Segurança da Informação

1. Política de Segurança da Informação

A Serasa Experian atua em serviços de informação e é responsável pela maior base de dados da América Latina. No Brasil, é sinônimo de solução para todas as etapas do ciclo de negócios e oferece os relatórios mais precisos e eficazes do mercado, tendo o compromisso de assegurar a disponibilidade, integridade e confidencialidade das informações por meio de soluções tecnológicas e inovadoras.

Pilares

Proteger os dados sob sua guarda e assegurar a conformidade com as Normas pertinentes e a legislações vigentes, seguindo também a regulamentação da Lei de Proteção de Dados, LGPD.

Atender as premissas de segurança da informação condizendo com nossos pilares: disponibilidade, confidencialidade e integridade dos nossos processos, em conformidade com o objetivo do nosso negócio.

Criar a cultura organizacional de Segurança da Informação e incentivando o comportamento seguro de todos os colaboradores.

Incentivar os nossos clientes e consumidores a adotarem as melhores práticas de segurança da informação, aumentando a satisfação do cliente aos nossos produtos e serviços.

Promover a melhoria contínua dos processos de SGSI (Sistema de Gestão de Segurança da Informação).

2. Certificação ISO 27001

A ISO/IEC 27001:2013 é um padrão de gestão da segurança da informação (ISMS – Information Security Management System) com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. A implementação dessa certificação proporciona um elevado compromisso com a proteção da informação, o que representa um alto nível de segurança para todos, em especial os clientes e consumidores que interagem com a Serasa Experian. Esse padrão de segurança internacional, amplamente reconhecido, especifica que a Serasa Experian:

  • Preserva a integridade e o sigilo dos dados armazenados através de uma plataforma tecnológica segura.

  • Garante que as estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro seguem as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados dos cadastrados, das autorizações e das solicitações de cancelamento e de reabertura de cadastro.

  • Garante a adequabilidade da política de segurança da informação sobre a criação, a guarda, a utilização e o descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou à utilização de informações por outras empresas prestadoras de serviço contratadas.

  • Garante a adequabilidade da política de estabelecimento da responsabilidade, principalmente quanto aos quesitos de sigilo e proteção das informações, de privacidade de dados dos clientes e de prevenção e tratamento de fraudes.

  • Mantém um programa de gestão de vulnerabilidades, programa de prevenção de vazamentos de dados e controles de acesso privilegiado.

  • Mantém procedimentos de segurança e realiza testes periódicos de firewalls, de vulnerabilidade e penetração, por entidade independente.

  • Mantém um programa de gestão de fornecedores que os classifique de acordo com a criticidade, com a adoção de regras de verificações de acordo com sua relevância, de modo a assegurar o cumprimento dos requisitos estabelecidos na política de segurança da Serasa Experian.

O programa de segurança da Serasa Experian está em acordo com as melhores práticas do setor, evidenciando o compromisso com a segurança da informação em todos os níveis da companhia. Além disso, auditores externos independentes atestam a cada três anos, com revisão anual, se o modelo de gestão de segurança da informação está dentro dos parâmetros aceitos internacionalmente.

A Certificação ISO 27001 foi emitida pela QMS Brasil e tem validade de três anos contados a partir de 30 de abril de 2024 (válido até 30 de abril de 2027).

3. Certificação ISO 27701

A certificação ISO/IEC 27701:2019, uma extensão da ISO/IEC 27001:2013, tem como objetivo verificar a adequação das organizações ao sistema de controle e gerenciamento de informações (PIMS - Privacy Information Management System). É reconhecida globalmente como a principal ferramenta de gestão para auxiliar as organizações na proteção de dados e na comprovação de adequação a esses regulamentos.

Portanto, a implementação da ISO/IEC 27701:2019, é uma adição necessária. Os controles especificados na norma permitem que a Serasa Experian documente evidências de como ela lida com o tratamento de dados pessoais, demonstrando a adequação aos controles de privacidade.

A Certificação ISO 27701 foi emitida pela QMS Brasil e tem validade de três anos contados a partir de 30 de abril de 2024 (válido até 30 de abril de 2027).

4. Política de Transparência de Uso e Coleta de Dados

A Serasa Experian está alinhada com as melhores práticas de mercado e embasada em uma robusta filosofia de transparência e respeito a todos, em especial os clientes e os consumidores.

Nossa Política de Transparência trata das diretrizes adotadas pela Serasa Experian em relação à recepção, armazenamento e utilização das informações provenientes do Cadastro Positivo, bem como dos direitos e obrigações das partes com relação a esses dados.

Veja o Relatório de Asseguração da Política de Transparência de Uso e Coleta de Dados emitido por empresa de auditoria independente registrada na Comissão de Valores Mobiliário, no qual foi executado procedimentos de revisão para verificar a aprovação, existência e divulgação da mesma em nosso website.

5. Identificando e Gerenciando Riscos

Identificar e gerenciar riscos é fundamental para a Serasa Experian. Isso nos ajuda a fornecer valor a longo prazo e a proteger nossos negócios, pessoas, ativos, capital e reputação.

Três Linhas de Defesa (3 Lines of Defense: 3LOD)

O modelo das 3LOD consiste em uma maneira simples e eficaz para melhorar o gerenciamento de riscos e o sistema de controles internos, esclarecendo os papeis e responsabilidade de cada colaborador, buscando alcançar os seguintes benefícios para a Serasa Experian:

  • Fortalecimento da Governança Corporativa: gerenciamento de riscos e controles internos;

  • Atribuição de responsabilidades: clareza de papeis;

  • Maior clareza e comunicação: relatório de riscos tempestivos, consistentes e abrangentes;

  • Melhoria de sinergia: entre todas as linhas de defesa;

  • Aumento de eficiência operacional: eliminação de controles duplicados e implementação de novos controles chave.

Esta abordagem distingue os três grupos envolvidos no gerenciamento de riscos: