#interna

DIRETORIA SEGURANÇA INSTITUCIONAL – DISIN

GERÊNCIA DE PREVENÇÃO A ILÍCITOS FINANCEIROS E CAMBIAIS E SEGURANÇA DA INFORMAÇÃO – GEFIC
DIVISÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM TI – DSITI

SEGURANÇA DA INFORMAÇÃO EM TI
Certificação de Conhecimentos
Material de Apoio

Março/2017
 #interna

Conteúdo Programático

Normativo de Segurança da Informação em TI 3

Conceitos de Segurança da Informação em TI no BB 3
Premissas de Segurança da Informação no BB 4
Tratamento da Informação Corporativa em meio eletrônico 4
Diretrizes de Tratamento da Informação Corporativa 4
Armazenamento, Cópias de Segurança e Restauração de Informações 5
Descarte 5
Controles de Acesso 5
Diretrizes dos Controles de Acesso 5
Administrador de Acesso 6
Classificação das Transações em Sistemas 6
Segurança no Acesso à Internet 7
LOG 7
Diretrizes de Segurança para Computação Na Nuvem (Cloud Computing) 8
Diretrizes de Segurança da Informação em TI nos Tablets e Smartphones 9
Proteção Contra Malware 10
Criptografia de Informações Corporativas 10
Diretrizes de Segurança da Informação em TI para Desenvolvimento e 11
Obtenção de software seguro
Anexo 1 - CRITÉRIOS DE TRATAMENTO DA INFORMAÇÃO 12

2
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

SEGURANÇA DA INFORMAÇÃO EM TI – BB S.A.

Normativo de Segurança da Informação em TI

A Instrução Normativa – IN 422 define os aspectos de segurança da informação que devem ser
aplicados nos sistemas e aplicativos corporativos para a proteção das informações corporativas,
em conformidade com a Política Específica de Segurança da Informação, aprovada pelo
Conselho de Administração do Banco do Brasil S.A. e publicada na IN 606. Esta Política passa
por revisão, no mínimo, anualmente.

Conceitos de Segurança da Informação em TI no BB

Acesso lógico: acesso realizado por um usuário, com a finalidade de executar transações,
atualizar e consultar dados e informações em um sistema computacional.
Administrador de acesso: aquele que gerencia o direito de acesso às informações em meio
eletrônico na dependência.
Ativos de informação: são os meios de armazenamento, transmissão e processamento da
informação, os sistemas de informação, bem como os locais onde se encontram esses meios e
as pessoas que a eles têm acesso.
Autenticidade: possibilidade de se atestar, de forma inequívoca, a origem e o destino da
informação e garantir o não repúdio, ou seja, impossibilitar a negação de autoria e acesso.
Ciclo de vida da informação: são as fases da produção e recepção, registro e armazenamento,
uso e disseminação e destinação da informação.
Computação em Nuvem: modelo computacional que permite acesso por demanda, e
independente da localização, a um conjunto compartilhado de recursos configuráveis de
computação (rede de computadores, servidores, armazenamento, aplicativos e serviços),
provisionados com esforços mínimos de gestão ou interação com o provedor de serviços.
Confidencialidade: propriedade de estar disponível ou ser revelada somente a indivíduos,
entidades ou processos autorizados.
Conformidade: consonância a dispositivos legais, normas, regulamentos e contratos.
Custodiante da informação: aquele que tem a posse da informação corporativa.
Direito de Acesso: é o privilégio associado a um cargo, função, pessoa ou processo para ter
acesso à informação.
Disponibilidade: é a garantia de que usuários autorizados têm acesso às informações sempre
que necessário.
Dispositivos móveis: notebooks, smartphones, tablets e similares.
Gestor da Informação: dependência/área ou funcionário do Banco do Brasil ou do
Conglomerado BB responsável pela gestão da informação (em suas diversas formas - impressa,
escrita, em meio eletrônico etc), durante todo o ciclo de vida, dentro do escopo de suas
atribuições/responsabilidades funcionais.
Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão
de conhecimento, contidos em qualquer meio, suporte ou formato.
Informação Corporativa: é todo conhecimento obtido por intermédio de uma mensagem ou
registro de dados gerados ou utilizados pelo Banco em seus processos. A informação pode estar
impressa, manuscrita, gravada em meios magnéticos/óticos ou ser de conhecimento dos
funcionários.
Integridade: garantia de que a informação não sofra alterações indevidas, não autorizadas ou
acidentais, mantendo sua completeza.
Log: conjunto de informações dos eventos relevantes de um sistema computacional, destinado
à coleta e retenção de evidências de uso e ao diagnóstico de fragilidades.
3
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

Malware, código malicioso, programa malicioso ou software malicioso: são expressões que
se referem a um programa que é inserido em um sistema, normalmente de forma encoberta, com
a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade da
informação, aplicativos ou do próprio sistema operacional.
Mesa Limpa: não deixar documentos contendo informações corporativas expostos sobre as
mesas, armários, estações de trabalho, salas e qualquer outro ambiente interno ou externo da
dependência.
Mídias de armazenamento: suporte para o registro de informações digitais, como discos
magnéticos e óticos, fitas, pendrives, cartuchos e etc.
Princípio do Privilégio Mínimo: define que o usuário da informação do Banco deve ter acesso
apenas aos recursos necessários ao exercício das atividades que desempenha e somente no
período de sua execução.
Ransoware: é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor
de "resgate" para que o acesso possa ser reestabelecido.
Recurso Criptográfico: sistema, programa, processo, equipamento isolado ou em rede que
utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração.
SaaS - Software as a Service ou Software como Serviço: uso de um software em regime de
utilização web.
Tela Limpa: caracteriza-se pela prática de bloquear a tela do computador, na ausência do
funcionário ou na presença de terceiros.
Terceiro: aquele não pertencente ao quadro funcional ativo do Banco que, por interesse do
serviço e previsão contratual ou imposição legal, estabeleça relacionamento com o BB (Ex.:
funcionários de empresas contratadas, consultores, adolescentes trabalhadores, estagiários
etc).
Tratamento da Informação: conjunto de ações e controles que, aplicados, têm o objetivo de
proteger as informações durante todo o seu ciclo de vida independentemente do meio em que
se encontra (físico ou lógico).
Usuário da Informação: aquele que tem acesso à informação corporativa.

Premissas de Segurança da Informação no BB

A informação corporativa é um ativo e possui valor para a organização.

Os atributos de confidencialidade, integridade e disponibilidade devem ser preservados durante
todo o ciclo de vida da informação.
Nos casos em que houver a perda de um ou mais atributos da informação causada por omissão,
negligência ou imprudência do usuário, além de ações comprovadas de dolo ou má-fé contra as
informações corporativas, estes serão analisados sob aspecto disciplinar.

Tratamento da Informação Corporativa em meio eletrônico

As informações corporativas em meio eletrônico devem ser tratadas observando os “Critérios de

Tratamento da Informação” (ANEXO 1).

Diretrizes de Tratamento da Informação Corporativa

Para a definição de controles quanto ao tratamento da informação, deve-se observar, no mínimo,
os seguintes estados da informação e respectivas orientações:
 Informação em uso - Estado da informação quando em utilização pelo usuário para o
desempenho de suas atividades. Deve-se controlar e monitorar as informações
corporativas observando a classificação da informação em uso. Orienta-se restringir a
saída de informações críticas de acordo com a política de segurança da informação.

4
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

 Informação em movimento - Estado da informação quando em transporte e/ou

transmissão ao destinatário ou para armazenamento e/ou descarte. Deve-se, no
transporte e transmissão, identificar a classificação das informações corporativas
envolvidas e assim, direcionar recursos condizentes com a criticidade, critérios de
tratamento e proteção dos atributos da informação.
 Informação em descanso - Estado da informação quando armazenada nos recursos
tecnológicos do Banco. Deve-se armazenar as informações corporativas com emprego
de recursos compatíveis com a classificação, observando a confidencialidade,
integridade e disponibilidade da informação.

Armazenamento, Cópias de Segurança e Restauração de Informações

As informações devem ser mantidas em estruturas dimensionadas, monitoradas e gerenciadas

de forma a:
 Garantir a sua confidencialidade, integridade e disponibilidade;
 Assegurar a capacidade adequada de processamento, armazenamento e recuperação
das informações nos prazos e condições acordados com os Gestores da Informação.
As estruturas, sistemas e produtos utilizados para arquivamento, cópias de segurança e
restauração de informações devem possuir Planos de Contingência elaborados pela equipe
responsável pelo processo, de acordo com os padrões definidos pela área tecnológica.
Todos os equipamentos que compõem a infraestrutura do ambiente devem estar com data e
hora sincronizadas, com fonte precisa de horário, para permitir o rastreamento de eventos.
No manuseio, guarda e substituição das mídias utilizadas devem ser observadas as
recomendações dos fabricantes e os guias de boas práticas amplamente aceitos.
Os arquivos de dados e informações devem ser identificados com denominação padronizada,
definida pela equipe responsável pelo serviço, contendo ao menos:
 Identificação do sistema ou aplicativo responsável pela geração e manutenção dos
dados;
 Funcionalidade, ambiente e segmento a que pertence.

Descarte
O descarte de informações impressas ou em meio eletrônico é de responsabilidade do usuário
ou dependência custodiante e deve ser feito de forma a não permitir sua recuperação.

As mídias de armazenamento inutilizáveis por defeito, obsolescência ou quaisquer outros

motivos, devem ficar sob a guarda do custodiante, em ambiente de acesso controlado e restrito,
até sua destruição.

A destruição das informações deve ser realizada por:

 Destruição física da mídia, e deve ocorrer semestralmente, ou por
 Sobrescrição de dados utilizando ferramenta corporativa específica (o processo de
sobrescrição deve ocorrer de forma que seja impossível a recuperação das
informações.)

Controles de Acesso

Diretrizes dos Controles de Acesso

Os controles de acesso à informação têm por objetivo sistematizar as concessões de acesso –
lógico e físico, a fim de evitar a quebra da segurança da informação.
A concessão de acesso no BB deve ser precedida de:
 Identificação: refere-se à afirmação de uma identidade única para um usuário ou sistema.
Exemplos de métodos de identificação: crachá, código ou chave de usuário, número de
conta, certificado digital, etc.

5
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

 Autenticação: é o processo de verificação da identidade do usuário, que deve ser feito

por um, ou por uma combinação, dos seguintes fatores:
o Conhecimento – fatores relacionados a algo que o usuário sabe, como uma
senha;
o Propriedade – fatores relacionados àquilo que o usuário possui, como um
crachá ou um token;
o Característica – fatores relacionados a atributos físicos ou outras
características únicas do usuário, como suas digitais ou seu padrão de retina.
 Autorização do usuário: é o processo de definir os recursos específicos que o usuário
precisa para o exercício de suas funções e determinar o tipo de acesso que ele pode ter.
A autorização orientar-se-á, obrigatoriamente, pelo princípio do privilégio mínimo.

Administrador de Acesso

A atribuição de administrador de acesso, observada a necessidade do serviço, é destinada a

Funcionários listados na IN 422

O Administrador de Acesso é responsável por:

 Cadastrar usuários e manter os cadastros atualizados;
 Habilitar ou desabilitar Código de Usuário;
 Habilitar ou desabilitar Administrador de Acesso;
 Atribuir nova senha para usuário;
 Gerenciar o direito de acesso às redes corporativas, sistemas e aplicativos, no âmbito
de sua unidade organizacional, com observância:
o do princípio do privilégio mínimo;
o das políticas de segurança da informação;
o dos critérios estabelecidos pelo Gestor da Informação.
 Reavaliar, a cada seis meses, as autorizações de acessos dos usuários sob sua gestão
e assinar eletronicamente o documento "Declaração de Reavaliação de Acessos
Concedidos";
 Zelar pelo cumprimento das instruções de segurança da informação;
Comunicar à área de Tecnologia, qualquer suspeita de tentativa de violação de
segurança dos sistemas informatizados do Banco;
 Conscientizar os usuários quanto:
o à responsabilidade no uso da informação;
o ao cumprimento das políticas e das normas de segurança da informação.

O Administrador de Acesso torna-se corresponsável pelos atos praticados pelo usuário

autorizado.

Classificação das Transações em Sistemas

As transações de sistemas informatizados materializam a automatização de processos e sua
classificação está relacionada ao acesso necessário para o desempenho de funções ou
atividades do usuário.
As transações devem ser classificadas conforme a tabela abaixo, observando o princípio do
privilégio mínimo:
Classificação das transações
CLASSIFICAÇÃO PÚBLICO-ALVO
$10 Sem restrições de acesso.
$20 Restrições de acesso opcionais.
$30 Restrições de acesso obrigatórias.
$40 Restrições de acesso obrigatórias. Somente podem ser concedidas a
funcionários ocupantes de Função de Confiança – FC
Fonte: IN 421
6
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

A transação deve ser classificada considerando as atividades desempenhadas pelo usuário,

prezando pela impossibilidade de acesso a transações que permitam acesso à informações
#confidenciais por funcionários não detentores de Função de Confiança, conforme IN 917.

Segurança no Acesso à Internet

Os acessos a endereços que expõem o Banco a riscos não são permitidos. São considerados
de risco os acessos a sítios, páginas ou programas que, por exemplo:

 contenham caráter erótico, nus, pornografia e material sexualmente explícito, em especial,

pedofilia;
 façam incitação à violência, ao ódio ou a qualquer forma de discriminação étnica, religiosa,
ideológica, política, social, de opção sexual, a gênero humano ou contra minorias;
 façam apologia ao uso ou comércio de quaisquer tipos de drogas ilícitas ou armas;
 estimulem ou façam incitação à degradação ambiental, ao crime e à pirataria;
 estimulem a disseminação de vírus, worms, trojans, códigos maliciosos e suas variações;
 contenham jogos eletrônicos, jogos ilegais ou salas de bate-papo;
 tenham como característica o alto consumo de banda, exemplo: música on-line, vídeos, entre
outros; ou
 possuam conteúdo que viole a Lei do Direito Autoral e a Propriedade Intelectual, expondo o
Banco a riscos legais.

Caso o usuário identifique alguma categorização de sites, que julgue equivocada, deve informar
o fato à Ditec para análise e recategorização.

A disponibilização de informações corporativas classificadas como #ultraconfidencial,

#confidencial, #interna em sítios externos é vedada, salvo quando expressamente autorizada
pelo Gestor da Informação.

É responsabilidade do administrador da dependência:

 acompanhar o uso da internet em sua dependência;
 conscientizar os colaboradores quanto ao uso do canal internet de forma ética e profissional,
conforme descrito nesta norma - Responsabilidade do Administrador de Acesso;
 solicitar à Ditec criação de regras de acesso para os grupos de exceção da internet;
 observar as atividades desenvolvidas pelo funcionário ao conceder acesso aos grupos de
exceção na internet.

LOG

O conjunto de informações dos eventos relevantes de um sistema é destinado a retenção de

evidências de uso e auxilia no diagnóstico de fragilidades, além de atender a requisitos legais.

Requisitos de Segurança para Registros (Log)

Os registros (log) devem ser:

 Protegidos de forma a manter a integridade das informações coletadas e permitir acesso
apenas de leitura;
o Devem ser gravadas as tentativas de alterações nos registros.
 Disponibilizados em conformidade com as leis e regulamentações vigentes;
 Implementados em todos os sistemas informatizados e recursos tecnológicos;
 Monitorados e analisados para identificação e correção de possíveis vulnerabilidades.

