POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA TERCEIROS

APROVADO POR DATA DA ÚLTIMA

ATUALIZAÇÃO
ÁREA RESPONSÁVEL Diretoria de Tecnologia e Diretoria
23/12/2020
Segurança da Informação de Compliance e Gestão Integrada
de Riscos
VERSÃO CLASSIFICAÇÃO DA INFORMAÇÃO CÓDIGO DA POLÍTICA
06 Pública STNE_Política de Segurança
da Informação para
Terceiros

RESUMO
Esta política aborda o objetivo, as diretrizes, atribuições e responsabilidades dos Terceiros da

Companhia, a fim de preservar a confidencialidade, integridade e disponibilidade das informações

contidas no ambiente da Companhia.

Classificação: Pública
ÍNDICE

1. TERMOS E DEFINIÇÕES .....................................................................................................................3

2. OBJETIVOS .........................................................................................................................................3

3. ABRANGÊNCIA ..................................................................................................................................4

4. APROVAÇÃO .....................................................................................................................................4

5. VIGÊNCIA ...........................................................................................................................................4

6. DIRETRIZES ........................................................................................................................................4

7. ATRIBUIÇÕES E RESPONSABILIDADES ..............................................................................................6

8. REPORTE E CANAIS DE CONTATO .....................................................................................................8

9. CONSIDERAÇÕES FINAIS ...................................................................................................................8

10. DOCUMENTAÇÃO RELACIONADA ....................................................................................................8

11. REVISÕES E APROVAÇÕES ................................................................................................................9

12. DECLARAÇÃO DE CIÊNCIA DA POLÍTICA ........................................................................................11

Classificação: Pública
1. TERMOS E DEFINIÇÕES

Companhia: Corresponde à Stone Co. e suas subsidiárias.

Colaboradores: Corresponde a qualquer colaborador(a)/empregado(a) da Companhia, regime CLT ou
estagiário (aquele que possui um termo de compromisso firmado entre a empresa e a instituição de
ensino), inclusive jovens aprendizes.
Informações confidenciais: quaisquer informações de forma escrita ou verbal, física ou digital, patenteada
ou não, de qualquer natureza, que possam gerar danos graves à Stone caso sejam divulgadas a pessoas
não autorizadas.
ITSM (Technology Service Management): gerenciamento de serviços de TI que reúne um conjunto de
ferramentas que cobre diversos processos e papéis do ITIL (Information Technology Infrastructure Library)
entre eles Service Desk, gerenciamento de mudanças, entre outros de forma integrada.
NDA (Non-Disclosure Agreement): um acordo em que as partes que o assinam concordam em manter a
confidencialidade das informações compartilhadas.
Plataforma: qualquer que seja o ambiente pré-existente, um pedaço de software que é projetado para ser
executado internamente, obedecendo às suas limitações e fazendo uso das suas instalações.
Prova de conceito: protótipo utilizado para provar na prática a viabilidade de um projeto de rede de
computadores.
Terceiros: Entende-se tanto a entidade, quanto seu representante legal e/ou preposto que prestem ou
estejam prestando serviços para a Companhia, como os prestadores de serviço em si, parceiros, franquias,
fornecedores, auditores ou qualquer outro que se enquadre como trabalhador contratado.

2. OBJETIVOS

Determinar os princípios e responsabilidades relacionados ao tratamento e ao uso adequado dos ativos

de informação pelos Terceiros da Stone, assegurando que as informações recebam um nível adequado de
proteção, de acordo com seu valor, requisitos legais, sensibilidade e criticidade.
A informação é elemento essencial para todos os processos da Stone, sendo, portanto, um bem ou ativo
de grande valor.

Classificação: Pública
 3. ABRANGÊNCIA

Esta Política abrange todos os Terceiros que forneçam serviços ou produtos para a Stone Co.,
independente da sua localização.

4. APROVAÇÃO

Esta Política e suas atualizações deverão ser aprovadas pela Diretoria de Tecnologia e Diretoria de
Compliance e Gestão Integrada de Riscos.

5. VIGÊNCIA

Esta Política entra em vigor a partir de sua data de aprovação até que seja revogada ou atualizada em até
2 anos ou em prazo inferior, nas hipóteses de alteração da legislação aplicável ou de direcionamento
estratégico da Stone Co.

6. DIRETRIZES

● A informação deve ser tratada como patrimônio e recurso de valor para a Stone, não devendo ser
praticado qualquer ato que possa afetar a confidencialidade, a integridade e/ou a disponibilidade
dessas informações. A realização de cópia ou transferência de arquivos digitalizados ou registros por
escrito são proibidos, devendo-se garantir a proteção, o sigilo e o zelo pela privacidade destas
informações.
● Os Terceiros devem passar obrigatoriamente pelo fluxo de concessão de acesso a Terceiros, definido
pelo Time de Segurança da Informação, incluindo a fase obrigatória de assinatura desta Política e do
NDA, para que possam acessar informações de uso interno e confidencial, quando necessário.

Classificação: Pública
● Em casos em que haja dúvida acerca da natureza confidencial ou não de uma informação, esta deve
sempre ser tratada como sigilosa, até que venha a ser expressamente autorizado pelo representante
legal da Stone o tratamento de forma diferente.
● Toda informação armazenada e processada no ambiente computacional da Stone pode ser
monitorada, registrada e utilizada em procedimentos de auditoria.
● Fotografias e filmagens dos ambientes internos e informações da Stone são proibidas. Somente
podem ser liberados caso a liberação seja autorizada pelo Time de Segurança da Informação.
● A publicação ou exposição de informações de uso interno e confidenciais em uma plataforma pública
é estritamente proibido.
● Os acessos físicos e lógicos ao ambiente da Stone estão sujeitos a uma auditoria contínua para
assegurar que os acessos não excedam o necessário para o cumprimento do contrato. O
monitoramento deve abranger qualquer uso não autorizado, alteração ou destruição de informação.
● A utilização do crachá de identificação é obrigatória nas dependências da Stone.
● Em caso de visitantes nas instalações da Stone, eles devem portar identificação adequada e estarem
acompanhados por um Colaborador, que será responsável por todas as ações realizadas por estes
visitantes.
● As orientações da área de Segurança da Informação relativas à instalação, manutenção e uso
adequado dos equipamentos devem ser seguidas.
● As ferramentas, sistemas e softwares utilizados no serviço prestado à Stone e o tipo de acesso ou
manipulação de dados que serão realizados, devem ser previamente informados, a fim de preservar
a segurança da Stone neste aspecto.
● A Stone poderá conceder acessos individuais com o domínio da Stone aos Colaboradores dos
Terceiros contratados. Contudo, a concessão deste acesso não configura, para todos os efeitos legais,
vínculo empregatício com a Stone.
● Devem ser utilizados apenas sistemas/produtos homologados para uso pela Stone.
● Sempre que for necessário a utilização da rede interna, utilizar a rede Wi-Fi destinada para os
Colaboradores terceirizados e visitantes.
● Em provas de conceito, é necessária a realização dos testes acordados sem a utilização de
informações de uso interno e/ou confidenciais dos bancos de dados da Stone, utilizando, para efeito

Classificação: Pública
 de customização, somente informações referentes a estruturas e campos de tabelas para inserção de
conteúdo fictício.
● A autenticação de acesso (senha) ao ambiente computacional deve ser guardada, não sendo cedida,
transferida, divulgada.
● Em provas de conceito e testes, deve ser incluso nos relatórios gerados em papéis timbrados ou
qualquer outro mecanismo que indique claramente tratar-se de documentos de teste sem qualquer
validade.
● Ao término do serviço prestado, a comprovação da deleção, destruição ou descarte seguro, de
qualquer informação concedida pela Stone deve ser apresentada à área de Segurança da Informação
da Stone.

7. ATRIBUIÇÕES E RESPONSABILIDADES

Direção e Liderança
• Assegurar o estabelecimento da presente Política, sua divulgação e cumprimento por parte de
todos os Terceiros da Stone.

Área de Segurança da Informação

• Gerenciar, coordenar, orientar, avaliar e implantar as ações, atividades e projetos relativos à
Segurança da Informação da Stone, promovendo ações de interesse da Companhia.
• Mitigar incidentes de segurança relacionados ao trabalho de Terceiros, que causam prejuízos
financeiros, problemas com a imagem da Stone e impactos diretos ou indiretos para o negócio da
Companhia.
• Gerenciar e autorizar a concessão de acesso à Terceiros de acordo com o fluxo padrão.
• Conscientizar os Terceiros da Stone.
• Analisar os desvios e as exceções às orientações desta Política.

Terceiro

Classificação: Pública
 • Proteger e salvaguardar os ativos e informações de que sejam usuários, dos ambientes físicos e
computacionais a que tenham acesso, independentemente das medidas de segurança
implantadas.
• Comunicar à área de Segurança da Informação da Stone a ocorrência de qualquer violação às
diretrizes desta Política, ainda que não intencional, bem como qualquer evento que implique em
possível impedimento de cumprir os procedimentos de segurança estabelecidos.
• Estar ciente de que todas as responsabilidades dispostas nesta Política se aplicam igualmente a
todos os serviços prestados à Stone, incluindo aqueles realizados fora de suas dependências por
meio de acesso remoto à rede da Companhia.
• Estar ciente de que as ações ou omissões que possam causar danos diretos ou indiretos,
comprometer a rede ou causar qualquer prejuízo para Stone, decorrentes da não observância das
regras impostas neste documento, poderão resultar na apuração de responsabilidade criminal,
civil e administrativa.
• Estar ciente de que as responsabilidades dispostas neste documento perdurarão inclusive após a
cessação do serviço prestado à Stone e abrangem as atuais informações e as que venham a ser de
propriedade desta Companhia futuramente.
• Participar sempre que for solicitado dos treinamentos indicados pelo time de Segurança da
Informação, de forma a conhecer as diretrizes da Política de Segurança da Informação para
Terceiros e o Código de Ética vigente na Stone.
• Manter o sigilo de todas as informações acessadas durante seu período contratual, e após o seu
encerramento.

