Na NuInvest desenvolvemos soluções simples, seguras e 100% digitais para que você tenha o controle de seu investimento literalmente em suas mãos. Valorizamos nossos clientes e entendemos a importância da segurança cibernética para permitir que eles aproveitem nossos serviços com tranquilidade.
Aplicamos a estratégia de defesa em profundidade através da implementação de mais de uma camada de segurança, com o objetivo de mitigar o possível comprometimento de uma das camadas de defesa.
A segurança de suas informações está em nosso DNA, e disponibilizamos aqui um resumo de nossa Política de Cibersegurança (“Política”) para que você possa saber mais sobre nossas diretrizes para proteção de seus dados.
As empresas do Grupo Nubank e todos os seus funcionários, consultores, terceiros, fornecedores e parceiros estão sujeitos a esta política, caso acessem, armazenem, processem ou transmitam informações pertencentes a, ou sob a custódia do Nubank e NuInvest.
Confidencialidade:garantir que as informações sejam disponibilizadas ou divulgadas apenas a indivíduos, entidades ou processos autorizados;
Integridade:garantir que as informações sejam precisas, completas e protegidas de alterações indevidas, intencionais ou acidentais;
Disponibilidade:certifique-se de que as informações estão acessíveis e utilizáveis sob demanda por indivíduos, entidades ou processos autorizados.
O acesso a sistemas, recursos e outros ativos de informação deve ser concedido com base em:
Os acessos devem ser gerenciados por meio de um ciclo de vida, desde a criação até a desativação, incluindo revisões periódicas para precisão e adequação.
A composição da senha deve seguir os requisitos de complexidade e ser exclusiva. As senhas não devem ser reutilizadas, compartilhadas, armazenadas em arquivos ou gravadas em qualquer lugar.
Logs e trilhas de auditoria devem ser habilitados em ambientes de produção, protegidos de acessos não autorizados, alterações e devem ser registrados:
Algoritmos criptográficos devem ser aplicados conforme necessário em dados em repouso, em trânsito e/ou em uso;
Ferramentas e processos que visam evitar que informações confidenciais saiam do ambiente interno de uma organização sem autorização devem estar disponíveis;
Soluções e/ou processos que combinados permitem a prevenção, detecção e identificação de ataques aos componentes da infraestrutura devem estar implementados;
Um processo de gerenciamento de vulnerabilidades para apoiar o gerenciamento do ciclo de vida das vulnerabilidades, desde a identificação até a remediação, incluindo diretrizes para documentação, relatórios e divulgação, deve estar implementado;
Soluções de software de detecção, prevenção e recuperação de antimalware ou controles equivalentes devem estar disponíveis para proteger o ambiente da NuInvest;
Os ativos de informação considerados críticos ou que armazenam e/ou processam informações sensíveis devem ser restritos a áreas segregadas da rede com controles de acesso apropriados;
Os bancos de dados de produção devem ter backups suficientes para restaurar sistemas e serviços para funcionar em caso de perda de dados ou interrupção do serviço;
Durante o ciclo de vida de desenvolvimento do software, os requisitos de segurança devem ser aplicados para garantir a confidencialidade, integridade e disponibilidade das informações;
Uma avaliação de segurança deve ser realizada antes da implementação de qualquer nova tecnologia, ferramenta ou solução em produção;
Devem ser implementados os procedimentos e controles que visam prevenir, tratar e reduzir a vulnerabilidade do a incidentes de segurança cibernética, além de diretrizes para registro, análise de causa e impacto e avaliação da relevância dos incidentes;
As informações devem ser classificadas para auxiliar no mapeamento consistente dos ativos de informação e para estabelecer o nível de proteção que deve ser aplicado em seu armazenamento, transmissão e uso;
O Plano de Continuidade de Negócios (BCP) visa garantir que, em situação de crise, os processos essenciais e críticos sejam devidamente mantidos, preservando, assim, a continuidade das funções, operações e serviços críticos do negócio. O BCP deve ser testado anualmente;
Os treinamentos de conscientização devem ser obrigatórios e realizados anualmente, apresentando os princípios de segurança da informação para auxiliar os colaboradores a reconhecer situações de risco e agir corretamente;
O consumo e o compartilhamento de informações sobre incidentes e ameaças com outras instituições locais e globais devem ser feitos por meio de canais seguros;
A Política de Cibersegurança da NuInvest deve ser revisada pelo menos uma vez por ano.
Data da última revisão: 25/03/2022