Os sistemas informatizados devem gravar em registro (Log) os seguintes eventos:

 Acessos autorizados;
 Acessos indevidos por ataques ou invasões;
 Tentativas de acessos não autorizados:
 ações de usuários rejeitadas ou processadas com falhas;
7
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

 violação das políticas de acesso.

 Operações privilegiadas:
 uso de contas privilegiadas;
 inicialização e finalização do sistema operacional;
 alterações ou tentativas de alterações nos controles e parâmetros de sistemas e recursos;
 alertas de:
o mensagens do console;
o registros das exceções do sistema operacional;
o gerenciamento da rede;
o Sistema de controle de acesso.

Os registros de log devem conter pelo menos:

 Identificador do usuário;
 Tipo do evento;
 Data e horário;
 Aplicativos utilizados;
 Arquivos acessados;
 Tipo de acesso (consulta ou alteração);
 Identificação do terminal;
 Endereços e protocolos de rede;
 Localização geográfica.

Alçada para solicitação de Arquivos de Log

As solicitações para o fornecimento de registros de Log devem obedecer às seguintes premissas:
 estar enquadrada em uma das seguintes situações:
 apuração de irregularidades por meio de inquérito administrativo;
 atendimento de solicitações judiciais;
 fraudes externas;
 reclamações de clientes (contestação de lançamentos, bloqueio de senha, etc.);
 para as demais situações o Gestor da Informação deve autorizar o fornecimento de Log.

Diretrizes de Segurança para Computação Na Nuvem (Cloud Computing)

O serviço disponibilizado pela solução deve:

 Garantir a confidencialidade, integridade e disponibilidade da informação;
 No contrato deve estar prevista uma disponibilidade de no mínimo 99,741%.
 Estar em conformidade com a norma ABNT NBR ISO/IEC 27001 e demais aplicáveis,
observando-se exigências do regulador da área de atuação a que se refere a informação;
 Realizar teste de análise de vulnerabilidades na infraestrutura de rede e aplicações web;
 Monitorar e controlar os acessos de usuários;
 Utilizar login individual e único de usuário;
 Não é permitido o uso de chave e senha SISBB na autenticação do usuário na solução, dada
à possibilidade de exposição desses dados no ambiente do fornecedor. No caso de uso de
padrão de senha adotado pelo BB, quando da autenticação em sites externos, a Diretoria de
Tecnologia do Banco deve ser consultada.
 Possuir políticas de controle e restrição de acessos, físicos e lógicos;
 Possuir políticas de gerenciamento de senhas;
 Possuir mecanismos de rastreabilidade dos eventos;
 Possuir trilha de auditoria, contemplando ao menos, o disposto na seção "Requisitos de
Segurança para Registros (Log)" deste normativo;
 Os registros de log devem ser acessados exclusivamente pelo BB.
 Possuir procedimento para monitoramento, detecção, análise, tratamento e notificação de
incidentes e eventos de segurança da informação;
 Utilizar criptografia que garanta a proteção das informações no armazenamento e tráfego,
com nível adequado à criticidade da informação;
 Observar as diretrizes de tratamento da informação corporativa.

8
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

Informações produzidas no Brasil, ou custodiadas por força de lei, regulamento ou norma

brasileira, devem ser armazenadas exclusivamente em território nacional, inclusive as cópias de
segurança;
Qualquer exceção à essa regra deve ser submetida ao Comitê Executivo de Prevenção a Ilícitos
Financeiros e Cambiais e Segurança da Informação - CEPI, com fundamentação pautada pela
legislação pertinente e pela Resolução Banco Central do Brasil Nº 4.474 de 31/03/2016, pelas
Normas Complementares à IN nº 01 GSI/PR/2008, do Gabinete de Segurança Institucional da
Presidência da República, e pelo manual "Boas práticas, orientações e vedações para
contratação de Serviços de Computação em Nuvem" do Ministério do Planejamento,
Desenvolvimento e Gestão - MPOG.
Armazenar as cópias de segurança (backup) em local físico distinto de onde estão armazenadas
as informações.
As cópias de segurança de documentos digitalizados relativos a operações e transações não
podem estar sob a guarda do fornecedor da solução, conforme Resolução Banco Central do
Brasil Nº 4.474, de 31/03/2016.
Além das diretrizes de segurança, na adoção da solução de computação em nuvem, devem ser
observadas as diretrizes relacionadas à:
 Gestão de Continuidade de Negócios;
 Gestão de Riscos de Segurança da Informação.

