Política de Segurança Cibernética Conglomerado Prudencial “EAGLE”
A "Política de Segurança Cibernética" do Conglomerado Prudencial "EAGLE" estabelece os princípios e práticas para garantir a confidencialidade, integridade e disponibilidade dos dados e sistemas utilizados pela instituição. O objetivo é prevenir, detectar e reduzir a vulnerabilidade a incidentes de segurança da informação, protegendo os direitos de liberdade e privacidade, em conformidade com a Resolução nº 4.893/21 do Banco Central do Brasil e a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Esta política se aplica a todos que têm acesso aos dados e sistemas da instituição, incluindo sócios, administradores, colaboradores, estagiários, prestadores de serviços e terceiros.
A disseminação da cultura de segurança cibernética é realizada por meio de programas de conscientização, capacitação e avaliações periódicas. A política e suas regras são divulgadas a todo o público-alvo, estando disponíveis para consulta e protegidas contra alterações. Informações sobre precauções na utilização de produtos e serviços financeiros, bem como um resumo das linhas gerais da política, são disponibilizadas na página da instituição na internet para clientes e usuários.
O programa de segurança da informação e cibernética é dividido em ações críticas (correções emergenciais), ações de sustentação (curto/médio prazo para mitigar riscos) e ações estruturantes (médio/longo prazo para tratar a causa raiz dos riscos).
A Diretoria é responsável por aprovar a política e garantir sua melhoria contínua. A área de Tecnologia da Informação é responsável por elaborar e executar o Plano de Respostas a Incidentes, garantir a melhoria contínua dos procedimentos, elaborar o relatório anual sobre a implementação do plano de ação e resposta a incidentes, comunicar incidentes relevantes ao Banco Central do Brasil e registrar e analisar a causa, impacto e controle dos incidentes relevantes.
Um relatório anual sobre a implementação do plano de ação e de resposta a incidentes é elaborado com data-base de 31 de dezembro de cada ano, sendo submetido ao comitê de risco (se existente) e apresentado ao conselho de administração ou à diretoria até 31 de março do ano seguinte. Este relatório deve abordar a efetividade das ações, os resultados da prevenção e resposta a incidentes, incidentes relevantes ocorridos e resultados de testes de continuidade de negócios.