Colaborador
• Reportar possíveis incidentes e não conformidade com esta Política ao seu Gestor imediato ou à
área de Segurança da Informação.
• Tomar conhecimento das normas internas da Stone, de modo a melhor orientar o Terceiro quanto
às boas práticas de segurança da informação da Stone.
• Apoiar o cumprimento desta Política junto à área de Segurança da Informação.

Classificação: Pública
 8. REPORTE E CANAIS DE CONTATO

Na hipótese de dúvidas relativas aos temas tratados nesta Política ou a possíveis assuntos não
contemplados, por favor, entre em contato com a área de Compliance através do e-mail:
compliance@stone.com.br. Quaisquer violações desta Política deverão ser reportadas à Companhia por
meio do Orelhão, disponível em:

• canalconfidencial.com.br/orelhaostone
• Telefone: 0800-591-0579

A Companhia garante a confidencialidade e anonimato das informações reportadas, bem como a não
retaliação a denunciantes que estiverem agindo de boa-fé.

9. CONSIDERAÇÕES FINAIS

9.1 Compromissos e Penalidades

Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os
Colaboradores e Terceiros da Stone.
O descumprimento desta Política é considerado uma falta grave que será analisada pela área jurídica da
Companhia, podendo acarretar a aplicação de sanções previstas em lei, nos regulamentos e políticas
internos e em disposições contratuais.

9.2 Treinamento

Um programa de treinamento e conscientização em boas práticas de Segurança da Informação é

necessário à garantia dos objetivos e diretrizes definidos nesta Política, e deve ser realizado adequando-
se às necessidades e responsabilidades específicas de cada Colaborador.

10. DOCUMENTAÇÃO RELACIONADA

• Código de Ética da Stone Co.

Classificação: Pública
 11. REVISÕES E APROVAÇÕES

N° da
Natureza da Revisão e/ou Alteração Data Profissional Responsável
versão

01 Criação da Política 20/08/2017 Mariana Crespo Barros

Inclusão de diretrizes relacionadas à acesso

02 Tatiana Padrone
lógico 23/01/2018

● Adição de novos Termos e Definições ao

item 1.
● Incremento de Atribuições e
Responsabilidades ao item 5.
● Adição de diretrizes no item 6 sobre
exposição da marca e redes internas para
Terceiros. Ana Carolina Santos /
03 13/07/2018
● Atualização do item 7. Camila Rezende

● Adição nos itens 8.1 e 8.2.

● Inclusão da Política de Franquias, no item
10
● Ajuste na redação do item 2
● Ajuste na redação do item 5.3
● Acréscimo de informações no item 6.
Marcelo David / Sullivan
04 Revisão geral e ajustes. 06/09/2019
Nunes

Maurilio Fonseca /
05 Revisão geral e ajustes. 25/08/2020
Ricardo Galossi

Classificação: Pública
 Alteração de conteúdo nos itens
06 ATRIBUIÇÕES E RESPONSABILIDADES, 23/12/2020 Maurilio Fonseca

DOCUMENTOS RELACIONADOS.
06 Revisão da Política por Compliance 04/01/2020 Clara Bastos

Esta Política foi aprovada pelos seguintes Diretores: (a) Edson Brandi e (b) Sandra Bolfer
digitalmente via plataforma D4sign, com validade jurídica, nos termos da Medida Provisória nº
2.200-2/2001.

_____________________________ _____________________________

Edson Brandi Sandra Bolfer

Diretor de Tecnologia da Informação Diretora de Compliance e Gestão Integrada de

Riscos

10

Classificação: Pública
12. DECLARAÇÃO DE CIÊNCIA DA POLÍTICA

Eu ,___________________________________________________________________________,

de RG _______________________________, portador (a) do CPF_______________________

declaro para os devidos fins que recebi, e terei de cumprir as diretrizes desta POLÍTICA DE

SEGURANÇA DA INFORMAÇÃO PARA TERCEIROS, e estou ciente das penalizações legais, regulamentares e

contratuais a que estou sujeito, caso descumpra alguma das diretrizes citadas ou pratique

condutas que entrem em desacordo com alguma diretriz desta Política.

_______________________, ____ de _______________________ de ________

Assinatura: ________________________________________________________

11

Classificação: Pública