Escolar Documentos
Profissional Documentos
Cultura Documentos
RESUMO
Esta política aborda o objetivo, as diretrizes, atribuições e responsabilidades dos Terceiros da
Classificação: Pública
ÍNDICE
2. OBJETIVOS .........................................................................................................................................3
3. ABRANGÊNCIA ..................................................................................................................................4
4. APROVAÇÃO .....................................................................................................................................4
5. VIGÊNCIA ...........................................................................................................................................4
6. DIRETRIZES ........................................................................................................................................4
Classificação: Pública
1. TERMOS E DEFINIÇÕES
2. OBJETIVOS
Classificação: Pública
3. ABRANGÊNCIA
Esta Política abrange todos os Terceiros que forneçam serviços ou produtos para a Stone Co.,
independente da sua localização.
4. APROVAÇÃO
Esta Política e suas atualizações deverão ser aprovadas pela Diretoria de Tecnologia e Diretoria de
Compliance e Gestão Integrada de Riscos.
5. VIGÊNCIA
Esta Política entra em vigor a partir de sua data de aprovação até que seja revogada ou atualizada em até
2 anos ou em prazo inferior, nas hipóteses de alteração da legislação aplicável ou de direcionamento
estratégico da Stone Co.
6. DIRETRIZES
● A informação deve ser tratada como patrimônio e recurso de valor para a Stone, não devendo ser
praticado qualquer ato que possa afetar a confidencialidade, a integridade e/ou a disponibilidade
dessas informações. A realização de cópia ou transferência de arquivos digitalizados ou registros por
escrito são proibidos, devendo-se garantir a proteção, o sigilo e o zelo pela privacidade destas
informações.
● Os Terceiros devem passar obrigatoriamente pelo fluxo de concessão de acesso a Terceiros, definido
pelo Time de Segurança da Informação, incluindo a fase obrigatória de assinatura desta Política e do
NDA, para que possam acessar informações de uso interno e confidencial, quando necessário.
Classificação: Pública
● Em casos em que haja dúvida acerca da natureza confidencial ou não de uma informação, esta deve
sempre ser tratada como sigilosa, até que venha a ser expressamente autorizado pelo representante
legal da Stone o tratamento de forma diferente.
● Toda informação armazenada e processada no ambiente computacional da Stone pode ser
monitorada, registrada e utilizada em procedimentos de auditoria.
● Fotografias e filmagens dos ambientes internos e informações da Stone são proibidas. Somente
podem ser liberados caso a liberação seja autorizada pelo Time de Segurança da Informação.
● A publicação ou exposição de informações de uso interno e confidenciais em uma plataforma pública
é estritamente proibido.
● Os acessos físicos e lógicos ao ambiente da Stone estão sujeitos a uma auditoria contínua para
assegurar que os acessos não excedam o necessário para o cumprimento do contrato. O
monitoramento deve abranger qualquer uso não autorizado, alteração ou destruição de informação.
● A utilização do crachá de identificação é obrigatória nas dependências da Stone.
● Em caso de visitantes nas instalações da Stone, eles devem portar identificação adequada e estarem
acompanhados por um Colaborador, que será responsável por todas as ações realizadas por estes
visitantes.
● As orientações da área de Segurança da Informação relativas à instalação, manutenção e uso
adequado dos equipamentos devem ser seguidas.
● As ferramentas, sistemas e softwares utilizados no serviço prestado à Stone e o tipo de acesso ou
manipulação de dados que serão realizados, devem ser previamente informados, a fim de preservar
a segurança da Stone neste aspecto.
● A Stone poderá conceder acessos individuais com o domínio da Stone aos Colaboradores dos
Terceiros contratados. Contudo, a concessão deste acesso não configura, para todos os efeitos legais,
vínculo empregatício com a Stone.
● Devem ser utilizados apenas sistemas/produtos homologados para uso pela Stone.
● Sempre que for necessário a utilização da rede interna, utilizar a rede Wi-Fi destinada para os
Colaboradores terceirizados e visitantes.
● Em provas de conceito, é necessária a realização dos testes acordados sem a utilização de
informações de uso interno e/ou confidenciais dos bancos de dados da Stone, utilizando, para efeito
Classificação: Pública
de customização, somente informações referentes a estruturas e campos de tabelas para inserção de
conteúdo fictício.
● A autenticação de acesso (senha) ao ambiente computacional deve ser guardada, não sendo cedida,
transferida, divulgada.
● Em provas de conceito e testes, deve ser incluso nos relatórios gerados em papéis timbrados ou
qualquer outro mecanismo que indique claramente tratar-se de documentos de teste sem qualquer
validade.