Diretrizes de Segurança da Informação em TI nos Tablets e Smartphones

Os tablets e smartphones devem atender aos seguintes requisitos:

 Processo formal de fornecimento e devolução dos equipamentos;
 Previsão para apagamento irreversível das informações corporativas quando da
devolução, descarte ou substituição junto ao fornecedor;
 Armazenamento das informações observando a Tabela de Critérios de Tratamento da
Informação Corporativa, inclusive no que tange à criptografia;
 Acesso ao correio eletrônico, exclusivamente, por ferramenta homologada.
Os usuários dos tablets e smartphones devem observar as orientações a seguir:
 Envidar esforços no sentido de manter a segurança física dos equipamentos, impedindo
o acesso de terceiros;
 Manter o equipamento com bloqueio de tela ativado ao ausentar-se;
 Instalar aplicativos de acordo com a necessidade do serviço, consultando a Ditec em
caso de dúvidas quanto a determinado aplicativo e das permissões solicitadas em sua
instalação;
 Não instalar programas ou aplicativos de origem desconhecida ou de fornecedor não
confiável, que possam trazer riscos ao equipamento e as informações corporativas ou
pessoais nele armazenadas;
 Reportar qualquer incidente com equipamento que possa indicar falha de segurança,
possível violação/comprometimento da confidencialidade das informações corporativas.

Configuração de Segurança em Tablets e Smartphones Android. Na disponibilização dos

dispositivos móveis devem:
 Atualizar o firmware do aparelho para a última versão disponibilizada pelo fabricante;
 Configurar a exigência do uso de senha (alfanumérica ou desenho) para desbloqueio do
aparelho;
 Desativar a visualização de senha (alfanumérica ou desenho) digitada.
 Habilitar o bloqueio automático do aparelho;
o O tempo máximo de inatividade para o bloqueio, não deve ser superior a dois
minutos.
 Desativar notificações automáticas de redes Wi-Fi;
 Bloquear a instalação de software de fontes desconhecidas (não oriundos do Google Play
Store);
 Desabilitar os recursos de depuração e desenvolvimento de software.

Browser (Navegador)
 Habilitar os avisos de segurança;
9
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

 Desabilitar o recurso de preenchimento automático de formulários;

 Bloquear pop-ups;
 Desabilitar o recurso de armazenamento de senhas do navegador.

Os usuários de dispositivos móveis devem:

 Zelar pelas recomendações de segurança e atentar pela manutenção das configurações do
aparelho;
 Utilizar senha (alfanumérica ou desenho) pessoal para desbloqueio do aparelho;
 A senha (alfanumérica ou desenho) deve ser alterada periodicamente. O período não deve
ser superior a 90 dias.
 Habilitar as opções de Wi-Fi e bluetooth apenas quando necessário, desabilitando-as quando
não estiverem sendo utilizadas.
o As redes Wi-FI públicas acessadas e dispositivos bluetooth pareados que não são
de uso particular, devem ser excluídos após utilização.
 Na devolução ou descarte do dispositivo todas as informações devem ser apagadas.
 Em caso de conserto do aparelho, todo o processo deve ser acompanhado pelo funcionário
do Banco. Na impossibilidade de acompanhamento, as informações devem ser previamente
apagadas e o cartão de memória removido.

