Política de Segurança da Informação e Cibernética

1 Objetivo

A Política de Segurança da Informação e Cibernética da CDC Sociedade de Crédito Direto S.A. estabelece os princípios, diretrizes e responsabilidades para a proteção das informações e dos ativos tecnológicos da instituição, em conformidade com a Resolução CMN nº 4.893/2021 e a Circular BCB nº 3.909/2018.

Segurança e sigilo

Garantir a segurança física e a proteção de dados, sistemas e o sigilo bancário.

Integridade da informação

Assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação.

Segurança cibernética

Proteger contra ameaças cibernéticas e prevenir incidentes de segurança.

Resposta a incidentes

Manter processos eficazes de notificação e resposta a incidentes relevantes.

2 Abrangência

Esta política é aplicável a todos os colaboradores, parceiros, fornecedores e prestadores de serviços da CDC, incluindo entidades externas que atuem, direta ou indiretamente, em nome ou benefício da instituição e que tenham acesso às suas informações.

A CDC exige que todos os envolvidos em suas operações estejam em conformidade com as diretrizes estabelecidas nesta política, comprometendo-se com a proteção das informações e a manutenção de um ambiente seguro para as atividades da instituição. O descumprimento poderá acarretar sanções disciplinares, contratuais e legais aplicáveis.

3 Princípios

A política de segurança da informação da CDC está fundamentada nos seguintes princípios:

Confidencialidade

Garantia de que a informação não será revelada a pessoas ou sistemas não autorizados.

Integridade

Garantia de que a informação não foi modificada ou destruída de maneira não autorizada.

Disponibilidade

Prevenção contra interrupções no acesso à informação quando necessário.

Autenticidade

Garantia de que a informação foi produzida, modificada ou destruída por fonte legítima.

Irretratabilidade

Garantia do não repúdio às informações fornecidas.

Conformidade

Aderência aos termos contratuais e controles de segurança.

Legalidade

Atuação em conformidade com a legislação e regulação vigentes.

Transparência

Reporte adequado das condições acordadas com devida aplicação.

Melhoria contínua

Compromisso de aperfeiçoar padrões de segurança e qualidade.

Alinhamento estratégico

Integração entre segurança da informação e objetivos de negócio.

Ética

Atuação conforme padrões de ética e conduta.

Cultura de segurança

Promoção de ambiente positivo de segurança por meio de educação e conscientização.

4 Diretrizes

As diretrizes desta política orientam a atuação de todos os colaboradores e terceiros no tratamento das informações da CDC:

Preservação

Preservar a confidencialidade, disponibilidade, integridade, sigilo e autenticidade das informações.

Uso adequado

Orientar quanto ao uso adequado dos ativos de tecnologia e proteger as atividades e a gestão da CDC.

Proteção contra ameaças

Estabelecer medidas técnicas e administrativas para proteger informações contra acessos não autorizados, destruição, perda, alteração ou vazamento.

Gestão de riscos

Nortear a definição de procedimentos de controles e processos para a gestão dos riscos de segurança da informação.

Compromisso gerencial

Os níveis gerenciais devem zelar pelo cumprimento desta política, dedicando atenção especial aos aspectos de segurança.

5 Medidas de proteção

A CDC adota um conjunto abrangente de medidas técnicas e organizacionais para proteger seus ativos de informação e garantir a segurança cibernética de suas operações:

A CDC realiza análises periódicas de vulnerabilidades em seus sistemas e infraestrutura, incluindo testes de intrusão (pentests), varreduras automatizadas e avaliações contínuas de segurança. As vulnerabilidades identificadas são classificadas por criticidade e tratadas de acordo com prazos definidos, priorizando as de maior risco.

O acesso às informações e sistemas é concedido com base no princípio do menor privilégio (need-to-know), garantindo que cada usuário tenha acesso apenas ao necessário para suas funções. A CDC implementa autenticação de dois fatores (2FA), controles biométricos e revisões periódicas de acessos para assegurar a adequação contínua dos privilégios concedidos.

A instituição mantém soluções de antimalware atualizadas em todos os endpoints e servidores, com monitoramento contínuo e resposta automatizada a ameaças. Além disso, são aplicadas políticas de controle de execução de aplicações e filtragem de conteúdo para prevenir a propagação de softwares maliciosos.

A infraestrutura de rede da CDC conta com firewalls de próxima geração, sistemas de detecção e prevenção de intrusão (IDS/IPS), segmentação de redes e proteção contra ataques de negação de serviço distribuído (DDoS). Todo o tráfego é monitorado e analisado em tempo real para identificação de comportamentos anômalos.

Todas as comunicações e dados sensíveis são protegidos por criptografia robusta, utilizando protocolos TLS 1.2 ou superior com Perfect Forward Secrecy (PFS). Chaves criptográficas são gerenciadas por módulos de segurança de hardware (HSM) e seguem políticas de rotação e ciclo de vida definidas.

A CDC mantém rotinas automatizadas de backup de dados críticos, com armazenamento em localizações geograficamente distantes para garantir a recuperação em caso de desastres. Os backups são testados periodicamente quanto à sua integridade e capacidade de restauração, seguindo políticas de retenção definidas.

A instituição adota uma abordagem proativa para a atualização de sistemas, aplicando patches de segurança de forma tempestiva e controlada. Atualizações críticas são priorizadas e implementadas em prazos reduzidos, enquanto demais correções seguem um ciclo regular de testes e implantação.

Todos os acessos e operações relevantes são registrados em logs de auditoria, que são armazenados de forma segura e monitorados continuamente. Trilhas de auditoria permitem a rastreabilidade completa de ações realizadas nos sistemas, auxiliando na detecção de anomalias e na investigação de incidentes.

6 Classificação da informação

A CDC classifica suas informações em três níveis, de acordo com o grau de sensibilidade e o impacto que a divulgação não autorizada pode causar:

🌱 Pública

Informações públicas

Informações que podem ser divulgadas ao público em geral sem restrições, como materiais de marketing, informações institucionais publicadas no site e demonstrações financeiras obrigatórias. Não requerem controles especiais de acesso.

🔵 Interna

Informações internas

Informações de uso exclusivo dos colaboradores da CDC, como políticas internas, procedimentos operacionais e comunicados internos. O acesso é restrito ao ambiente corporativo e a divulgação externa requer autorização.

🔴 Confidencial

Informações confidenciais

Informações de alto grau de sensibilidade, como dados de clientes, informações financeiras detalhadas, dados pessoais protegidos pela LGPD e segredos de negócio. O acesso é restrito a pessoas específicas e autorizadas, com controles rigorosos de proteção.

Informações não rotuladas são tratadas automaticamente como Confidenciais.

7 Gestão de incidentes

A CDC mantém um processo estruturado de gestão de incidentes de segurança da informação, com etapas claras para identificação, classificação, resposta e aprendizado:

1

Identificação e comunicação

Detecção do incidente através de monitoramento automatizado, relato de colaboradores ou alertas de sistemas de segurança. A comunicação imediata à equipe de segurança da informação é obrigatória.

2

Classificação e análise

Avaliação da severidade, do impacto e da abrangência do incidente. Definição do nível de escalonamento e das ações prioritárias de resposta.

3

Contenção e resposta

Execução das medidas de contenção para limitar o impacto do incidente, seguida das ações de erradicação da causa raiz e recuperação dos sistemas afetados.

4

Investigação

Análise forense e investigativa para determinar a causa raiz, a extensão do comprometimento e os responsáveis. Preservação de evidências para fins legais e regulatórios.

5

Lições aprendidas

Documentação completa do incidente, identificação de oportunidades de melhoria e implementação de ações preventivas para evitar recorrências.

Incidentes que envolvam dados pessoais serão tratados em conformidade com a LGPD, incluindo a notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, quando aplicável. O Encarregado de Proteção de Dados (DPO) será envolvido em todos os incidentes que envolvam dados pessoais.

8 Continuidade de negócios

A CDC mantém um Plano de Continuidade de Negócios (PCN) que assegura a capacidade de operar em níveis mínimos aceitáveis em situações de crise, desastres ou interrupções significativas, com foco na proteção de clientes e no cumprimento das obrigações regulatórias.

Identificação de ameaças

Mapeamento contínuo de ameaças e vulnerabilidades que possam impactar a continuidade das operações críticas da instituição.

Estratégias de recuperação

Definição de estratégias e procedimentos para restauração rápida dos serviços e sistemas críticos em caso de interrupção.

Redundância de ativos

Manutenção de infraestrutura redundante e mecanismos de failover para garantir a disponibilidade dos serviços essenciais.

Testes periódicos

Realização de testes e simulações periódicas do plano de continuidade para validar sua eficácia e identificar oportunidades de melhoria.

9 Serviços em nuvem

A CDC adota serviços de computação em nuvem de forma controlada e em conformidade com as exigências regulatórias do Banco Central do Brasil, garantindo que os dados e operações permaneçam seguros e rastreáveis:

Governança

Definição de políticas e controles específicos para a contratação e uso de serviços em nuvem, incluindo avaliação de riscos e due diligence de fornecedores.

Conformidade

Garantia de que os provedores de nuvem atendem aos requisitos regulatórios aplicáveis, incluindo certificações de segurança (ISO 27001, SOC 2) e conformidade com a LGPD.

Proteção de dados

Implementação de criptografia em trânsito e em repouso para todos os dados armazenados em nuvem, com gestão de chaves sob controle da CDC.

Segregação

Garantia de segregação lógica e física dos dados da CDC em relação a outros clientes do provedor de nuvem, com controles de acesso rigorosos.

Comunicação ao BACEN

Comunicação prévia ao Banco Central do Brasil sobre a contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, conforme exigência regulatória.

Os contratos com provedores de serviços em nuvem incluem cláusulas específicas sobre segurança, privacidade, auditoria, portabilidade de dados e encerramento contratual, em conformidade com a Resolução CMN nº 4.893/2021.

10 Treinamento e conscientização

A CDC investe continuamente na capacitação de seus colaboradores em temas de segurança da informação e cibernética, promovendo uma cultura de segurança em todos os níveis da organização:

Treinamento obrigatório

Todos os colaboradores participam de treinamentos periódicos sobre segurança da informação, proteção de dados e prevenção de ameaças cibernéticas, com avaliações de conhecimento.

Onboarding

Novos colaboradores e terceiros recebem orientação sobre a política de segurança da informação no processo de integração, incluindo aceite formal das responsabilidades.

Treinamento especializado

Equipes técnicas de TI e segurança recebem treinamentos especializados em desenvolvimento seguro, resposta a incidentes, forense digital e novas tecnologias de proteção.

11 Responsabilidades

A segurança da informação é responsabilidade de todos. Cada área da CDC possui atribuições específicas:

Aprovar e revisar periodicamente a política de segurança da informação, assegurar a alocação de recursos adequados para a segurança cibernética e garantir o alinhamento entre as estratégias de segurança e os objetivos de negócio da instituição.

Definir e implementar controles de segurança, monitorar ameaças e vulnerabilidades, coordenar a resposta a incidentes, conduzir avaliações de risco e promover a conscientização em segurança da informação em toda a organização.

Implementar e manter a infraestrutura tecnológica de forma segura, aplicar patches e atualizações, gerenciar acessos e identidades, manter backups e planos de recuperação, e assegurar a conformidade técnica com os controles definidos.

Deliberar sobre temas estratégicos de segurança da informação, avaliar riscos cibernéticos, aprovar investimentos em segurança, acompanhar indicadores de performance e analisar incidentes relevantes, reportando periodicamente à Diretoria.

Garantir que todos os colaboradores e terceiros assinem termos de confidencialidade, apoiar a execução de programas de treinamento e conscientização, e aplicar sanções disciplinares em caso de violações da política de segurança.

Avaliar a aderência aos controles de segurança, conduzir auditorias internas, monitorar a conformidade regulatória, reportar desvios e apoiar a gestão de riscos de segurança da informação em conjunto com as demais áreas.

Cumprir integralmente as diretrizes desta política, participar dos treinamentos de conscientização, reportar incidentes e suspeitas de violação, proteger credenciais de acesso e zelar pela segurança das informações da instituição em todas as suas atividades.

O descumprimento desta política poderá acarretar medidas disciplinares, contratuais e legais cabíveis, proporcionais à gravidade da infração.

12 Proteção de dados (LGPD)

A política de segurança da informação da CDC está integrada às diretrizes de proteção de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). As medidas de segurança adotadas visam proteger os dados pessoais tratados pela instituição, garantindo os direitos dos titulares e o cumprimento das obrigações legais.

Conheça nossa Política de Privacidade completa

Saiba como a CDC coleta, utiliza, compartilha e protege os seus dados pessoais em todos os nossos serviços.

Acessar Política de Privacidade

Encarregado de Proteção de Dados (DPO)

Henrique Fernando Lucas

lgpd@cdcbank.com.br

(31) 2537-3999

Enviar mensagem ao DPO

13 Conformidade regulatória

A política de segurança da informação da CDC está em conformidade com as seguintes normas legais e regulatórias:

Norma	Descrição
Resolução CMN nº 4.893/2021	Política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Circular BCB nº 3.909/2018	Política de segurança cibernética para instituições de pagamento.
Lei nº 13.709/2018 (LGPD)	Lei Geral de Proteção de Dados Pessoais.
Lei nº 12.527/2011 (LAI)	Lei de Acesso à Informação.
Resolução CMN nº 4.968/2021	Política de gerenciamento integrado de riscos.
Resolução CMN nº 4.595/2017	Política de conformidade (compliance).
Resolução CMN nº 4.557/2017	Gerenciamento de riscos.
Resolução CMN nº 5.222/2025	Altera a Resolução 4.557 — gerenciamento de riscos.
Resolução BCB nº 484/2025	Testes de estresse.
Resolução BCB nº 494/2025	Provedores de TI.

Informações do documento

Código: PG|09.00|03
Versão: 03
Data de aprovação: Maio de 2025
Histórico: Versão 01 (2021) — Criação da política. Versão 02 (2023) — Revisão e adequação regulatória. Versão 03 (2025) — Atualização com novas normas e melhores práticas.

A CDC elabora e encaminha ao Banco Central do Brasil relatório anual sobre a implementação do plano de ação e de resposta a incidentes, conforme exigência da Resolução CMN nº 4.893/2021.

14 Fale conosco

Atendimento geral CDC

(31) 2537-3999

contato@cdcbank.com.br

Segunda a sexta, 8h às 17h30

Proteção de dados (DPO)

Henrique Fernando Lucas

lgpd@cdcbank.com.br

(31) 2537-3999

Reporte de incidentes

seguranca@cdcbank.com.br

(31) 2537-3999