaes estabelecida pela Bolsa. As informaes inventariadas devem ser associadas a um proprietrio, o qual um diretor ou um gerente da BM&FBOVESPA, formalmente designado pela Diretoria Executiva como responsvel pela autorizao de acesso s informaes sob a sua responsabilidade.

.x. 5.3. AVALIAO CONTNUA DOS RISCOS DE SEGURANA DA INFORMAO A rea de Gesto de Segurana da Informao deve realizar, de forma sistemtica, a avaliao dos riscos relacionados segurana da informao da BM&FBOVESPA. A anlise dos riscos deve atuar como ferramenta de orientao ao Comit Gestor da Segurana da Informao, principalmente, no que diz respeito : Identificao dos principais riscos aos quais a informao da Bolsa est exposta; e Priorizao das aes voltadas mitigao dos riscos apontados, tais como implantao de novos controles, criao de novas regras e procedimentos, reformulao de sistemas etc. O escopo da anlise/avaliao de riscos de segurana da informao pode ser toda a organizao, partes da organizao, um sistema de informao especfico, componentes de um sistema especfico etc. 5.4. GESTO DE ACESSO A SISTEMAS DE INFORMAO E A OUTROS AMBIENTES LGICOS Todo acesso s informaes e aos ambientes lgicos da BM&FBOVESPA deve ser controlado, de forma a garantir acesso apenas s pessoas autorizadas pelo respectivo proprietrio da informao. A poltica de controle de acesso deve ser documentada e formalizada por meio de Normas e Procedimentos que contemplem, pelo menos, os seguintes itens: Procedimento formal de concesso e cancelamento de autorizao de acesso a usurio aos sistemas de informao; Comprovao da autorizao do proprietrio da informao; Utilizao de identificadores de usurio (ID de usurio) individualizados, de forma a assegurar a responsabilidade de cada usurio por suas aes; Verificao se o nvel de acesso concedido apropriado ao propsito do negcio e se consistente com a Poltica de Segurana da Informao e suas Normas;

.xi. Remoo imediata de autorizaes dadas a usurios afastados ou desligados da empresa, ou que tenham mudado de funo; Processo de reviso peridica das autorizaes concedidas; e Poltica de atribuio, manuteno e uso de senhas.

5.5. MONITORAO E CONTROLE Os sistemas, as informaes e os servios utilizados pelos usurios so de exclusiva propriedade da BM&FBOVESPA, no podendo ser interpretados como de uso pessoal. Todos os profissionais e colaboradores da BM&FBOVESPA devem ter cincia de que o uso das informaes e dos sistemas de informao da Bolsa pode ser monitorado, e que os registros assim obtidos podero ser utilizados para deteco de violaes da Poltica e das Normas de Segurana da Informao e, conforme o caso, servir como evidncia em processos administrativos e/ou legais. 6. VIOLAES DA POLTICA DE SEGURANA DA INFORMAO E SANES Nos casos em que houver violao desta Poltica ou das Normas de Segurana da Informao, sanes administrativas e/ou legais podero ser adotadas, podendo culminar com o desligamento e eventuais processos criminais, se aplicveis.