Proteção Contra Malware

As estações de trabalho e os sistemas de informação devem ser protegidos contra malware com
a implementação de medidas de prevenção, detecção e correção para proteger as estações de
trabalho e os sistemas de informação contra malware, assegurado que:
 A instalação e atualização dos softwares de proteção ocorram regularmente;
 A instalação e atualização (patch) nas estações de trabalho devem ocorrer de forma
automática;
 Os softwares de proteção devem ser persistentes (enforced client), restabelecendo as
funcionalidades automaticamente, caso sejam desabilitadas.
 As estações de trabalho estejam protegidas contra instalação e execução de
arquivos/programas maliciosos;
 Realizar verificação, para detecção de malware em:
 Arquivos recebidos pela rede corporativa (inclusive download e correio eletrônico) ou por
mídias de armazenamento, antes da gravação;
 Arquivos ou programas, em memória, antes de serem executados;
 No disco rígido da estação de trabalho, periodicamente.
 Haja detecção e bloqueio de sites maliciosos ou suspeitos.
O usuário é responsável pela estação de trabalho com o seu login, devendo:
 Instalar apenas softwares disponibilizados ou autorizados pelo Banco;
 Manter as configurações de hardware e de software da estação de trabalho definidas
pela Diretoria de Tecnologia;
 Não explorar falhas ou vulnerabilidades, porventura existentes, nos sistemas utilizados;
 Ao detectar alguma falha ou vulnerabilidade comunicar, imediatamente, ao gestor do
sistema.
 Cumprir e zelar pelas normas de segurança da informação;
 Atentar para os alertas emitidos pelos softwares de segurança.

Criptografia de Informações Corporativas

A criptografia, ao permitir a cifragem de informações, de modo que só possuidores das chaves

utilizadas na cifragem tenham acesso a elas, impõe um controle adicional ao atributo da
confidencialidade.
O uso de criptografia destina-se à proteção da informação corporativa, durante todo o seu ciclo
de vida, observando-se a sua criticidade, atribuída pelo gestor da informação, e a tabela "Critérios
de Tratamento da Informação".

10
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
 #interna

Diretrizes de Segurança da Informação em TI para Desenvolvimento e

Obtenção de software seguro

O desenvolvimento e/ou aquisição de software deve observar boas práticas de codificação

segura (preferencialmente as oficiais, produzidas pelos desenvolvedores das linguagens), com
o intuito de mitigar o risco de exploração de vulnerabilidades de segurança da informação que
eventualmente existam nos softwares desenvolvidos ou adquiridos pelo BB.
Os requisitos de segurança da informação para o desenvolvimento e/ou aquisição de software
são influenciados pela Política de Segurança da Informação e demais normativos integrantes do
tema:

 Requisitos de Segurança - Aspectos Funcionais: Comportamentos que viabilizam a

criação ou a manutenção da segurança e, geralmente, podem ser testados diretamente,
podendo ser controle de acesso (papéis, gestores, credenciais etc), entre outros.
 Requisitos de Segurança - Aspectos Não Funcionais: Procedimentos necessários para
que o software permaneça executando suas funções adequadamente mesmo quando
sob uso indevido, podendo ser validação da entrada de dados (não restritas às
validações-padrão da linguagem), registro de LOG para análise forense, entre outros.

Os requisitos de segurança da informação em TI devem ser definidos no início do processo de

desenvolvimento e/ou obtenção de software, e devem contemplar controles para a proteção dos
ativos da informação, de acordo com a classificação da informação, da criticidade da informação
e da necessidade de manutenção dos atributos da confidencialidade, integridade e
disponibilidade.

 Podem ser utilizadas múltiplas camadas de controles de segurança da informação, de

acordo com a criticidade da informação ou do software;
 Mensagens de erro não devem revelar detalhes da estrutura interna do software;
 Deve haver processo de gerenciamento de código-fonte e das falhas/erros conhecidos.

11
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti

CLASSIFICAÇÃO
INFORMAÇÃO EM MOVIMENTO
Ambiente eletrônico
E-mail corporativo/correio Sisbb
(destinatário interno)
E-mail corporativo
(destinatário externo)
Sítios da internet
(exceto bb.com.br)
INFORMAÇÃO EM USO
Estações de trabalho
INFORMAÇÃO EM DESCANSO
Informações eletrônicas
(para todas as unidades)
Mídias removíveis (pen drive, HD externo)
e dispositivos móveis (notebook,
smartphones e celulares).
ANEXO 1
CRITÉRIOS DE TRATAMENTO DA INFORMAÇÃO
#UltraConfidencial #Confidencial #Interna #Pública
Utilizar canais que
No transporte e transmissão utilizar canais com solução de
Utilizar canais que impossibilitem a interceptação das informações e manter registro preservem a
criptografia, controle de acesso ao canal com restrição de
das atividades. integridade da
usuário e manter registro das atividades.
informação.
Não é permitido. Em casos extremos, com a anuência expressa
Utilizar Correio Sisbb via Mensagem para Exclusivamente com uso dos
do Dirigente Estatutário, deve-se utilizar solução de criptografia Sem precauções
Administradores, Nota Técnica Pessoal ou e-mail veículos de comunicação
disponibilizada pela Ditec e acionar “Manter particular” na adicionais.
corporativo com criptografia. administrativa (IN 513-1: 6)
ferramenta.
Uso desaconselhado. Caso necessário, somente
Usar apenas quando houver
com a anuência prévia do gestor da informação.
interesse negocial, desde que Sem precauções
Não é permitido. Utilizar solução de criptografia disponibilizada pela
autorizado pelo gestor da adicionais.
Ditec.
informação.
Não é permitido. Pode-se excetuar, mediante autorização formal do Gestor da
Sem precauções
Vedado o uso. Informação. Recomenda-se avaliação prévia da Ditec em relação à ferramenta
adicionais.
tecnológica e da Disin em relação à segurança da informação.
Estabelecer controle de acesso com restrição de usuário, Utilizar controle de versionamento e senhas
Utilizar controle de versionamento
controle de versionamento e senhas disponíveis nas disponíveis nas ferramentas tecnológicas. Utilizar Sem precauções
disponíveis nas ferramentas
ferramentas tecnológicas. Utilizar solução de criptografia solução de criptografia corporativa disponibilizada adicionais.
tecnológicas.
corporativa, em todo(s) o(s) disco(s), disponibilizada pela Ditec. pela Ditec.
Armazenamento em rede corporativa e controle de acessos Armazenamento em rede corporativa e controle de acessos compatíveis com a Sem precauções
compatíveis com a confidencialidade da informação. criticidade e confidencialidade da informação. adicionais.
Utilizar criptografia, guardar em armário de Utilizar criptografia, guardar em
segurança. Disponível para funcionário detentor de local restrito e trancado. Disponível Sem precauções
Vedado o uso.
Função de Confiança que necessitam pela natureza apenas aos que necessitam pela adicionais.
de seu trabalho. natureza de seu trabalho.
 #interna

Guardar em local restrito e

Guardar em armário de segurança. Disponível para
trancado. Acesso apenas aos que Sem precauções
Demais mídias Vedado o uso. funcionário detentor de Função de Confiança que
necessitam pela natureza de seu adicionais.
necessitam pela natureza de seu trabalho.
trabalho.

DESCARTE/DESTRUIÇÃO
Disquetes, CD’s e DVD’s. Pen drive, HD
Formatar a mídia com a utilização de ferramenta corporativa específica, fornecida pela Sem precauções
externo, Fita DAT, dispositivos móveis Vedado o uso.
Ditec e fragmentar, perfurar, picotar ou destruir, de forma a não permitir recuperação. adicionais.
(notebooks e celulares).
REUTILIZAÇÃO

Mídias removíveis, dispositivos móveis

Vedado o uso. Formatar a mídia previamente, com a utilização ferramenta corporativa específica, fornecida pela Ditec.
(notebooks, palm’s e celulares).

13
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti