Política de Seguridad Cibernética

Firebit

1. OBJETIVO

Esta Política de Seguridad Cibernética ("Política") tiene como objetivo establecer directrices, responsabilidades, controles mínimos de seguridad cibernética aplicables a los Colaboradores para la protección de la información y los Activos, considerando la naturaleza crítica de sus operaciones, además de los límites de actuación de los Colaboradores en relación con la Seguridad de la Información, reforzando la cultura interna y priorizando las acciones necesarias a partir de los riesgos mapeados y gestionados.

2. DEFINICIONES

Para fines del presente documento, algunos términos, cuando se presenten de la forma descrita a continuación, ya sea en su forma singular o en su forma plural, deben ser entendidos de la siguiente manera:

  • Cactus: significa CACTUS FINANCIAL SERVICES LTDA, persona jurídica de derecho privado, inscrita en el CNPJ bajo el nº 62.578.460/0001-59, con sede en Rodovia Januario Carneiro, 8620, Sala 1101, Vale do Sereno, Nova Lima/MG, CEP: 34006-000, que también incluye las sociedades FIREBIT DIGITAL ASSETS – SOCIEDAD PRESTADORA DE SERVICIOS DE ACTIVOS DIGITALES LTDA, inscrita en el CNPJ bajo el nº 62.873.133/0001-20 y GLOBAL CRIPTO ASSETS LTDA, inscrita en el CNPJ bajo el nº 62.949.192/0001-34.
  • ANPD: es la Agencia Nacional de Protección de Datos, autarquía de naturaleza especial con atribuciones relacionadas con la protección de Datos Personales y la privacidad, incluyendo la fiscalización para el cumplimiento de la LGPD en todo el territorio nacional.
  • Activo: se refiere a cualquier bien, tangible o no, que tenga valor para Cactus.
  • Activo Virtual: es la representación digital de valor que puede ser negociada o transferida por medios electrónicos y utilizada para la realización de pagos o con propósito de inversión, no incluidos moneda nacional y monedas extranjeras; moneda electrónica en los términos de la Ley nº 12.865/2013; instrumentos que provean a su titular acceso a productos o servicios especificados o a beneficios provenientes de dichos productos o servicios, como por ejemplo puntos y recompensas de programas de fidelidad; y representaciones de activos cuya emisión, registro contable, negociación o liquidación esté prevista en ley o regulación, como por ejemplo valores mobiliarios y activos financieros.
  • Colaborador: significa todos los funcionarios, pasantes, terceros y prestadores de servicios que desempeñen funciones en nombre de Cactus.
  • Comité de Seguridad de la Información: se refiere al comité constituido para adoptar las medidas necesarias para tratar asuntos que involucren Seguridad de la Información, incluyendo posibles Incidentes de Seguridad de la Información.
  • Controles de Seguridad: son los mecanismos administrativos, físicos y/o técnicos adoptados por Cactus para la protección de la confidencialidad, integridad y disponibilidad de la información.
  • Credenciales de Acceso: se refieren a los métodos utilizados para verificar la identidad de un Colaborador en ambientes lógicos, generalmente compuestos por su nombre de usuario (login) y contraseña o por otros mecanismos de identificación y autenticación, tales como credencial magnética, certificado digital, token y biometría, entre otros.
  • Dato Personal: son todas las Informaciones que permitan la identificación de una persona física de forma directa o que puedan hacer a esa persona identificable.
  • Departamento de Recursos Humanos: es el departamento responsable de la gestión de recursos humanos en Cactus.
  • Departamento de Tecnología: es el departamento responsable de la gestión de Activos de tecnología de la información de Cactus.
  • Departamento Jurídico: es el departamento responsable de tratar asuntos jurídicos en Cactus.
  • Directores: son los responsables de la conducción, orientación, fiscalización y coordinación de las operaciones, del desarrollo tecnológico, comercial y de mercado, de la administración tecnológica y comercial y de la dirección, supervisión y coordinación de las operaciones y actividades financieras de Cactus y de sus subsidiarias y afiliadas.
  • Directorio: es el órgano, compuesto por los Directores, responsable de la administración y gestión estratégica de Cactus, garantizando la ejecución de las directrices y objetivos de la empresa.
  • Encargado: es el encargado de protección de datos, siendo la persona designada por Cactus para actuar como canal de comunicación entre la organización, los Titulares de Datos Personales y la ANPD y para asegurar que la organización esté en conformidad con las leyes y regulaciones de protección de Datos Personales.
  • Gerentes: son los responsables de la coordinación y ejecución de actividades operacionales de determinado departamento, sector o materia de Cactus.
  • Incidente de Seguridad de la Información: se refiere a una ocurrencia que compromete, real o potencialmente, la confidencialidad, integridad o disponibilidad de un sistema de información o de las informaciones que ese sistema procesa, almacena o transmite, o que constituye una violación o una amenaza inminente de violación de las políticas de seguridad, los procedimientos de seguridad o las políticas internas de Cactus.
  • LGPD: significa la Ley General de Protección de Datos Personales, Ley Federal nº 13.709/2018, según modificada, que regula las actividades de tratamiento de Datos Personales, inclusive en los medios digitales, por persona natural o por persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y de privacidad y el libre desarrollo de la personalidad de la persona natural.
  • Plan de Respuesta a Incidentes de Seguridad de la Información: es el documento de Cactus responsable de establecer las reglas, restricciones y el procedimiento relativos a la gestión de los Incidentes de Seguridad de la Información con el fin de mitigar los riesgos al negocio y a los Activos de Cactus.
  • Programa de Seguridad de la Información: significa el conjunto de normas, procedimientos y acciones relacionados con la Seguridad de la Información en Cactus, cuyo fundamento se encuentra en esta Política y en los procedimientos aquí descritos.
  • Recursos de TIC: significan los recursos de TIC (tecnología de la información y comunicación) de Cactus, incluyendo, pero no limitándose a, cualquier hardware, software, servicios de conexión y comunicación o de infraestructura física necesarios para la creación, registro, almacenamiento, manipulación, transporte, compartición y eliminación de información.
  • Seguridad de la Información: la protección de la información o de los sistemas de información contra acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de garantizar la confidencialidad, integridad y disponibilidad de la información.

3. ALCANCE

La Política se aplica a todos los Colaboradores en la medida de sus atribuciones y competencias, las cuales están descritas en la presente Política, siendo posible, según el caso, exigir su observancia a terceros que, de cualquier forma, actúen y/o interactúen con Cactus.

La Política se aplica a todos los Activos, incluyendo, pero no limitándose, a los Recursos de TIC, a las informaciones, a la infraestructura física, además de cualesquiera softwares y/o hardwares de uso y/o propiedad de Cactus.

En el contexto de las operaciones que involucren Activos Virtuales, esta Política se aplica, también, en lo que corresponda, a las actividades desempeñadas por empresas del grupo económico de Cactus, así como a socios, prestadores de servicios y terceros que actúen en operaciones integradas, incluyendo, pero no limitándose a servicios de intermediación, on-ramp y off-ramp, procesamiento de transacciones, custodia, infraestructura tecnológica o integraciones sistémicas, observadas las responsabilidades contractuales y los límites de actuación de cada parte.

4. PRINCIPIOS

Cactus tiene como compromiso garantizar la Seguridad de la Información y el tratamiento adecuado de sus informaciones. Para ello, debe basar sus actividades en los siguientes principios:

  • Confidencialidad: garantía de que solamente personas autorizadas tendrán acceso a las informaciones y únicamente cuando exista necesidad o pertinencia;
  • Integridad: garantía de que las informaciones permanecerán exactas, completas e íntegras;
  • Disponibilidad: garantía de que las informaciones estarán disponibles únicamente a las personas autorizadas siempre que sea necesario o pertinente.
  • Proporcionalidad al Riesgo: adopción de controles de seguridad compatibles con la criticidad de la información, del Activo y del impacto potencial a la operación de Cactus.

Posibilidad de Monitoreo. Cactus podrá realizar y tiene el derecho de realizar el monitoreo, continuo y/o puntual, de sus ambientes físicos y digitales con el fin de garantizar la seguridad de los Activos, Recursos de TIC y/o informaciones de Cactus, de los Colaboradores y de la operación en general, de modo que todo Colaborador tiene conocimiento de que toda su interacción con Activos, Recursos de TIC, Informaciones e instalaciones son monitoreados, sin poseer ninguna expectativa de privacidad respecto a tales interacciones o respecto a Informaciones que pueda almacenar en cualesquiera Activos de Cactus, especialmente los Recursos de TIC de propiedad y/o uso de Cactus.

En caso de que el Colaborador utilice dispositivos, sistemas o redes particulares para la ejecución de sus actividades profesionales, sin perjuicio de las prohibiciones o penalidades previstas en esta Política, tales dispositivos, sistemas y redes particulares estarán igualmente sujetos al monitoreo de Cactus, debiendo el Colaborador entregarlos para inspección siempre que así sea solicitado por el Departamento de Tecnología, sin poseer ninguna expectativa de privacidad respecto a tales dispositivos, sistemas y redes que contengan alguna información de Cactus.

5. DIRECTRICES GENERALES

Al utilizar o de cualquier forma interactuar con los Activos, especialmente los Recursos de TIC, el Colaborador deberá, en la medida de sus atribuciones y/o competencias:

  • Preservar y proteger la información, en todo su ciclo de vida, contenida en cualquier soporte o formato, contra vulnerabilidades, accesos indebidos, modificaciones, destrucciones, divulgaciones no autorizadas y amenazas, inclusive adoptando los mecanismos de prevención, detección, análisis y erradicación de amenazas y/o vulnerabilidades para la protección de los Activos;
  • Observar integralmente la presente Política y demás políticas, directrices, normas y/o reglas de Seguridad de la Información adoptadas por Cactus;
  • Adoptar los Controles de Seguridad determinados por Cactus, absteniéndose de emplear o, de cualquier forma, utilizar mecanismos capaces de eludir los Controles de Seguridad;
  • Prevenir y reducir los impactos generados por los Incidentes de Seguridad de la Información, asegurando la confidencialidad, integridad, disponibilidad, autenticidad y legalidad en las hipótesis de incidente descritas;
  • Garantizar la seguridad y el tratamiento adecuado de las informaciones, asegurando el cumplimiento de los principios de confidencialidad, integridad y disponibilidad de la información;
  • Garantizar que todas las informaciones sean tratadas de manera ética y confidencial y que sean adoptadas medidas capaces de evitar accesos indebidos, modificaciones, destrucciones, divulgaciones no autorizadas o amenazas; y
  • Garantizar que todos los Colaboradores tengan acceso personal, intransferible y restringido para realizar sus atribuciones en Cactus.

6. ESTRUCTURA DE GOBERNANZA

Responsables del Programa de Seguridad de la Información. Son responsables de la ejecución, coordinación, supervisión y gestión del Programa de Seguridad de la Información, conforme a las atribuciones específicas definidas en esta Política: (i) el Directorio, (ii) el Comité de Seguridad de la Información, (iii) el Departamento de Tecnología, (iv) el Encargado, (v) el Departamento Jurídico, (vi) el Departamento de Recursos Humanos, (vii) los Directores, (viii) los Gerentes y (ix) los Colaboradores.

Comité de Seguridad de la Información. Para la supervisión y coordinación de las actividades ordinarias y extraordinarias en el contexto del Programa de Seguridad de la Información, queda constituido el Comité de Seguridad de la Información, cuya operación deberá considerar, en la definición de prioridades y controles, el impacto de las decisiones sobre ambientes críticos de la operación, basándose en las siguientes reglas:

  • Composición. El Comité de Seguridad de la Información estará compuesto por 3 (tres) miembros, siendo: (i) el Director/Gerente del Departamento Jurídico, (ii) el Encargado y (iii) el Director/Gerente del Departamento de Tecnología.
  • Presidencia. La presidencia del Comité de Seguridad de la Información será ejercida por uno de sus tres miembros, mediante decisión del Directorio, quien actuará como representante del Comité de Seguridad de la Información ante los demás órganos de Cactus y del propio Directorio.
  • Decisiones. Todas las decisiones del Comité de Seguridad de la Información serán tomadas por mayoría simple.
  • Desempate. El desempate será realizado por el voto del representante que ocupe la posición de presidente del Comité de Seguridad de la Información en el momento de la toma de decisión.
  • Sustitución. En caso de salida, promoción, desvinculación o impedimento de cualquier naturaleza para el ejercicio de las actividades de miembro del Comité de Seguridad de la Información, el Comité de Seguridad de la Información notificará al Directorio para la sustitución del miembro y recomposición del Comité de Seguridad de la Información, siendo que tal nombramiento será realizado en hasta 30 (treinta) días corridos.

6.1. Responsabilidades

Esta sección designa los deberes y responsabilidades de las principales partes responsables de la implementación y gestión del Programa de Seguridad de la Información, conforme se describe a continuación.

6.2. Atribuciones del Directorio

Corresponde al Directorio, en el contexto del Programa de Seguridad de la Información:

  • Analizar, aprobar y declarar formalmente su compromiso con esta Política;
  • Deliberar y aprobar la adopción de estrategias y medidas necesarias para garantizar la Seguridad de la Información en Cactus, incluyendo, pero no limitándose a, (i) aprobación del presupuesto anual y planificación estratégica, (ii) adopción, actualización y mantenimiento de los Controles de Seguridad necesarios, que serán aplicados por el Departamento de Tecnología, especialmente aquellos sugeridos por el Comité de Seguridad de la Información y/o consultores externos contratados para ese fin;
  • Analizar, deliberar y aprobar medidas, estrategias y acciones necesarias para la gestión y respuesta a Incidentes de Seguridad de la Información en conformidad con las disposiciones del Plan de Respuesta a Incidentes de Seguridad de la Información;
  • Asumir la responsabilidad por decisiones previamente sometidas al Comité de Seguridad de la Información siempre que el Directorio considere que existe un riesgo elevado a la Seguridad de la Información de Cactus;
  • Aprobar políticas y normas corporativas desarrolladas para, entre otros, garantía de la Seguridad de la Información, protección de Datos Personales y ciberseguridad.

El Directorio podrá ejercer cualquiera de las competencias indicadas anteriormente mediante firma individual de cualquier Director o, en caso de actos que impliquen la asunción de obligaciones por Cactus, conforme lo definido en el estatuto social de la sociedad.

6.3. Atribuciones del Comité de Seguridad de la Información

Corresponde al Comité de Seguridad de la Información, en el contexto del Programa de Seguridad de la Información:

  • Promover y gestionar el Programa de Seguridad de la Información de Cactus, buscando la implementación de Controles de Seguridad, modelos, frameworks y recursos necesarios para proteger los Activos de Cactus;
  • Proporcionar soporte técnico y operacional al Directorio en asuntos relacionados con la Seguridad de la Información, incluyendo, pero no limitándose a, adopción de Controles de Seguridad, gestión de Incidentes de Seguridad de la Información, así como evaluación y gestión de riesgos a los Activos de Cactus, con el objetivo de garantizar los principios de confidencialidad, integridad y disponibilidad de la información;
  • Presentar y proponer al Directorio el presupuesto y las inversiones necesarias en Seguridad de la Información en Cactus, incluyendo consideraciones estratégicas relevantes sobre viabilidad e impacto en los procesos de negocio;
  • Recomendar acciones preventivas para la protección de los Activos, informaciones y/o Recursos de TIC de Cactus;
  • Solicitar apoyo del Departamento de Tecnología para la adecuada comprensión de los riesgos asociados a la implementación o no de Controles de Seguridad en la protección de los Activos, Recursos de TIC y/o Informaciones de Cactus, así como para la selección, análisis y proposición de Controles de Seguridad a ser implementados;
  • Orientar a los Colaboradores para que las actividades desempeñadas por los departamentos descritos en la presente Política estén adecuadas a los negocios de Cactus y a las mejores prácticas del mercado.

6.4. Atribuciones del Departamento de Tecnología

Corresponde al Departamento de Tecnología, en el contexto del Programa de Seguridad de la Información:

  • Garantizar la aplicación de esta Política dentro de su ámbito de responsabilidades y de cualesquiera otros documentos complementarios aplicables;
  • Proporcionar el soporte necesario en proyectos orientados a la evaluación e implementación de mejoras en los Controles de Seguridad de Cactus, especialmente en relación con asuntos planteados por consultores externos contratados para ese fin (assessment);
  • Implementar los Controles de Seguridad necesarios, en especial los Controles de Seguridad técnicos, cuya adopción pueda ser solicitada por el Directorio, por el Comité de Seguridad de la Información o por consultores externos contratados para ese fin;
  • Gestionar, mantener y administrar los Recursos de TIC pertenecientes a Cactus o bajo responsabilidad de Cactus;
  • Proporcionar y gestionar las Credenciales de Acceso;
  • Crear y mantener un inventario del hardware, software y Activos de Cactus;
  • Analizar o asistir en el análisis de Incidentes de Seguridad de la Información ocurridos en Cactus, conforme a las disposiciones del Plan de Respuesta a Incidentes de Seguridad de la Información;
  • Asistir en la recuperación en situaciones de contingencia que involucren sistemas y procesos que dependan de los Recursos de TIC de Cactus;
  • Mantener procedimientos de respaldo para la recuperación de las aplicaciones de Cactus;
  • Realizar mantenimiento, actualizaciones y correcciones de fallas técnicas en los Activos y Recursos de TIC de Cactus;
  • Colaborar con el Comité de Seguridad de la Información siempre que sea solicitado o conforme sea apropiado;
  • Asistir, siempre que sea necesario y demandado, en la gestión de contratación de terceros para verificar, entre otros asuntos, el nivel de madurez de terceros a ser contratados y los potenciales riesgos de Seguridad de la Información al establecer relaciones comerciales con terceros.

6.5. Atribuciones del Encargado

Corresponde al Encargado, en el contexto del Programa de Seguridad de la Información:

  • Recomendar al Comité de Seguridad de la Información, al Directorio o a cualquier otro órgano relevante la implementación de los Controles de Seguridad necesarios para garantizar la confidencialidad, disponibilidad y/o integridad de las informaciones y/o Activos;
  • Asegurar que el Programa de Seguridad de la Información de Cactus esté en conformidad con los parámetros exigidos para la protección de Datos Personales, especialmente aquellos establecidos en la LGPD y/o en las recomendaciones y directrices de la ANPD;
  • Asistir al Comité de Seguridad de la Información, al Directorio o a cualquier otro órgano en la evaluación de una amenaza, sospecha o Incidente de Seguridad de la Información que pueda involucrar Datos Personales y, en caso afirmativo, adoptar las medidas exigidas por el Plan de Respuesta a Incidentes de Seguridad de la Información.

6.6. Atribuciones del Departamento Jurídico

Corresponde al Departamento Jurídico, en el contexto del Programa de Seguridad de la Información:

  • Asesorar al Directorio, al Comité de Seguridad de la Información y al Encargado, en el ámbito de sus atribuciones y responsabilidades;
  • Revisar, analizar y validar minutas de contratos y/u otros instrumentos jurídicos que, de alguna forma, traten de reglas y normas relacionadas con la Seguridad de la Información, especialmente cuando terceros prestan servicios para Cactus;
  • Redactar Acuerdos de Confidencialidad (Non-Disclosure Agreements – NDAs) y/u otros documentos necesarios que involucren la adhesión a esta Política y al Plan de Respuesta a Incidentes de Seguridad de la Información;
  • Asistir en la evaluación, siempre que sea solicitado, de los riesgos jurídicos derivados de un Incidente de Seguridad de la Información, en conformidad con las responsabilidades descritas en el Plan de Respuesta a Incidentes de Seguridad de la Información;
  • Manejar, siempre que sea necesario, procedimientos judiciales y/o extrajudiciales que involucren Incidentes de Seguridad de la Información y/o violaciones de esta Política.

6.7. Atribuciones del Departamento de Recursos Humanos

Corresponde al Departamento de Recursos Humanos, en el contexto del Programa de Seguridad de la Información:

  • Coordinar capacitaciones internas, especialmente al momento del ingreso del Colaborador a Cactus, sobre Seguridad de la Información orientadas a guiar a los Colaboradores sobre aspectos relevantes del Programa de Seguridad de la Información y de las normas aplicables, especialmente de la presente Política, incluyendo la generación de evidencias de tales capacitaciones.

6.8. Atribuciones de los Gerentes

Corresponde a los Gerentes, en el contexto del Programa de Seguridad de la Información:

  • Gestionar el cumplimiento de esta Política por los Colaboradores bajo su supervisión, garantizando la adherencia a las normas internas aplicables;
  • Recibir comunicaciones de sus Colaboradores sobre la ocurrencia o sospecha de ocurrencia de un Incidente de Seguridad de la Información y canalizarlas prontamente al Departamento de Tecnología u otro órgano aplicable;
  • Verificar que los Colaboradores bajo su supervisión utilicen los Recursos de TIC en conformidad con la presente Política;
  • Cooperar con el Comité de Seguridad de la Información en la investigación de cualquier Incidente de Seguridad de la Información, proporcionando toda la información solicitada sobre la ocurrencia;
  • Cooperar con el Comité de Seguridad de la Información en la implementación de medidas para mitigar o remediar los efectos de Incidentes de Seguridad de la Información causados por Colaboradores bajo su supervisión.

6.9. Atribuciones de los Colaboradores

Corresponde a los Colaboradores, en el contexto del Programa de Seguridad de la Información:

  • Estar informados, mantenerse actualizados y cumplir integralmente esta Política y cualesquiera documentos complementarios, firmando la declaración de conocimiento y responsabilidad referente a esta Política y participando en todas las capacitaciones aplicables;
  • Asistir en los procesos necesarios para implementar Controles de Seguridad o cualesquiera otras medidas necesarias para proteger los Activos, Recursos de TIC y/o las Informaciones de Cactus;
  • Utilizar los Activos pertenecientes o bajo responsabilidad de Cactus de acuerdo con las orientaciones de los fabricantes y desarrolladores, así como con las instrucciones de Cactus, con el debido cuidado y en conformidad con los reglamentos internos;
  • Utilizar los Activos y las informaciones exclusivamente para fines profesionales, de forma ética y legal, respetando el alcance de uso permitido y en conformidad con los reglamentos internos;
  • Preservar la integridad, disponibilidad, confidencialidad y autenticidad de las informaciones, absteniéndose de utilizarlas, enviarlas, transmitirlas o compartirlas de forma inadecuada, en cualquier lugar o medio, incluyendo internet;
  • Notificar al Departamento de Tecnología en caso de fallas en los Activos o Recursos de TIC para que el Departamento de Tecnología pueda realizar mantenimientos, actualizaciones o correcciones de fallas técnicas;
  • Abstenerse de realizar o solicitar cualquier mantenimiento, actualización o corrección técnica en Activos o Recursos de TIC por terceros no autorizados por el Departamento de Tecnología;
  • Asegurar la seguridad de sus Credenciales de Acceso, especialmente login y contraseña, absteniéndose de compartirlas, divulgarlas o transferirlas a terceros;
  • Mantener vigilancia sobre todas las actividades realizadas en los Recursos de TIC de Cactus mediante el uso de sus propias Credenciales de Acceso;
  • Reportar formalmente al Director o Gerente responsable, al Encargado y/o al Departamento de Tecnología cualesquiera eventos relacionados con una violación o posible violación de seguridad de sus Credenciales de Acceso o cualesquiera actividades sospechosas de las que tenga conocimiento;
  • Notificar prontamente al Director o Gerente responsable, al Encargado o al Departamento de Tecnología sobre la ocurrencia o sospecha de ocurrencia de un Incidente de Seguridad de la Información.

7. DIRECTRICES ESPECÍFICAS

Cactus deberá implementar un proceso de gestión de riesgos de Seguridad de la Información. Cactus debe implementar un proceso de gestión de riesgos de Seguridad de la Información para viabilizar la identificación, gestión, mitigación y resolución de riesgos de Seguridad de la Información de acuerdo con los objetivos de negocio de Cactus y para proteger sus Activos.

  • Clasificación de la Información. Las informaciones de Cactus deberán ser clasificadas de acuerdo con su grado de sensibilidad e impacto en el negocio, siendo, como mínimo, categorizadas como: (i) públicas; (ii) internas; (iii) confidenciales; y (iv) críticas. Las informaciones clasificadas como críticas estarán sujetas a controles de seguridad reforzados, definidos en normas y procedimientos específicos, incluyendo restricciones adicionales de acceso, monitoreo continuo y medidas de protección técnica y organizacional compatibles con el riesgo involucrado.
  • Deberán ser implementados mecanismos adecuados de gestión de contraseñas. Cada Colaborador recibirá una credencial de acceso individual, especialmente una contraseña personal, para acceso a los sistemas de la empresa, la cual no podrá ser compartida con terceros. Cactus deberá adoptar mecanismos que aseguren la complejidad, cambio periódico, almacenamiento de historial de contraseñas y eviten el uso de contraseñas predeterminadas.
  • Deberán ser adoptadas medidas adicionales de seguridad para el acceso a sistemas, bases de datos o dispositivos móviles. Para impedir el acceso no autorizado a los sistemas o a la base de datos de Cactus, deberán ser utilizados mecanismos de autenticación multifactor en sistemas, bases de datos o dispositivos móviles que contengan información, incluyendo Datos Personales, como celulares y laptops, cuando estén disponibles.
  • Los Activos deberán ser inventariados y protegidos. Los Activos de Cactus, especialmente los Recursos de TIC, deberán ser debidamente inventariados y protegidos de accesos indebidos o amenazas que puedan comprometer los negocios de Cactus. De esta forma, Cactus deberá asegurar la protección de los Activos durante todo su ciclo de vida con el fin de garantizar que los principios de confidencialidad, integridad y disponibilidad sean cumplidos integralmente. Cactus deberá inventariar y cifrar datos de dispositivos externos y almacenarlos en lugares seguros.
  • Los medios físicos que contengan Datos Personales deberán ser formateados y sobrescritos. Cactus deberá formatear y sobrescribir medios físicos que contengan Datos Personales antes de descartarlos o, cuando no sea posible, deberá destruir los medios físicos.
  • Solamente individuos autorizados podrán tener acceso a las Informaciones y a los ambientes técnicos de Cactus. Cactus deberá adoptar mecanismos para garantizar que solamente individuos autorizados tendrán acceso a las Informaciones y a los ambientes tecnológicos de Cactus y, para ello, tomará en consideración el principio del menor privilegio y la segregación de funciones.
  • El acceso al ambiente digital de Cactus deberá ser monitoreado y controlado. Cactus deberá adoptar reglas de control de acceso en toda su estructura, Activos e informaciones con el fin de impedir el acceso de individuos no autorizados.
  • El acceso a los ambientes físicos deberá ser controlado y monitoreado. Cactus deberá implementar un sistema de control de acceso a los Activos físicos mediante, entre otros, la utilización de Credenciales de Acceso con el fin de impedir el acceso de individuos no autorizados. Los equipos e instalaciones de procesamiento de información crítica deberán ser mantenidos en áreas seguras, con niveles de control de acceso apropiados, incluyendo protección contra amenazas físicas y ambientales.
  • Deberá realizarse respaldo de las informaciones. Cactus deberá adoptar una rutina de respaldo y restauración de los datos para asegurar la disponibilidad de las informaciones relevantes para el pleno funcionamiento de las actividades de la empresa.
  • Deberán ser implementadas medidas para protección contra virus, archivos y softwares maliciosos. Cactus deberá adoptar mecanismos para prevenir que virus y otros tipos de software y conductas maliciosas, como phishing, malware, spam, worms, ransomwares, entre otros, se propaguen por los computadores, laptops, sistemas y servidores internos y expongan a Cactus a vulnerabilidades. Para ello, softwares de seguridad, como antivirus, firewalls, software de prevención de intrusiones (intrusion prevention systems) o detección de intrusiones (intrusion detection systems) deberán estar instalados y actualizados en toda la red interna y computadores de Cactus, según las reglas internas aplicables.
  • Las Informaciones de Cactus y los Activos solo pueden ser usados en el ejercicio de las actividades profesionales de cada Colaborador dentro de Cactus. El Colaborador deberá abstenerse de utilizar las Informaciones de Cactus y los Activos para finalidades particulares o comerciales, o aun para cualquier propósito que no esté expresamente relacionado con sus actividades en Cactus.
  • Los Recursos de TIC deberán ser usados únicamente para fines profesionales. Los Recursos de TIC deberán ser utilizados solamente para fines profesionales, de modo lícito, ético y moral y conforme a las reglas y normas internas de Cactus.
  • Deberá ser respetado el sigilo de las Informaciones de Cactus. Está prohibida la revelación de información de Cactus que sea clasificada como confidencial, reservada o de acceso restringido sin la previa y formal autorización del Director o Gerente responsable y/o del Encargado, exceptuándose la información clasificada como pública.
  • Deberán ser firmados acuerdos de confidencialidad para el compartimiento de Informaciones de Cactus. En las contrataciones en que ocurra el compartimiento de informaciones de Cactus o la concesión de acceso a sus ambientes o Activos deberán ser precedidas de la firma de acuerdos de confidencialidad y/o cláusulas contractuales relacionadas con la Seguridad de la Información, según corresponda.
  • Concientización y capacitación. Cactus está comprometida con la Seguridad de la Información y, para ello, deberá promover medidas de concientización de sus Colaboradores respecto al tema mediante capacitaciones y campañas. Adicionalmente, Cactus deberá poner a disposición esta Política en su integridad, facilitando la consulta de todos los Colaboradores.
  • Ambientes Críticos. Los ambientes tecnológicos que soporten operaciones, integraciones sensibles, APIs, procesamiento financiero o servicios relacionados con Activos Virtuales deberán poseer Controles de Seguridad reforzados, incluyendo segregación de ambientes, control riguroso de accesos, monitoreo continuo y registro de eventos. Los ambientes tecnológicos que soporten las operaciones mencionadas deberán ser segregados, siempre que sea técnicamente viable, de los ambientes administrativos, de pruebas y de desarrollo, adoptándose controles de acceso diferenciados, principio del menor privilegio y segregación de funciones.
  • Mecanismos de registro. Cactus deberá adoptar mecanismos de registro, retención y monitoreo de eventos de seguridad en ambientes críticos, incluyendo sistemas internos, integraciones financieras, APIs y servicios relacionados con activos virtuales, de modo que permitan la detección de incidentes, la investigación de eventos sospechosos y el cumplimiento de obligaciones legales y regulatorias.

8. GESTIÓN DE TERCEROS

Cactus deberá verificar el grado de compromiso de sus prestadores de servicios, proveedores y socios que procesan y almacenan datos de Cactus en cuanto a la Seguridad de la Información, especialmente en cuanto a los Controles de Seguridad adoptados y la observancia de los estándares de Seguridad de la Información exigidos por la LGPD. Para ello, Cactus deberá, previamente a la contratación de terceros:

  • Incluir cláusulas específicas sobre Seguridad de la Información y protección de Datos Personales en los contratos celebrados con terceros;
  • Dependiendo del nivel de injerencia en los Activos y/o Informaciones de Cactus, requerir documentos y demás subsidios que comprueben un nivel de madurez suficiente en Seguridad de la Información y protección de Datos Personales.

9. CANALES DE COMUNICACIÓN SOBRE INCUMPLIMIENTO DE ESTA POLÍTICA

Cualquier violación o incumplimiento, actual o sospechado, de esta Política debe ser inmediatamente comunicada al Departamento de Tecnología, mediante el formulario interno del Departamento de Tecnología.

Además, en caso de cualquier sospecha de Incidente de Seguridad que involucre Datos Personales, el Encargado, además del Departamento de Tecnología, deberá ser comunicado mediante el siguiente correo electrónico: [correo electrónico de comunicación de Incidentes de Seguridad de la Información].

10. SANCIONES

Las violaciones a las disposiciones establecidas en esta Política o en cualesquiera de los documentos complementarios de Cactus podrán sujetar al Colaborador a las siguientes penalidades:

  • participación obligatoria en programas de capacitación o formación;
  • advertencia verbal o escrita;
  • suspensión;
  • pérdida total o parcial de la remuneración variable (si la hubiere);
  • despido, desvinculación, exclusión de la sociedad y/o rescisión de contrato de prestación de servicios (según corresponda); y
  • demás medidas previstas en el reglamento interno, o de naturaleza civil y penal, según sea aplicable a la infracción en cuestión.