● Ao término do serviço prestado, a comprovação da deleção, destruição ou descarte seguro, de
qualquer informação concedida pela Stone deve ser apresentada à área de Segurança da Informação
da Stone.
7. ATRIBUIÇÕES E RESPONSABILIDADES
Direção e Liderança
• Assegurar o estabelecimento da presente Política, sua divulgação e cumprimento por parte de
todos os Terceiros da Stone.
Terceiro
Classificação: Pública
• Proteger e salvaguardar os ativos e informações de que sejam usuários, dos ambientes físicos e
computacionais a que tenham acesso, independentemente das medidas de segurança
implantadas.
• Comunicar à área de Segurança da Informação da Stone a ocorrência de qualquer violação às
diretrizes desta Política, ainda que não intencional, bem como qualquer evento que implique em
possível impedimento de cumprir os procedimentos de segurança estabelecidos.
• Estar ciente de que todas as responsabilidades dispostas nesta Política se aplicam igualmente a
todos os serviços prestados à Stone, incluindo aqueles realizados fora de suas dependências por
meio de acesso remoto à rede da Companhia.
• Estar ciente de que as ações ou omissões que possam causar danos diretos ou indiretos,
comprometer a rede ou causar qualquer prejuízo para Stone, decorrentes da não observância das
regras impostas neste documento, poderão resultar na apuração de responsabilidade criminal,
civil e administrativa.
• Estar ciente de que as responsabilidades dispostas neste documento perdurarão inclusive após a
cessação do serviço prestado à Stone e abrangem as atuais informações e as que venham a ser de
propriedade desta Companhia futuramente.
• Participar sempre que for solicitado dos treinamentos indicados pelo time de Segurança da
Informação, de forma a conhecer as diretrizes da Política de Segurança da Informação para
Terceiros e o Código de Ética vigente na Stone.
• Manter o sigilo de todas as informações acessadas durante seu período contratual, e após o seu
encerramento.
Colaborador
• Reportar possíveis incidentes e não conformidade com esta Política ao seu Gestor imediato ou à
área de Segurança da Informação.
• Tomar conhecimento das normas internas da Stone, de modo a melhor orientar o Terceiro quanto
às boas práticas de segurança da informação da Stone.
• Apoiar o cumprimento desta Política junto à área de Segurança da Informação.
Classificação: Pública
8. REPORTE E CANAIS DE CONTATO
Na hipótese de dúvidas relativas aos temas tratados nesta Política ou a possíveis assuntos não
contemplados, por favor, entre em contato com a área de Compliance através do e-mail:
compliance@stone.com.br. Quaisquer violações desta Política deverão ser reportadas à Companhia por
meio do Orelhão, disponível em:
• canalconfidencial.com.br/orelhaostone
• Telefone: 0800-591-0579
A Companhia garante a confidencialidade e anonimato das informações reportadas, bem como a não
retaliação a denunciantes que estiverem agindo de boa-fé.
9. CONSIDERAÇÕES FINAIS
Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os
Colaboradores e Terceiros da Stone.
O descumprimento desta Política é considerado uma falta grave que será analisada pela área jurídica da
Companhia, podendo acarretar a aplicação de sanções previstas em lei, nos regulamentos e políticas
internos e em disposições contratuais.
9.2 Treinamento
Classificação: Pública
11. REVISÕES E APROVAÇÕES
N° da
Natureza da Revisão e/ou Alteração Data Profissional Responsável
versão
Maurilio Fonseca /
05 Revisão geral e ajustes. 25/08/2020
Ricardo Galossi
Classificação: Pública
Alteração de conteúdo nos itens
06 ATRIBUIÇÕES E RESPONSABILIDADES, 23/12/2020 Maurilio Fonseca
DOCUMENTOS RELACIONADOS.
06 Revisão da Política por Compliance 04/01/2020 Clara Bastos
Esta Política foi aprovada pelos seguintes Diretores: (a) Edson Brandi e (b) Sandra Bolfer
digitalmente via plataforma D4sign, com validade jurídica, nos termos da Medida Provisória nº
2.200-2/2001.
_____________________________ _____________________________
10
Classificação: Pública
12. DECLARAÇÃO DE CIÊNCIA DA POLÍTICA
Eu ,___________________________________________________________________________,
declaro para os devidos fins que recebi, e terei de cumprir as diretrizes desta POLÍTICA DE
SEGURANÇA DA INFORMAÇÃO PARA TERCEIROS, e estou ciente das penalizações legais, regulamentares e
contratuais a que estou sujeito, caso descumpra alguma das diretrizes citadas ou pratique
Assinatura: ________________________________________________________
11
Classificação: Pública