No contexto atual, em que cada dia mais as organizações estão suscetíveis a ataques provenientes do espaço cibernético, é necessário que sejam adotadas medidas com o objetivo de identificar, proteger e responder rapidamente tais situações. Objetivo Apresentar a Política Institucional de Segurança Cibernética do Banco Mercantil do Brasil, que possui como premissa a proteção das informações da organização, seus clientes e partes interessadas, de forma a preservar os princípios da Confidencialidade, Integridade e Disponibilidade da informação, sem prejuízo da garantia de Autenticidade, Irretratabilidade (Não repúdio) e Legalidade. Revisão e Responsabilidades A Política Institucional de Segurança Cibernética do Banco Mercantil do Brasil tem periodicidade mínima anual. Sua aprovação é de responsabilidade do Conselho de Administração do Banco Mercantil do Brasil, o qual designou um Diretor de Segurança Cibernética como responsável por sua execução, comunicação e diretrizes. Diretrizes Gestão da criptografia: Com o objetivo de manter a confidencialidade e a integridade de dados, o Banco Mercantil do Brasil possui uma estratégia geral de criptografia que é ajustada para se adequar a diferentes aplicações e tipos de dados, de acordo com a criticidade e relevância avaliadas para cada cenário específico. Segurança antimalware: Todos os ativos das empresas do grupo Mercantil do Brasil possuem soluções de segurança e antimalware instalados, as quais estão definidas em procedimentos operacionais específicos para este fim. Gestão de vulnerabilidades: Com o objetivo de mitigar as ameaças de ataques cibernéticos, foram estabelecidos controles para a prevenção de vazamento de informações e contra softwares maliciosos. Aculturamento e treinamento: Os funcionários do grupo Mercantil do Brasil deverão participar de programas de capacitação e avaliação de riscos com foco em segurança cibernética. Prevenção e tratamento do vazamento de informações: O grupo Mercantil do Brasil irá adotar mecanismos que possibilitem a prevenção de riscos de ataques digitais, além de implementar novas ferramentas e controles otimizados para a rastreabilidade das informações classificadas como sensíveis. Auditoria e Monitoramento: Os fornecedores/empresas prestadoras de serviços deverão seguir normas e padrões de segurança da informação e segurança cibernética, a fim de garantir a mesma integridade e eficiência dos mecanismos utilizados para o monitoramento de seus ambientes de TI. Na ocorrência de qualquer incidente, o mesmo deve ser comunicado imediatamente ao representante do grupo Mercantil do Brasil para acompanhamento e demais providências conforme descrito no Plano de Resposta a Incidente de Segurança Cibernética da Política de Segurança da Informação. Políticas, Normas e Procedimentos relacionados Como parte integrante de um amplo plano de segurança da informação e segurança cibernética, essa política determina procedimentos e controles específicos para mitigar a vulnerabilidade do grupo Mercantil do Brasil a incidentes e atender aos demais objetivos de segurança cibernética. Considerações finais O presente documento entra em vigor a partir de sua aprovação, ficando à disposição dos órgãos de fiscalização e supervisão.