1. OBJETIVO

A presente Política de Gestão do Conhecimento (“Política”) busca orientar os representantes da SB Crédito Securitizadora S/A (“SB Crédito”) em como contribuir para o devido fluxo de informações que transitam na companhia internamente, promovendo uma comunicação mais eficiente, a otimização do trabalho, e maior integração entre os setores.

2. APLICAÇÃO

Este documento se aplica a todos os colaboradores da SB Crédito, sem distinção de cargo ou função, bem como a todos os terceiros que representam ou se relacionam com a companhia, direta ou indiretamente.

3. DEFINIÇÕES

Para fins desta Política, consideram-se as definições abaixo:

• Dado: É uma simples constatação (normalmente materializada através de um código), facilmente quantificado e transferível. A obtenção de dados pode ser realizada de forma automatizada, através de máquinas.

• Informação: É uma organização de dados, dotados de relevância e propósito, conforme o contexto em que são analisados. Ao contrário dos dados, para se obter informações é necessário que haja intervenção humana.

• Conhecimento: É o resultado da interpretação de informações e requer reflexão, análise e estudo, exigindo um complexo processo para que haja sua transferência.

Esquematicamente, os conceitos acima podem ser representados da seguinte forma:

4. DIRETRIZES GERAIS

A Gestão do Conhecimento é o ato de conduzir e administrar todas as práticas de colaboradores que envolvam o fluxo de dados, informações e conhecimento que circulam internamente na companhia, incluindo iniciativas de divulgação, meios de armazenamento e formas de propagação e transferência do conhecimento, através de tecnologia ou de capital humano.
Nesse contexto, ressalta-se a necessidade de observar os seguintes princípios no processo de gestão do conhecimento:

• Confidencialidade: garantia de que as informações sejam acessadas apenas por usuários autorizados.

• Integridade: condição em que as informações sejam autênticas em relação à última alteração durante o seu ciclo de vida, sendo as modificações apenas as que forem autorizadas.

• Disponibilidade: garantia de que as informações e os recursos de Tecnologia da Informação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

Essas diretrizes estão em conformidade com o disposto na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), ou seja, a gestão do conhecimento deve respeitar e estar alinhada às operações de tratamento de dados pessoais realizadas pela companhia. Sendo assim, a gestão supracitada deve ser realizada de forma comprometida, observando os critérios éticos e legais em cada tratamento realizado, garantindo que todos os colaboradores possam trabalhar com clareza, segurança e dentro da conformidade legal, sobretudo no que diz respeito ao tratamento de dados pessoais ou informações confidenciais da SB Crédito.

Toda informação é muito valorosa e você, como colaborador ou terceiro da SB Crédito, deverá ter especial atenção no tratamento de dados ou informações!

5. GESTÃO DE ACESSOS 

É importante que a disponibilização e divulgação interna de dados e informações deve observar a seguinte classificação:

• Pública: são informações que podem ser acessadas e utilizadas por qualquer colaborador, uma vez que estão expostas ao público em geral, ainda que estejam fora dos limites institucionais, pois não representam grandes ameaças caso sejam divulgadas publicamente.

• Interna: são informações relativas a normativas internas, de funcionamento, essas, a priori, não devem ser reveladas a qualquer pessoa. Devem, portanto, ser acessadas apenas por colaboradores internos e terceiros autorizados. Contudo, caso se tornem públicas, não deverá haver consequências graves.

• Confidencial: são informações que demonstram dados de nível estratégico ou até mesmo dados pessoais identificáveis, as quais não podem ser disponibilizadas ao público em geral, ou, ainda, só devem ser divulgadas a grupos específicos e expressamente autorizados de funcionários e terceiros. Caso haja divulgação indevida, a empresa poderá ser prejudicada tanto financeiramente quanto estrategicamente.

É essencial que todos os colaboradores compreendam que as atividades internas da SB Crédito serão melhor desenvolvidas se respeitados os limites de acesso impostos pela companhia, fomentando a cultura interna de disseminação do conhecimento de modo seguro. Por outro lado, é igualmente importante que informações classificadas como públicas ou internas sejam de fácil acesso a todos os colaboradores da companhia, garantindo a transparência nas suas operações (não confidenciais) e o contínuo alinhamento com a Alta Administração, no que diz respeito à visão, missão e valores da SB Crédito.

6. PROCESSOS INTERNOS

Todos os processos internos da companhia devem observar suas respectivas políticas e procedimentos operacionais padrões vinculados. Para tal, é fundamental que os processos estejam formalizados através de políticas, procedimentos e fluxos, de maneira que o know-how atrelado à execução de determinada atividade esteja documentado e disponível para acesso de colaboradores e terceiros autorizados.

Dessa forma, é possível garantir que todos os colaboradores possam ter o conhecimento sobre determinado processo interno da empresa, não sendo necessário depender única e exclusivamente de apenas uma pessoa para dar andamento a determinado projeto, garantindo o histórico das informações. Portanto, exige-se proatividade dos colaboradores no sentido de buscar a formalização dos procedimentos realizados internamente na SB Crédito, caso estes ainda não estejam formalizados, mediante a procedimentalização das atividades, com apoio da área de Compliance.

Sendo assim, todo e qualquer processo interno, referente às atividades e operações da companhia, deve ser devidamente registrado, seguindo os protocolos previstos em políticas e procedimentos específicos. O arquivamento de informações deve respeitar, rigorosamente, as normativas internas da companhia e as melhores práticas de mercado, no sentido de garantir a integridade e zelar, na medida de sua necessidade, pela confidencialidade da informação, conforme normas definidas na Política de Segurança Cibernética (POSEC).

Para o desenvolvimento de processos internos ou de qualquer atividade realizada em nome da companhia, não é permitida a ingerência sobre as áreas para a aquisição de dados e informações confidenciais, tendo em vista que deverá ser respeitado o controle de acessos, bem como as respectivas alçadas de aprovações dispostas internamente na SB Crédito.

7. TREINAMENTOS E CAPACITAÇÕES

A SB Crédito busca promover o contínuo debate e fóruns de discussão para difusão do conhecimento interno, buscando maior eficiência sobre as atividades operacionais da companhia, sempre atuando de acordo com os interesses institucionais. Serão disponibilizados treinamentos periódicos a respeito dos diversos processos e operações praticadas pela companhia, bem como capacitações aos colaboradores impactados quando da implementação de novos sistemas ou ferramentas ou implantação de nova política ou procedimento, dada a importância e necessidade de compreensão geral acerca de tais temas.

Adicionalmente, os gestores de cada área da companhia serão responsáveis por organizar, com frequência mínima quinzenal, encontros entre os colaboradores da sua área para a difusão do conhecimento. Cada treinamento será ministrado por um colaborador, de maneira rotativa e passando por todos os colaboradores, acerca das atividades desenvolvidas na companhia e rotinas profissionais.

Novos colaboradores serão submetidos a treinamentos iniciais, no momento da integração, com o objetivo de capacitá-los em relação aos fluxos adotados pela SB Crédito, sem prejuízo de treinamentos específicos relacionados à área de atuação do novo colaborador.

Por fim, a companhia buscará disponibilizar as melhores e mais seguras ferramentas para o tratamento e a propagação de informações e conhecimento, de modo a favorecer e estruturar uma organização dotada de conhecimento multidisciplinar. As iniciativas de treinamento e capacitação devem ser complementadas com ações de comunicação, interna e externa, conforme disposto no Plano de Comunicação da SB Crédito.

1. OBJETIVO

A presente Política de Conflito de Interesses (“Política”) possui o objetivo de definir diretrizes voltadas à prevenção ao conflito de interesses na SB Crédito Securitizadora S/A ("SB Crédito”), definindo seu conceito, hipóteses de ocorrência, procedimentos e consequências.

2. APLICAÇÃO

Este documento se aplica a todos os colaboradores da SB Crédito, sem distinção de cargo ou função, bem como a todos os terceiros que representam ou se relacionam com a companhia, direta ou indiretamente.

3. DEFINIÇÕES

Para fins desta Política, consideram-se as seguintes definições:

• Agente público: qualquer pessoa física que exerça cargo ou função pública, temporária ou permanentemente, com ou sem remuneração, em nome do Estado (Federal, Estadual, Municipal ou Distrital), ou da Administração Pública estrangeira (autoridades governamentais internacionais, representações diplomáticas e demais entidades estatais estrangeiras).

• Conflito de Interesses: situações em que exista conflito real, potencial ou aparente entre determinado interesse particular de colaborador em face de interesses institucionais da SB Crédito. O conflito pode ocorrer em dois âmbitos:

      - Conflito de Interesses Pessoais x SB Crédito: colaborador ou parceiro de negócio que, movido por interesses que visam a benefício próprio ou de terceiros, age contra os interesses da companhia, realizando práticas impróprias ou influenciando a tomada de decisões.
      - Conflito de Interesses Público x Privado: situação gerada pelo confronto entre interesses públicos e privados, que possa, de alguma forma, comprometer o interesse coletivo ou influenciar, de maneira imprópria, o desempenho da função pública (inciso I, art. 3º da Lei nº 12.813/2013).

• Parentes: membros da família até o terceiro grau, cônjuge ou companheiro(a), assim como os parentes por afinidade correspondentes (inciso V, art. 5º da Lei 12.813/2013).

• Vantagem indevida: benefício, para proveito próprio ou alheio, concedido por meio da contraprestação ilegal ou indevida, compreendendo a oferta, promessa, pagamento ou entrega indevida de qualquer coisa de valor, financeiro ou não, a Agente Público ou parte interessada.

4. DIRETRIZES GERAIS

O conflito de interesses ocorre quando um interesse pessoal de um colaborador ou terceiro conflita com os interesses da companhia, gerando uma situação em que optar por atender aos interesses pessoais pode prejudicar os objetivos institucionais da SB Crédito.

Esses conflitos podem se apresentar com diversas características, se enquadrando em três modalidades possíveis:

• Conflito de Interesses Real: situação em que existe, de fato, um claro conflito de interesses;

• Conflito de Interesses Potencial: situação que, em razão das circunstâncias apresentadas, pode vir a se tornar um conflito de interesses real no futuro;

• Conflito de Interesses Aparente: situação em que, em razão das circunstâncias apresentadas, seria razoável acreditar que as partes não agiram pautadas na ética e integridade, mas sim em busca de interesses particulares conflitantes com os objetivos institucionais da SB Crédito.

Relembramos, portanto, que todos os representantes da companhia devem pautar a sua atuação na ética e profissionalismo, observando, no desempenho de suas funções, os interesses institucionais da SB Crédito, deixando de lado eventual motivação particular que possa conflitar com as suas atividades.

Sendo assim, os conflitos de interesses podem gerar diversas situações contrárias às disposições previstas no Código de Ética e Conduta da companhia, ainda que não proporcionem um ato efetivamente prejudicial à SB Crédito, visto que podem enfraquecer o seu desempenho e credibilidade perante o mercado.

5. DIRETRIZES ESPECÍFICAS

Seja o conflito caracterizado como real, potencial ou aparente, este deverá ser comunicado ao Compliance Officer da companhia, de forma que a situação possa ser avaliada, de acordo com os procedimentos previstos neste documento.

A seguir, serão destrinchadas algumas hipóteses específicas relacionadas a casos que podem caracterizar eventual conflito de interesses, no entanto, tratam de situações meramente exemplificativas, sendo que o rol de possibilidades não se esgota nesta Política.

5.1. RELACIONAMENTO COM CLIENTES

É especialmente importante para a SB Crédito que seus colaboradores sejam imparciais quanto à entrada de novos clientes, de modo a garantir a lisura do processo de cadastro, bem como quanto aos valores liberados em análise de crédito, devendo sempre ser respeitadas as Políticas Operacionais da companhia, em especial a Política de Crédito e a Política de Alçadas. Os profissionais da área Comercial e membros do Comitê de Crédito, responsáveis respectivamente pela prospecção e análise prévia da viabilidade de negócios com os potenciais clientes, também deverão observar tal imparcialidade, este último especialmente de acordo com o seu Regimento Interno específico.

5.2. CONTRATAÇÃO DE TERCEIROS

A SB Crédito, em seu compromisso com a integridade, busca manter a lisura dos seus processos de contratação, segundo os ideais de uma conduta ética. Desse modo, podem surgir durante esses processos, situações como relações de parentesco ou afinidade entre um colaborador e um terceiro em processo de contratação, algo que pode configurar um conflito de interesses. Com isso, no momento da contratação, a Declaração de Conflito de Interesses (Anexo I) deverá ser preenchida e entregue ao setor de Recursos Humanos, informando a existência de determinado relacionamento de parentesco ou afinidade com colaboradores, fornecedores ou demais terceiros relacionados à SB Crédito.

Após a comunicação formal ao Recursos Humanos e constatação de possível conflito, o Compliance Officer deverá ser acionado para avaliação do caso, visando garantir a imparcialidade do processo, tendo em vista que a relação conflituosa pode influenciar o desempenho das atividades e até mesmo prejudicar o ambiente de trabalho na companhia. Caso a SB Crédito opte pela contratação de candidato ou terceiro que guarde relação de parentesco com determinado colaborador da SB Crédito, o Anexo II deverá ser assinado e, ambas as partes deverão se abster da participação de quaisquer processos relacionados ao outro, como avaliação de desempenho,
promoção e desligamento, evitando influência de interesses.

5.3. TRANSAÇÕES COM PARTES RELACIONADAS

A transação com partes relacionadas pode ser caracterizada por toda a transferência de recursos, serviços ou obrigações a uma pessoa física (como colaboradores, investidores ou administradores) ou jurídica (como empresas do mesmo grupo econômico) que apresente relação com a SB Crédito. Estas transações não são vedadas pela companhia, mas demandam especial atenção, pois podem apresentar diversas características diferenciadas e que necessitam da celebração de contratos formais, de acordo com as normativas internas da companhia e legislação vigente e aplicável, possibilitando o monitoramento do Compliance Officer da SB Crédito.

5.4. RELAÇÕES EXTERNAS E PARTICIPAÇÃO SOCIETÁRIA

Todos os colaboradores possuem o compromisso em manter a confidencialidade das informações que tratam durante o exercício de suas funções na SB Crédito. Eventualmente, é possível existir o conhecimento sobre determinada condição propícia ao desenvolvimento de atividades externas ou negócios. Nesse contexto, é vedada a utilização de bens ou informações da companhia para promoção pessoal, com o objetivo de obter vantagens pessoais, diretas ou indiretas, em benefício próprio ou alheio. As participações societárias, o segundo emprego ou a prestação de serviços a terceiros serão permitidas aos colaboradores da SB Crédito, desde que estas não representem um conflito de interesses com os objetivos institucionais da companhia, desrespeitem os princípios ou atrapalhem o desempenho das atividades na companhia.

6. COMUNICAÇÃO E PROCEDIMENTOS

A SB Crédito irá dispor de um Plano de Comunicação e Treinamento Anual, inerente ao Sistema de Integridade da empresa, o qual preverá diversas iniciativas voltadas à propagação da efetiva compreensão e conscientização das disposições previstas nesta Política, prevenindo, desta forma, eventual prática irregular. Todos os casos de conflitos de interesses potenciais ou aparentes deverão ser encaminhados ao Compliance Officer para a devida avaliação.
Entretanto, ocorrendo a efetiva violação das disposições previstas neste documento, é dever do respectivo colaborador ou terceiro que presenciar tal situação em interromper imediatamente as ações ou se abster de iniciar qualquer ação sob sua responsabilidade que possa resultar ou agravar eventual situação de conflito e realizar o devido reporte:

• Ao superior hierárquico direto;

• Ao Compliance Officer, por meio de contato direto ou através do Canal de Denúncias, através do presente link: https://canal.ouvidordigital.com.br/sbcredito; ou

• Diretamente aos membros do Comitê de Ética da companhia. A apuração do relato ou dúvida sobre a caracterização de determinado conflito de interesses será de responsabilidade do Compliance Officer, para posterior avaliação por parte do Comitê de Ética e deliberação da Alta Administração, para a tomada das providências adequadas.

