COMPLIANCE & GOVERNANÇA CORPORATIVA EBANX
Gestão de Continuidade de Negócios
19 de abril de 2024
Índice
Introdução e Objetivos
Escopo e usuários
Termos e definições
Diretrizes
4.1. Comitê de Crise
Referências normativas
Publicação e distribuição de políticas
1. Introdução e Objetivos
Esta política visa apoiar as estratégias de todas as empresas do Grupo EBANX para garantir a entrega dos produtos e serviços oferecidos, é crucial colocar em prática uma estratégia eficiente de continuidade de negócios, para que os clientes do EBANX não sejam comprometidos em caso de interrupções de serviço devido a eventos inesperados, bem como o bem-estar dos ebankers considerando qualquer condição adversa, seja de ordem climática, regulatória ou operacional.
O principal objetivo do Business Continuity Management, ou Gestão de Continuidade de Negócios, é identificar estrategicamente os processos críticos da empresa e desenvolver uma estratégia de recuperação e planos de ação para garantir que todos os serviços essenciais funcionem corretamente mesmo quando enfrentam situações não planejadas.
Desta forma, esta política define procedimentos para garantir que o EBANX:
Esteja em conformidade com regulamentos, legislação e práticas de mercado bem recomendadas;
Esteja de acordo com os objetivos e a estratégia de negócios da organização;
Garanta que todos os funcionários do EBANX e quaisquer outras partes que atuam em nome da EBANX estejam cientes de suas responsabilidades em relação às estratégias de recuperação e continuidade dos negócios;
Estabeleça procedimentos adequados para a continuidade dos negócios, a fim de mitigar os riscos associados a interrupções de serviço não planejadas;
Tenha agilidade na avaliação e prevenção sobre os impactos econômicos e regulatórios em seus produtos e serviços, nos mais diversos países em que atua;
Evite/reduza os danos causados por eventos inesperados que podem causar interrupções na prestação de nossos serviços aos nossos clientes;
Proteja as operações da EBANX contra violações de confidencialidade, integridade e disponibilidade;
Defina, estabeleça e mantenha controles de continuidade de negócios eficazes, sustentáveis e mensuráveis.
Para isso, é essencial mantermos processos compatíveis com práticas de mercado bem recomendadas, como ISO 22301, ISO 27001 e Resolução 4557 do BACEN. Isso também garantirá a integridade das operações do EBANX e fortalecerá nossa confiabilidade e a confiança de nossos stakeholders.
2. Escopo e usuários
Cada área de negócios deve desenvolver um Business Continuity Plan considerando riscos para os requisitos de negócios, análise de impacto e recursos, resultando na definição de uma estratégia de Continuidade de Negócios.
Esta política é aplicável a todas as empresas do EBANX e considera a definição de Apetite de Risco da Política Global de Gestão de Riscos do EBANX, ou seja, com foco em processos com impacto de BIA médio, alto e muito alto. No entanto, não é aplicável para lugares onde um espaço de coworking é usado. Neste caso, a Política de Gestão de Continuidade de Negócios da empresa que presta o serviço de coworking deve ser seguida.
3. Termos e definições
Business Continuity Plan (BCP): refere-se a uma coleção documentada de procedimentos e informações que são desenvolvidas, compiladas e mantidas em prontidão para uso em um incidente para permitir que uma organização continue a fornecer seus serviços críticos em um nível predefinido aceitável.
Business Impact Analysis (BIA): é o processo utilizado para avaliar a criticidade e o impacto dos serviços e processos realizados pelas áreas em caso de interrupção inesperada, além de identificar seu tempo ideal de recuperação.
Business Continuity Management (BCM): é um processo que identifica potenciais ameaças a uma organização e os impactos às operações de negócios que essas ameaças, se realizadas, podem causar, e que fornece um quadro para a construção da resiliência organizacional com a capacidade de uma resposta eficaz que salvaguarda os interesses de suas principais partes interessadas, reputação, marca e atividades de criação de valor.
BCM Lifecycle: refere-se a uma série de atividades de continuidade de negócios que abrangem coletivamente todos os aspectos e fases do programa BCM, como conclusão/atualização dos documentos de BIA, BCP, Conscientização e Exercícios, que são realizados anualmente.
Disaster Recovery Plan (DRP): é um plano de continuidade de negócios em caso de desastre que comprometa parte ou todos os recursos da empresa, incluindo equipamentos de TI, registros de dados e o espaço físico de uma organização. IT Operations & Security (Cloud Ops & Corporate IT) é a área responsável no EBANX pela elaboração, teste e ativação do plano quando necessário, bem como enviar os resultados para a governança de Segurança da Informação (Infosec).
ebanker: termo utilizado para se referir aos profissionais do EBANX.
EBANX: todas as empresas do grupo econômico do EBANX.
Risk and Control Assessment (RCA): é um processo contínuo que visa mapear os principais processos dos negócios, identificar, avaliar e monitorar seus riscos e controles associados, identificar exposições de riscos e determinar ações corretivas. É realizado pelas áreas que executam os processos, com o apoio e governança da equipe de Risk Management.
Recovery Time Objective (RTO): é o período de tempo para retomar uma atividade ou processo crítico após sua interrupção.
Recovery Point Objective (RPO): é o tempo máximo de perda de dados tolerado pelo EBANX em um desastre.
4. Diretrizes
A Continuidade de Negócios deve ser uma atividade de propriedade das áreas, pois é apenas a área responsável por seus processos que pode determinar exatamente suas prioridades e nível de envolvimento interno e externo. O C-Level bem como todos os demais níveis de liderança devem estar envolvidos com a Gestão de Continuidade de Negócios para suas respectivas áreas e devem estar cientes sobre assuntos de Continuidade de Negócios para a sua estrutura.
Além das operações ou processos existentes, a Continuidade de Negócios precisa considerar os sistemas e suas informações relevantes e realizar uma análise de impacto de negócios realista e confiável. Esta informação irá orientar o time de IT Operations & Security (Cloud Ops & Corporate IT) na construção escopo do IT Disaster Recovery Plan (DRP), através do compartilhamento das informações levantadas no
Business Impact Analysis (BIA) quanto a processos críticos versus sistemas para garantir que todos os sistemas críticos estão sendo cobertos pelo DRP.
Na ocorrência de uma ameaça de crise, a área de Risk Management deverá ser comunicada para análise do possível impacto da crise ao EBANX. Todas as informações disponíveis serão levadas ao conhecimento de um ou mais membros do C-Level para que seja feito o acionamento do Comitê de Crise se decisões estratégicas forem necessárias. As reuniões poderão ocorrer presencialmente em qualquer uma das unidades do EBANX em que os membros do Comitê estejam presentes ou ainda remotamente através das ferramentas disponíveis.
Deve existir integração ativa por parte dos times de Information Security e Risk Management para capacitar todos os ebankers e Líderes para que estes estejam preparados para atuar com prevenção a risco em suas áreas. Os Líderes devem ser ativos em seu papel, sendo responsáveis por acompanhar a ativação do Call Tree e outros exercícios, bem como informar a área de Risk Management de todos e quaisquer incidentes relacionados a riscos.
O BCM LifeCycle consiste na revisão anual da Análise de Impacto ao Negócio (BIA) baseado no resultado do mapeamento do Risk and Control Assessment (RCA), o Plano de Continuidade de Negócios (BCP), Treinamentos e Exercícios de BCM realizados para todas as áreas de negócios do EBANX.
Para medir o cumprimento do objetivo desta política, o EBANX verificará anualmente se todas as áreas estão em conformidade com o Plano de Continuidade de Negócios formalmente estabelecido. Na área de Information Security, o pilar de Governança de Segurança e Continuidade é responsável por definir o método de medição da observação da política, que será realizada pelo menos uma vez por ano.
O time de Information Security (Governança de Segurança e Continuidade) deve informar os resultados do BCM Lifecycle para a liderança, incluindo, se necessário, planos de ação resultantes das necessidades de melhoria nas estratégias de contingência.
O resultado final de todos os testes realizados para garantir o cumprimento da estratégia de BCM estabelecida para cada equipe, será formalizado através de um Certificado Anual de Compliance, com a ciência do C-Level e Diretoria de GR&C e ITOps, que deve cobrir os planos de recuperação de grandes incidentes e negócios confirmando para cada área que planos estão atualizados e foram testados.
4.1. Comitê de Crise
Como parte do BCM, é crucial garantir que a EBANX tenha uma estrutura de governança de continuidade de negócios adequada para lidar com quaisquer riscos atuais ou emergentes. Esta estrutura deve estar preparada para responder aos mais diferentes tipos de eventos inesperados.
O Comitê de Crise é um comitê interdisciplinar sob responsabilidade de GR&C que está em vigor na sede do EBANX e é composto por líderes de diversas áreas (D and SM Levels). Outras pessoas poderão ser convidadas a participar se houver necessidade de conhecimento específico para aquela situação.
O principal objetivo deste comitê é lidar com as implicações estratégicas mais amplas, incluindo questões de risco de concentração. Em um cenário de crise, este grupo também é responsável por tomar decisões sobre priorização, alocação de recursos, entrega e implantação de processos críticos EBANX.
5. Referências normativas
Política Global de Gestão de Riscos do EBANX;
ISO 22301:2012;
ISO 27001:2013;
Resolução 4557 do BACEN;
6. Publicação e distribuição de políticas
Qualquer nova política ou modificação de documento existente deve ser disponibilizada a todas as partes interessadas.
Políticas estão disponíveis para consulta, pelos ebankers, na plataforma OneTrust, na seção “Políticas”.
Documentos públicos podem ser encontrados nos websites do EBANX.