7. MEDIDAS DISCIPLINARES

No caso de descumprimento das disposições previstas nesta Política, os respectivos envolvidos, sejam colaboradores ou terceiros, estarão sujeitos à aplicação de medidas disciplinares previstas no Anexo de Consequências do Código de Ética e Conduta da SB Crédito.

8. DISPOSIÇÕES FINAIS

O presente documento deverá ser analisado em conjunto às demais normativas da companhia, especialmente o Código de Ética e Conduta da SB Crédito. Esta Política tem vigência a partir da data de sua aprovação, em 28 de fevereiro de 2023, e será revisada de forma periódica, de acordo com as atualizações legislativas e demais normativas internas.

Os casos omissos neste documento serão avaliados pelo Comitê de Ética em conjunto com a Alta Administração.

ANEXO I - DECLARAÇÃO DE CONFLITO DE INTERESSES SB CRÉDITO SECURITIZADORA S/A
Nome do colaborador ou terceiro:______________________________________________.
Cargo ocupado:____________________________________________________________.
Departamento: ____________________________________________________________.
Se terceiro, indique a razão social da empresa: ___________________________________.
Se terceiro, indique o CNPJ da empresa:_________________________________________.

ANEXO II - DECLARAÇÃO DE CONFORMIDADE – CONFLITO DE INTERESSES
Eu, ____________________________________________, portador(a) da cédula de
identidade nº ________________________________, inscrito(a) sob o CPF nº 
_________________________________________, declaro apresentar vínculo com a
sociedade (inserir razão social)______________________________________, inscrita sob
o CNPJ nº _________________________________, com sede no endereço
___________________________________________________, na cidade
__________________________, do estado_____________________________, na qual exerço a
função de ___________________________, e me comprometo a:

1. Cumprir todas as normas estabelecidas na Política para a Prevenção de Conflito de Interesse da SB Crédito e em todos os documentos que compõem o seu Sistema de Integridade;

2. Realizar todas as minhas funções, como colaborador da SB Crédito, em compatibilidade de horários com as atividades que desempenho em contraturno;

3. Prezar pela execução de minhas atividades na SB Crédito sem a interferência ou conflito com as demais atividades que desempenho;

4. Reportar ao Compliance Officer da SB Crédito qualquer situação que possa gerar conflitos de interesses real, potencial ou aparente.

Data:

Assinatura: 

1. OBJETIVO 

A presente Política de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (“Política”) possui o objetivo de estabelecer procedimentos e critérios de verificação de atividades suspeitas, para a prevenção dos crimes de lavagem de dinheiro e financiamento ao terrorismo (“PLD/FT”), de maneira e extensão compatíveis com as particularidades dos negócios, clientes e produtos da SB Crédito Securitizadora S/A ("SB Crédito”).

2. ABRANGÊNCIA

Este documento se aplica a todos os colaboradores da SB Crédito, sem distinção de cargo ou função, bem como a todos os terceiros que representam ou se relacionam com a companhia, direta ou indiretamente.

3. DEFINIÇÕES

Para fins desta Política, consideram-se as seguintes definições:

• Financiamento ao Terrorismo: Processo de distribuição dissimulada de recursos a serem utilizados em atividades terroristas, tais recursos oriundos, normalmente, das atividades de outras organizações criminosas.

• Lavagem de Dinheiro: Crime que consiste na ocultação ou dissimulação da natureza, origem, localização, disposição, movimentação ou propriedade de bens, direitos ou valores provenientes, direta ou indiretamente, de origem ilícita, através de operações comerciais e financeiras, de modo que se incorporem ao mercado, dando a eles aparência lícita. Comumente, a Lavagem de Dinheiro acontece em 3 etapas:

      - Colocação: Consiste no distanciamento dos recursos de sua origem, com a sua colocação no sistema econômico, que pode ocorrer de diversas formas, como depósitos, compra de instrumentos negociáveis, compra de bens, dentre outros.

      - Ocultação: Trata-se da ocultação do processo de colocação e disfarce de suas várias movimentações, para dificultar o rastreamento destes recursos ilícitos, de forma a quebrar a cadeia de evidências.

      - Integração: Refere-se ao momento em que ocorre a efetiva integração dos ativos formalmente ao sistema econômico, após a Colocação e a Ocultação, dando aparência lícita àquela quantia e dificultando sua associação aos atos ilícitos dos quais surgiu.

• PLD/FT: Sigla que se refere às práticas adotadas para a Prevenção da Lavagem de Dinheiro e Financiamento ao Terrorismo.

• Red Flags: Situações ou elementos que forneçam indícios de riscos de
integridade.

4. DIRETRIZES GERAIS

A SB Crédito preza pela integridade em todas as suas atividades e relacionamentos, estando comprometida, dentro da sua atuação de mercado, com a prevenção de atividades criminosas, motivo pelo qual adota procedimentos a fim de conhecer seus clientes e suas atividades comerciais, bem como certificar-se quanto à origem de seus recursos.

Sendo assim, buscando garantir que o sistema financeiro não seja utilizado para crimes de lavagem de dinheiro e financiamento de atividades terroristas, a companhia não realizará negócios com potenciais clientes ou parceiros que guardem relações comerciais escusas, e cujos recursos sejam oriundos de possíveis atividades ilegais.

Para a materialização desses compromissos, serão adotados os procedimentos de Know Your Transaction (KYT) e Know Your Customer (KYC), segundo critérios de PLD/FT previstos na presente Política, em consonância às diretrizes inerentes ao Sistema de Integridade e às normativas operacionais da companhia

A estrutura de governança utilizada para gestão de riscos de lavagem de dinheiro e financiamento ao terrorismo será baseada na metodologia do Sistema de Integridade da SB Crédito, utilizando-se de uma matriz de riscos e dos processos de análise e avaliação de risco conforme o apetite de risco da companhia e as exigências de PLD/FT constantes do presente documento.

As diligências quanto ao acompanhamento dos clientes ativos da companhia estão presentes nas demais políticas internas que orientam as operações da SB Crédito, devendo ser consultadas em caso de dúvida. 

5. PROCEDIMENTOS DE KNOW YOUR TRANSACTION (KYT) E KNOW YOUR CUSTOMER (KYC)

As iniciativas de KYC possuem o objetivo de assegurar uma compreensão detalhada acerca do perfil e cenário de atuação do cliente, suas operações e grau de risco do relacionamento, visando a prevenir que a companhia seja utilizada por clientes como instrumento para lavagem de dinheiro de origem ilícita.

Estes clientes devem passar pela avaliação e filtros pré-definidos através da Política de Crédito da companhia, seguindo, como rol exemplificativo, a adoção de procedimentos de verificação, sobretudo relacionados a: Situação econômico-financeira e patrimonial da empresa, com base na
análise dos demonstrativos contábeis (Balanço Patrimonial e DRE); e Histórico de integridade da empresa, conforma análise de mídias e processos judiciais.

Do ponto de vista de PLD/FT, a análise financeira deve ter como enfoque o cruzamento do perfil do cliente (porte, endereço, estrutura, operação) e dados relacionados a faturamento e dimensão da operação de crédito pretendida pela empresa junto à SB Crédito, com a finalidade de compreender se a operação do cliente comporta e justifica o crédito negociado, ou se há Red Flag relacionada à origem do recurso.

A busca de mídias negativas na internet, como notícias relacionadas a escândalos ou envolvimento em práticas de lavagem de dinheiro, deverá ser orientada pelas palavras-chave: corrupção, desvio, lavagem, roubo, extorsão, apreensão, preso, prisão, tráfico, polícia, falsificação, fraude, propina, terrorismo.

Adicionalmente, caso haja identificação de Red Flag nesta análise inicial, será necessário que o setor de Formalização verifique se a empresa tem atividade internacional que possa aumentar a exposição à prática de financiamento ao terrorismo.

O processo de PLD/FT também diz respeito ao monitoramento contínuo das operações realizadas pelo cliente, com o objetivo de entender se as características da operação sofreram mudanças significativas que possam indicar um Red Flag sobre a origem dos recursos.

Tal acompanhamento deverá ser realizado pelos setores operacionais e será parte da rotina dos colaboradores que atuam nessas áreas, os quais deverão conduzir suas atividades com atenção a indícios de prática de lavagem de dinheiro. Assim, dos critérios estabelecidos pelas demais normativas operacionais da SB Crédito, serão observados os seguintes critérios de PLD/FT, que representam Red Flags cuja verificação demandará investigação mais aprofundada:

• Operações de valores incompatíveis com o porte e/ou balanço financeiro do cedente ou do sacado, conforme as informações obtidas quando do cadastro;

• Operações que indiquem a realização de negócio entre o cedente e empresa a ele relacionada;

• Operações cujos títulos demonstrem alteração atípica de volume e/ou frequência dos negócios entre o cedente e o sacado;

• Operações que demonstrem a realização de negócios com sacados atípicos, como empresas de outros ramos e clientes desconhecidos;

• Operações realizadas sem razão econômica aparente; e

• Operações que demonstrem incompatibilidade do negócio realizado com a qualificação técnica do cedente.

Os clientes da SB Crédito passarão pela avaliação da companhia no momento do seu cadastro inicial, bem como a cada 180 (cento e oitenta) dias em operação junto à companhia, conforme as disposições previstas na Política de Crédito.

Caso a área Comercial ou os setores operacionais da SB Crédito, a qualquer momento, identifiquem Red Flag no momento de prospecção de um cliente, análise cadastral ou durante a operação, poderão solicitar à área de Compliance a realização de uma Due Diligence de Integridade do cliente. Desta forma, o Compliance Officer emitirá parecer sobre o grau de risco do relacionamento com tal cliente, que deverá ser encaminhado ao Comitê de Ética para análise e, posteriormente, ao Comitê de Crédito para deliberação sobre formalizar ou manter o relacionamento com a empresa, conforme seu apetite de risco.

6. COMUNICAÇÃO DE ATIVIDADES SUSPEITAS

Caso sejam identificados indícios de crimes de lavagem de dinheiro ou financiamento ao terrorismo ao longo do contato junto ao cliente e suas operações, o Comitê de Ética deverá ser comunicado para deliberação sobre a devida comunicação ao Conselho de Controle de Atividades Financeiras (“COAF”), A referida comunicação deve obedecer ao prazo de 24 (vinte e quatro) horas contadas da finalização do processo de constatação de potencial irregularidade, conforme art. 11, inc. II da Lei nº 9.613/98.

7. RESPONSABILIDADES

Todas as áreas operacionais da companhia possuem o compromisso em cumprir todas as Políticas e demais normativos internos no que diz respeito aos processos de prevenção à lavagem de dinheiro e financiamento ao terrorismo. A área de Compliance da SB Crédito será responsável pelo apoio de diligências que sejam necessárias ao longo das operações que envolvem clientes em potencial situação de irregularidade. Por fim, é de responsabilidade do Comitê de Ética e do Comitê de Crédito, respectivamente, a avaliação e deliberação sobre eventuais ilícitos evidenciados ao longo da operação da companhia que possam configurar indícios de lavagem de dinheiro ou financiamento ao terrorismo, visando à posterior comunicação às autoridades competentes.

8. DISPOSIÇÕES FINAIS

O presente documento deverá ser analisado em conjunto às demais normativas da companhia, especialmente as normativas operacionais da SB Crédito. Esta Política tem vigência a partir da data de sua aprovação e será revisada de forma periódica, de acordo com as atualizações legislativas, especialmente as instruções emitidas pela Comissão de Valores Mobiliários (CVM) e pelo COAF.

Os casos omissos neste documento serão avaliados pelo Comitê de Ética em conjunto com a Alta Administração.

1. OBJETIVO

A presente Política de Know Your Employee (Conheça Seu Colaborador) e Know Your Supplier (Conheça Seu Fornecedor) – KYE e KYS ("Política”) da SB Crédito Securitizadora S/A (“SB Crédito”) busca estabelecer diretrizes e procedimentos que devem ser observados para a prévia identificação de riscos vinculados à contratação de colaboradores e fornecedores, bem como da sua contínua supervisão.Tais orientações auxiliarão na garantia da integridade nos negócios da companhia, evitando o envolvimento com terceiros inidôneos ou a caracterização de quaisquer ilícitos fortalecendo, desta forma, seu Sistema de Integridade.

2. APLICAÇÃO

A observância integral deste documento é de responsabilidade do Comitê de Ética, do Compliance Officer e de sua equipe, bem como de todos aqueles, colaboradores, próprios ou terceiros, que estiverem envolvidos no procedimento adotado.De toda forma, para ciência do procedimento de Know Your Employee e Know Your Supplier adotado pela SB Crédito, é essencial que todos os colaboradores e demais terceiros que representam a companhia, observem a presente normativa quando oportuno.

3. DEFINIÇÕES

Para fins desta Política, considera-se:

• Dossiê: Documento contendo o compilado de todas as informações e evidências coletadas durante o processo de Due Diligence.

• Due Diligence: Ferramenta investigativa que consiste no processo de levantamento de informações a respeito de pessoa física ou jurídica (Target), por meio de consulta a base de dados, compiladas em dossiê, com a respectiva avaliação de riscos inerentes ao potencial relacionamento da SB Crédito com o Target.

• Red Flags: Apontamentos identificados no curso do processo investigativo de Due Diligence que possam indicar “sinais vermelhos”, ou seja, eventos que devem ser avaliados para apoio da tomada de decisão sobre a formalização, ou não, de relacionamento com terceiro, de acordo com o apetite de risco da empresa.

• Target: Pessoa, física ou jurídica, “alvo” da investigação de Due Diligence.

 4. DIRETRIZES PARA O KNOW YOUR EMPLOYEE (KYE)

O processo de Know Your Employee (Conheça Seu Colaborador) diz respeito à verificação de critérios de ética e integridade sobre colaboradores e potenciais candidatos em processo de seleção e contratação na companhia, com o objetivo de mitigar eventuais riscos que possam expor a SB Crédito.Estes riscos podem estar vinculados à identificação de maus antecedentes de ética e integridade e da constatação de eventuais ilícitos destes indivíduos, dentre outras diversas irregularidades possíveis. Nesse sentido, a companhia não compactuará com quaisquer práticas irregulares que vão contra à sua missão, visão e valores, bem como das disposições previstas em seu Código de Ética e Conduta e da legislação vigente e aplicável.Diante disso, a SB Crédito providenciará a realização do procedimento de Due Diligence prévias à contratação de determinados candidatos, bem como regularmente sobre os profissionais que já prestam serviços para a companhia.

4.1 PROCEDIMENTO DE KNOW YOUR EMPLOYEE (KYE)

A partir do processo de recrutamento e seleção de potenciais candidatos por parte da área de Pessoas e Cultura, com a realização da prévia análise sobre as exigências técnicas requeridas para cada vaga, bem como demais requisitos objetivos demandados, a Due Diligence deverá ser estruturada.Para os cargos de nível estratégico, tais como Diretores e Gerentes, será elaborado o procedimento de Due Diligence de Nível II, enquanto para os demais colaboradores operacionais e administrativos, será estruturada Due Diligence de Nível I. Estes mecanismos serão elaborados com base nos seguintes critérios mínimos:

5. DIRETRIZES PARA O KNOW YOUR SUPPLIER (KYS)

O processo de Know Your Supplier (Conheça Seu Fornecedor) diz respeito à verificação de critérios de ética e integridade sobre os fornecedores (de bens e de serviços) da companhia, incluindo a identificação de pessoas e eventuais empresas ligadas a estes terceiros, com o objetivo de mitigar riscos que possam expor a SB Crédito.O objetivo deste processo consiste, dentre outros, em:

• Verificar o histórico de antecedentes relacionados à ética e integridade dos fornecedores;

• Assegurar que os fornecedores sejam contratados com base na qualidade de seus serviços;

• Assegurar que os fornecedores detenham as habilidades, recursos, experiência, credenciais e qualificações apropriados para cumprir suas obrigações com relação aos serviços a serem prestados à companhia.

A partir disso, a companhia adotará processos preventivos e regulares de Due Diligence sobre os fornecedores, com o intuito de avaliar no momento de seleção e monitorar continuamente o desempenho destes terceiros à SB Crédito.Os fornecedores estratégicos, ou seja, aqueles que possuam valores superiores a R$ 150.000,00 (cento e cinquenta mil reais), deverão necessariamente passar pela Due Diligence de Nível II.Já os demais fornecedores que não possuam alta criticidade diante das atividades desempenhadas na companhia, o simples levantamento de informações para validação de critérios de ética e integridade através de Due Diligence de Nível I, será suficiente.  

5.1 PROCEDIMENTO DE KNOW YOUR SUPPLIER (KYS)

Diante da necessidade de contratação de determinado fornecedor, a área demandante terá que notificar o Compliance Officer da SB Crédito, para que este possa providenciar a respectiva Due Diligence.Estes procedimentos deverão seguir os presentes critérios mínimos:

6. GRAU DE RISCO DE INTEGRIDADE (GRI)

Para todo o procedimento de Due Diligence, deverá ser avaliado e atribuído o Grau de Risco de Integridade, de acordo com o apetite de riscos da SB Crédito, observando rigorosamente os critérios adotados para os respectivos níveis, bem como conforme as bases de dados dispostas em Anexo I e II.A análise conjunta de critérios resultará na Análise de Riscos final, cujo risco também deverá ser classificado em ALTO, MÉDIO ou BAIXO.Sendo assim, havendo exposição de alto risco, este deverá ser avaliado junto ao Comitê de Ética e Compliance da companhia para que o respectivo posicionamento seja devidamente registrado e formalizado, com as devidas justificativas e, se necessário, eventual monitoramento contínuo e demais providências.A ponderação sobre o prosseguimento da contratação de colaboradores e fornecedores que resultem em Grau de Risco de Integridade baixo ou médio, é de competência da respectiva gestão da área solicitante.

7. RESPONSABILIDADE E COMUNICAÇÃO

É de responsabilidade da área de Pessoa e Cultura a elaboração de Due Diligence de Nível I e II de potenciais candidatos à determinada vaga na companhia, sendo que o último deverá ser encaminhado para análise e estruturação de Parecer pelo Compliance Officer da SB Crédito.É de responsabilidade da área Compliance a elaboração de Due Diligence de Nível I e Nível II para fornecedores da SB Crédito.Todos os colaboradores envolvidos nestes procedimentos de verificação deverão prezar pelo sigilo e confidencialidade das informações verificadas, assim como diante de eventuais providências relacionadas ao assunto.Caso ao longo da execução do contrato com determinado colaborador ou terceiro sejam identificados novos fatos que levantem suspeitas sobre idoneidade dos parceiros de negócios, deve-se comunicar o ocorrido imediatamente ao Compliance Officer por meio do Canal de Denúncias.O Canal de Denúncias pode ser acessado através das seguintes formas: https://canal.ouvidordigital.com.br/sbcreditoWhatsApp: (031) 8947-7889

8. DISPOSIÇÕES FINAIS

O presente documento deverá ser analisado em conjunto às demais normativas da companhia, especialmente a Política de Conflito de Interesses e o Código de Ética e Conduta.Esta Política tem vigência a partir da data de sua aprovação, em 13 de dezembro de 2023, e será revisada de forma periódica, de acordo com as atualizações legislativas e demais normativas internas.Os casos omissos neste documento serão avaliados pelo Comitê de Ética e Compliance em conjunto com a Alta Administração.

ANEXO I - CHECKLIST BASE DE DADOS PARA CONSULTA – PESSOA FÍSICA

Cadastro Nacional de Condenações Cíveis por Ato de Improbidade Administrativa e Inelegibilidade https://www.cnj.jus.br/improbidade_adm/consultar_requerido.php?validar=form

Consulta de Doadores e Fornecedores https://divulgacandcontas.tse.jus.br/divulga/#/consulta/doadores-fornecedores/2030402020

Certidão de Filiação Partidáriahttps://www.tse.jus.br/eleitor/certidoes/certidao-de-filiacao-partidaria

Comissão de Valores Mobiliárioshttps://sistemas.cvm.gov.br/?Processo

Antecedentes Criminais – Emissão e validação de certidão de antecedentes criminaishttps://antecedentes.dpf.gov.br/antecedentes-criminais/certidao

Certidão CNJ – Mandado de prisãohttps://portalbnmp.cnj.jus.br/#/pesquisa-peca

Certidões TCU – Certidão negativa de contas julgadas irregulares; Certidão negativa de contas julgadas irregulares com implicação eleitoral: Certidão negativa de inabilitado para função pública; Certidão negativa de licitante inidôneo; Certidão negativa de processos no âmbito do TCU;https://portal.tcu.gov.br/certidoes/

Listas TCU – Lista de inabilitados para função pública; Lista de licitantes inidôneos;

Lista de responsáveis com contas julgadas irregulares; Lista de responsáveis com contas julgadas irregulares com implicação eleitoralhttps://portal.tcu.gov.br/certidoes/

Certidão de Débitos Relativos a Créditos Tributários Federais e à Dívida Ativa da Uniãohttps://solucoes.receita.fazenda.gov.br/Servicos/certidaointernet/Pf/Emitir/ResultadoEmissao/NDUkODk3OCMyMzQ2Nzg5IyojKjEyNTgwNjQwOTA4NjM3ODcyNjAxNzY2MjMwNzQ4

Certidão de Débito Trabalhistahttps://cndt-certidao.tst.jus.br/inicio.faces;jsessionid=jFlHR59x4sy6RcBBn_M5E-2g3R0MUltN_Vhi8-Gy.cndt-certidao-25-bl6hb

Certidão MPThttps://www.prt2.mpt.mp.br/servicos/certidao-positiva-negativa

Certidões da Controladoria-Geral da União – Certidão negativa correcional (CGU-PJ, CEIS, CNEP e CEPIM) e Certidão negativa correcional (ePAD e CGU-PAD)https://certidoes.cgu.gov.br/

Certidão de Débitos Estaduais – Como exemplo a do Estado do Paranáhttp://www.cdw.fazenda.pr.gov.br/cdw/emissao/certidaoAutomatica 

ANEXO II - CHECKLIST BASE DE DADOS PARA CONSULTA – PESSOA JURÍDICA

Este anexo tem como objetivo auxiliar a emissão de certidões referentes a Targets pessoa jurídica, bem como servir de check list para nos processos investigativos conduzidos pelo Departamento de Compliance.Emissão de Comprovante de Inscrição e de Situação Cadastral http://servicos.receita.fazenda.gov.br/Servicos/cnpjreva/cnpjreva_solicitacao.asp.

Cadastro Nacional de Condenações Cíveis por Ato de Improbidade Administrativa e Inelegibilidadehttps://www.cnj.jus.br/improbidade_adm/consultar_requerido.php?validar=form

Consulta de Doadores e Fornecedoreshttps://divulgacandcontas.tse.jus.br/divulga/#/consulta/doadores-fornecedores/2030402020

Certidão de Filiação Partidáriahttps://www.tse.jus.br/eleitor/certidoes/certidao-de-filiacao-partidaria

Comissão de Valores Mobiliárioshttps://sistemas.cvm.gov.br/?Processo

Certidões TCU – Certidão negativa de contas julgadas irregulares; Certidão negativa de processos no âmbito do TCU; Consulta situação de pessoa jurídicahttps://portal.tcu.gov.br/certidoes/

Listas TCU – Lista de licitantes inidôneos;

Lista de responsáveis com contas julgadas irregulares; Lista de responsáveis com contas julgadas irregulares com implicação eleitoralhttps://portal.tcu.gov.br/certidoes/

Certidão de Débitos Relativos a Créditos Tributários Federais e à Dívida Ativa da União Https://solucoes.receita.fazenda.gov.br/Servicos/certidaointernet/Pf/Emitir/ResultadoEmissao/NDUkODk3OCMyMzQ2Nzg5IyojKjEyNTgwNjQwOTA4NjM3ODcyNjAxNzY2MjMwNzQ4

SINTEGRA – ICMS referente à cada Estado da União http://www.sintegra.gov.br/

Certidão de Débito Trabalhista https://cndt-certidao.tst.jus.br/inicio.faces;jsessionid=jFlHR59x4sy6RcBBn_M5E-2g3R0MUltN_Vhi8-Gy.cndt-certidao-25-bl6hb

Certidão MPT https://www.prt2.mpt.mp.br/servicos/certidao-positiva-negativa

Certidões da Controladoria-Geral da União – Certidão negativa correcional (CGU-PJ, CEIS, CNEP e CEPIM) e Certidão negativa correcional (ePAD e CGU-PAD) https://certidoes.cgu.gov.br/

Certidão de Débitos Estaduais – Como exemplo a do Estado do Paraná http://www.cdw.fazenda.pr.gov.br/cdw/emissao/certidaoAutomatica

1. OBJETIVO

A Política de Segurança Cibernética (POSEC) da SB Crédito objetiva acrescentar segurança e credibilidade às nossas atividades.Desenvolvemos a POSEC para que todos os que se relacionam com a SB possam conhecer nossas diretrizes relacionadas à segurança e proteção da informação (critérios, regras e normas).A presente política visa garantir a integridade, a disponibilidade e a divulgação dos dados e sistemas de informação utilizados pelo nosso modelo.A POSEC busca assegurar a aplicação dos princípios e diretrizes de segurança da informação, incentiva o compartilhamento de informações e a transparência com devido cuidado às restrições e procedimentos internos, propaga a conscientização dos controles adotados para reduzir a vulnerabilidade da SB Crédito a incidentes cibernéticos e a redução do risco de vazamento de informações, além de controles específicos, voltados à rastreabilidade da informação, que visem a segurança de informações sensíveis, a classificação de dados e responsabilização por vazamento, o registro e a análise da causa e do impacto.

2. ABRANGÊNCIA

Esta Política de Segurança da Informação é aplicada de forma imediata e possui imenso valor jurídico. Com a sua aprovação pela Alta Direção, e subsequente publicação, deve ser observada e aplica-se a todos os colaboradores, clientes, parceiros de negócio e prestadores de serviços ou terceiros da SB Crédito. Entende-se como “colaboradores” todos os empregados, administradores, estagiários e menores aprendizes da SB Crédito, sendo necessário que todas as condutas estejam pautadas em boas práticas do mercado nacional e internacional.

3. PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

Visando garantir uma estrutura sólida, bem como a preservação da segurança da informação, é que se estabelecem os princípios a serem aplicados em todas as condutas praticadas pela SB Crédito, na figura dos seus colaboradores, prestadores de serviços, e quem mais possa representar a SB Crédito:

• Confidencialidade: garantia de que as informações sejam acessadas apenas por usuários autorizados;

• Integridade: condição em que as informações sejam autênticas em relação à última alteração durante o seu ciclo de vida, sendo as modificações apenas as que forem autorizadas;

• Disponibilidade: garantia de que as informações e os recursos de Tecnologia da Informação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso.

 4. RESPONSABILIDADES

Todos os colaboradores e envolvidos da SB Crédito, de forma direta ou indireta, possuem a função de proteger informações e ativos tecnológicos que tem acesso. Além disso, todo colaborador precisa expor os riscos e incidentes de segurança de informação, quando suspeitar ou flagrar a sua ocorrência.Ainda, à área de Segurança da Informação, compete: estabelecer e executar as regras de proteção dos ativos da SB Crédito;

1. Agente público: qualquer pessoa física que exerça cargo ou função pública, temporária ou permanentemente, com ou sem remuneração, em nome do Estado (Federal, Estadual, Municipal ou Distrital), ou da Administração Pública estrangeira (autoridades governamentais internacionais, representações diplomáticas e demais entidades estatais estrangeiras);

2. Revisar no mínimo, semestralmente, as regras de proteção estabelecidas;

3. Restringir e controlar o acesso e os privilégios de usuários remotos e externos;

4. Detectar, identificar, registrar e comunicar à alta administração as violações ou tentativas relevantes e significativas de acesso não autorizadas;

5. Estabelecer e acompanhar controles para a exclusão das contas inativas;

6. Manter registros de atividades de usuários de TI (logs), devendo conter informações e diagnóstico necessárias para identificação do usuário e dos comandos utilizados, incluindo a hora e a data das atividades, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos, endereço IP e condições de erro observadas (tentativas rejeitadas, erros de consistência etc.).

 5. SEGURANÇA DE SISTEMAS E TECNOLOGIA DA INFORMAÇÃO

A SB Crédito faz uso de sistemas e soluções tecnológicas, bem conhecidos pelo mercado, por suas características e funcionalidades avançadas de infraestrutura com compromisso sólido em reduzir a vulnerabilidade a incidentes e assim proporcionar maior segurança cibernética para seus clientes e usuários. Utilizamos antivírus, firewall de proteção da rede contra-ataques, VPNs, cofre
de senhas, autenticação via certificado assimétrico, duplo fator de autenticação, inventário monitorado, sistema operacional e navegadores atualizados.Na SB Crédito todos os dispositivos internamente utilizados são atualizadospela equipe de TI antes de serem disponibilizadas para seus colaboradores. Dessa maneira, assegurando que os sistemas operacionais, navegadores e demais sistemas de informação atendam padrões internacionais de segurança da informação e realizem todas as atualizações críticas em tempo hábil.

6. SEGURANÇA DE SISTEMAS E TECNOLOGIA DA INFORMAÇÃO

 1. Todos os dados e informações usadas na SB Crédito são consideradas um ativo de informação particular da empresa e devem ser tratados com discrição adequada; 

2. Todos os colaboradores da SB Crédito conhecem e acatam a POSEC;

3. A SB Crédito divulga, conscientiza e mantém programa de treinamento sobre Segurança Cibernética, conforme definido no item 18 desta Política;

4. A SB Crédito gerencia os softwares utilizados pela organização e procura prover todos os recursos necessários para garantir a segurança cibernética:

a. Tratar de maneira sigilosa e ética toda informação na SB Crédito, contemplada em todas as etapas de seu ciclo de vida;

b. Garantir a segregação de funções com a finalidade de não criar cenários de autossabotagem e interesses próprios entre o corpo de colaboradores, em todo processo no escopo da empresa;

c. Conduzir monitoramento e resposta de incidentes de todos os ativos, serviços e rede da empresa afim de mitigar os riscos;

d. Elaborar cenários de incidentes para realização periódica de testes de continuidade;

e. Aplicar estratégias de defesa, entre elas utilizar técnicas de IPS (Sistema de Prevenção de Intrusão) e IDS (Sistema de Detecção de Intrusos), DMZ (Zona Desmilitarizada) entre outras boas práticas;

f. Desenvolver maneiras de prevenir, detectar e reduzir a vulnerabilidade em todo ciclo de incidentes;

g. Garantir a conscientização da equipe através de treinamentos e seminários;

h. Realizar planos de contingências em ambiente físico;

i. Garantir as boas práticas de segurança em todo o processo de desenvolvimento de aplicação;

j. As informações trafegadas de acordo com sua sensibilidade e criticidade para continuação das atividades da SB Crédito.

7. CLASSIFICAÇÃO DAS INFORMAÇÕES

As informações que estão sob a responsabilidade da SB Crédito precisam ser classificadas e protegidas com controles compatíveis em todo o seu ciclo de vida, mediante a execução de ferramentas e formalização de processos em instrumento específico. A classificação das informações consiste na definição de níveis de proteção que cada informação deve receber. Tal classificação serve para garantir que nenhuma informação seja divulgada indevidamente e que apenas as pessoas que precisem dessas informações recebam acesso às mesmas.Sendo essas informações classificadas em categorias, sendo elas:

1. Pública: são informações que podem ser acessadas e utilizadas por qualquer colaborador, uma vez que estão expostas ao público em geral, ainda que estejam fora dos limites institucionais, pois não representam grandes ameaças caso sejam divulgadas publicamente;

2. Interna: são informações relativas a normativas internas, de funcionamento,
essas não devem ser reveladas a qualquer pessoa. Devem, portanto, ser acessadas apenas por colaboradores internos e terceiros autorizados. Contudo, caso se tornem públicas, não deverá haver consequências graves;

3. Confidencial: são informações que demonstram dados de nível estratégico ou até mesmo dados pessoais identificáveis, as quais não podem ser disponibilizadas ao público em geral, ou, ainda, só devem ser divulgadas a grupos específicos e expressamente autorizados de colaboradores e terceiros. Caso haja divulgação indevida, a SB Crédito poderá ser prejudicada tanto financeiramente quanto estrategicamente.

Em relação às últimas duas, o gestor da área responsável terá a designação e controle do acesso às informações conforme a função e necessidade, conforme o perfil de acesso próprio no qual define o controle a cada sistema e plataforma utilizados.Conforme o princípio de liberação de “acesso mínimo” ocorrerá a disponibilização de acesso, considerando-se objetivamente a necessidade para a finalidade específica ao atendimento da prestação de serviço de cada função.Dessa forma, o gestor da área possui acesso a todas as informações de cunho interno e confidencial, enquanto os demais colaboradores somente terão acesso a essas informações necessárias para o desempenho da sua função. 

8. CRITÉRIOS DE CLASSIFICAÇÃO DOS DADOS

A classificação dos dados faz parte das exigências da ISO 27001 e LGPD.Os dados confidenciais devem ser protegidos por criptografia e requerem sigilo absoluto. Os dados utilizados no dia a dia operacional da SB Crédito recebem a classificação conforme a finalidade, sensibilidade e acesso. Os dados são classificados como: confidenciais, restritos, de uso interno ou públicos.

1. Confidencial: É o nível mais alto de segurança. Os dados confidenciais são aqueles que, se divulgados interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou denegrir à imagem da empresa e sua marca, podendo também causar a perda de clientes, afetar a competitividade e crescimento das operações. São protegidos por criptografia.

2. Restrito: É o nível médio de segurança. São dados estratégicos que devem estar disponíveis apenas para grupos restritos de colaboradores. A exemplo, essas informações podem ser protegidas restringindo o acesso à uma pasta ou diretório da rede.

3. Interno: Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade do dado.

4. Público: São dados que não necessitam de proteção contra vazamentos, pois podem ser de conhecimento público. No entanto, cabe ressaltar dois pilares: a integridade e disponibilidade.

Todos os processos informáticos que envolvem armazenamento, transferência, utilização e descarte das informações confidenciais e dados pessoais serão tratados com controles e mecanismos que visam proporcionar o máximo de integridade e proteção contra acesso não autorizado. 

9. ACORDOS DE CONFIDENCIALIDADE

Com intuito de assegurar a confidencialidade, integridade e disponibilidade dos dados, a SB Crédito determina que todos os novos colaboradores, parceiros de negócio e prestadores de serviços ou terceiros devem ter conhecimento prévio das nossas políticas de cibersegurança e políticas de conduta ética. Considera-se como “colaboradores” todos os empregados, administradores, estagiários e menores aprendizes da SB Crédito.Ainda, com relação às informações confidenciais, todos os colaboradores da SB Crédito possuem termo de confidencialidade assinado, desde a contratação ou oportunamente em aditivo específico, com as devidas responsabilidades especificadas, bem como prazo de duração e penalidades advindas do seu descumprimento.Todo evento ou incidente de segurança da informação ocorrido na SB Crédito deve ser registrado em e-mail e reportado para seguranca@sbcredito.com.br para tratamento e monitoramento até a resolução. Sendo que os responsáveis de TI farão a classificação do incidente quanto a urgência, impacto e prioridade.

10. CONTROLES DE ACESSOS

Haverá a disponibilização do acesso aos sistemas utilizados pela SB Crédito em um prazo máximo de 24 horas após a contratação do colaborador ou prestador de serviços, quando aplicável, sendo de responsabilidade do setor de Recursos Humanos ou responsáveis pela contratação, solicitar o acesso junto a área de Segurança da Informação, mediante solicitação formal a área.O acesso a rede de computadores, sistemas e outros recursos de tecnologia da SB Crédito, é concedido mediante apresentação de uma identificação, geralmente contendo o primeiro nome um “.” e seu sobrenome. Esse método é utilizado para controlar os direitos de acesso as informações, como também identificar cada colaborador e uso dos recursos.Salienta-se, que as senhas dos sistemas são de uso pessoal e intransferível, sendo de inteira responsabilidade do usuário as ações realizadas sob suas credenciais, como também, todo e qualquer prejuízo causado pelo fornecimento de sua senha a terceiros, independente do motivo.

10.1 Acesso aos Sistemas da rede SB Crédito

Cada indivíduo, na qualidade de colaborador ou prestador de serviços da SB Crédito, é inteiramente responsável pela proteção e utilização de suas senhas e permissões de acesso a sistemas, assim como pelas ações decorrentes da utilização destes acessos.O acesso e o uso de todos os sistemas de informação, bancos de dados, diretórios da rede e demais recursos devem ser restritos a pessoas explicitamente autorizadas e de acordo com a necessidade para o cumprimento de suas funções. Acessos desnecessários ou com poder excessivo devem ser imediatamente retirados. 

10.2 Regra de mínimo acesso

A concessão de acesso às informações e sistemas deve ser autorizada com base na regra de mínimo acesso necessário para o desempenho da função. Periodicamente, os acessos concedidos devem ser revistos pela gerência imediata e pelo Comitê Gestor da Segurança da Informação. 

10.3 Política de Autenticação e Senha

Os usuários da SB Crédito devem: Manter a confidencialidade, memorizar e não registrar a senha - exceção para a utilização de software específico de Cofre de Senha, instalado na estação de trabalho pelo time de Infraestrutura da SB Crédito. Ou seja, não contar a ninguém e não anotar em papel;

1. Alterar a senha sempre que existir qualquer suspeita do comprometimento e avisar seu gestor imediato com cópia de e-mail para o time de segurança cibernética;

2. Selecionar senhas de qualidade, que sejam de difícil adivinhação. Utilizar senhas com letras maiúsculas e minúsculas, números e caracteres especiais com no mínimo 10 dígitos;

3. Implementar MFA (Múltiplo Fator de Autenticação) nos e-mails e sistemas utilizados pela empresa; 

4. Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ “logado” com a sua identificação SB Crédito;

5. Bloquear sempre o equipamento ao sair de perto dele. ex.: (Ctrl + Alt + Del ou Win + L);

Pode ocorrer o bloqueio do usuário e senha do colaborador ou prestador de serviços, quando aplicável, ocorre em duas situações: no desligamento, onde o Recursos Humanos informa via e-mail/sistema de chamado a relação de colaboradores desligados; na hipótese de extinção de contrato do prestador de serviço, onde o setor responsável pelos contratos sinalizará pelo bloqueio das credenciais; e em situações de folga e férias, na qual a área de Segurança da Informação providenciará os bloqueios.Sempre que um gestor ou coordenador achar prudente e necessário, poderá solicitar a área de Segurança da Informação, avaliação do perfil de seus colaboradores.De forma regular e frequente, a área responsável pelo gerenciamento e controle dos equipamentos, deverá realizar as checagens aleatórias com objetivo de auditar a situação geral e identificar possíveis irregularidades. 11. Controles InternosEm relação aos controles internos de Segurança da Informação da SB Crédito são atribuídos nas seguintes dimensões:

1. Configurações seguras para hardware e software;

2. Proteções de e-mail e navegador da web;

3. Utilização de VPN;

4. Aplicação de testes de vulnerabilidade;

5. Anonimização e criptografia;

6. Limitação e controle de portas de rede, protocolos e serviços;

7. Recursos de Recuperação de Dados;

8. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches e controle de acesso sem fio;

9. Proteção de dados;

10. Gerenciamento e Resposta a Incidentes;

11. Descarte de informações;

 12. POLÍTICAS DE USO DA INTERNET

12.1 Objetivo

Esta política objetiva estabelecer regras gerais, definir responsabilidades e requisitos básicos de utilização da Internet na rede SB Crédito visando assegurar a segurança cibernética.

12.2 Abrangência

Esta política se aplica a todos os colaboradores, prestadores de serviços, terceirizados, estagiários, fornecedores ou quaisquer outros indivíduos ou entidades que venham a ter acesso e/ou utilizar, direta ou indiretamente, as informações ou os ativos de informação de toda rede SB Crédito.

12.3 Determinações Gerais

Todo o acesso à internet no ambiente corporativo da SB Crédito será feito exclusivamente pelos meios autorizados e configurados pelo departamento de TI. 

12.3.1 O acesso à internet é disponibilizado pela SB Crédito para uso nas atividades relacionadas ao trabalho, sendo o uso para fins pessoais limitado aos princípios da ética, razoabilidade e legalidade. A possibilidade de acesso a qualquer serviço da internet não implica em autorização para sua utilização. De acordo com o Termo Geral de Segurança da Informação e de Responsabilidade pela Guarda e Uso de Equipamento e Guia de Utilização dos Recursos de Informática, documentos assinados por cada colaborador da SB Crédito; 

12.3.2 Os prestadores de serviços e terceirizados devem seguir os procedimentos para acesso à internet que são executados conforme norma operacional de registro de usuários e permissão de serviços;

12.3.3 Para ter acesso à internet, o usuário deve receber orientações quanto ao uso correto desse recurso para assegurar que todos estão cientes das implicações referentes à segurança cibernética; 

12.3.4 Todo colaborador está de acordo com o Guia de Utilização dos Recursos de Informática, documento anexo ao termo de posse de recursos de informática assinado por cada colaborador da SB Crédito.

12.3.5 A cada usuário cabe o acatamento das seguintes práticas:

• Não utilizar do acesso à internet para comprometer a segurança (integridade, confidencialidade ou disponibilidade) de computadores, sistemas ou serviços de instituições privadas ou governamentais;

• Não permitir que outros usuários façam uso da Internet com suas credenciais. O acesso concedido ao usuário é pessoal e intransferível;

• Certificar-se de que dados ou informações pessoais e sigilosas sejam transmitidas de forma segura, por meio de uma conexão segura, normalmente identificada com a denominação HTTPS:// na barra de endereço e o símbolo de um cadeado;

• Desconectar-se com segurança de sistemas web, utilizando links específicos para este fim, como “Sair”, “Log off” ou “Desconectar”. Evitar simplesmente fechar o navegador, pois isso mantêm a conexão ativa por alguns minutos, possibilitando a sua utilização por um usuário mal-intencionado e

• Não utilizar o recurso de “salvar” ou “lembrar” senhas, disponíveis em muitos navegadores de Internet.

12.3.6 Fica liberado o acesso a sítios de governo, de órgãos de ensino e pesquisa, de organismos internacionais de pesquisa, de órgãos técnico-normativos e a jornais e revistas de cunho cultural e educativo, bem como a outros de interesse institucional. 

12.3.7 Os usuários da rede devem reportar os incidentes que afetem a segurança dos ativos ou o descumprimento da Política de Segurança Cibernética à Gerência de TI.  

13. CORREIO ELETRÔNICO E COMUNICAÇÕES DIGITAIS

13.1 Introdução

Esta política objetiva prover diretrizes e restrições para o uso prudente do correio eletrônico e canais de comunicação digitais da SB Crédito com bases nos requisitos de cibersegurança. Esta política operacional aplica-se a todos os empregados, colaboradores, prestadores de serviços, terceirizados, fornecedores ou quaisquer outros indivíduos ou entidades que venham a ter acesso e/ou utilizar, direta ou indiretamente, as informações ou os ativos de informação da rede SB Crédito. 

13.2 Correio Eletrônico

A conta de correio eletrônico pertence a SB Crédito e é fornecida para realização das atividades correlatas a cada colaborador, de forma ágil, promovendo a comunicação eficiente e maior fluidez dos dados e informações para a tomada de decisão eficaz. Qualquer serviço digital que seja criado com a conta de e-mail da SB Crédito deve seguir os mesmos princípios de conduta ética e ser utilizado para aprimorar a realização de atividades da SB Crédito. O acesso ao serviço de correio eletrônico se dará por meio de senha de uso pessoal e intransferível.

13.3 Responsabilidade do usuário

São de responsabilidade do usuário:

• A proteção do sigilo de sua senha de acesso a fim de evitar a utilização da conta de correio eletrônico por outrem, cabendo a responsabilização civil e/ou criminal do mesmo pelos danos cometidos através da má utilização do recurso;

• Os anexos, links, e conteúdo de mensagens enviadas, sob sua identificação;

• O cuidado quanto a origem dos links e mensagens recebidas a fim de evitar danos;

• A utilização do serviço de correio eletrônico fornecido pela SB Crédito para assuntos exclusivos da instituição;

• A comunicação ao setor Segurança da Informação (seguranca@sbcredito.com.br) sobre qualquer ocorrência estranha a utilização institucional do correio eletrônico, ocorrida em seu e-mail, ou em sua área de trabalho.

 14. PLANO DE AÇÃO E RESPOSTAS A INCIDENTES

14.1 Teste de Continuidade de Negócios

A SB Crédito tem a incumbência de manter a continuidade dos negócios em caso de incidente crítico. A SB Crédito tem redundância em seus serviços para continuar operando mesmo com a queda de um ou mais servidores de sistemas. No caso em que um incidente venha a interromper a operação normal, entra em ação o Plano de Continuidade de Negócios. O plano possui o objetivo de identificar os riscos que possam comprometer a continuidade de suas atividades, avaliar o impacto e providenciar a resiliência da SB Crédito, atribuindo a empresa a capacidade de prevenir ou reagir de forma eficiente a estes eventos.

14.2 Prestadores de Serviços de Tecnologia

Os procedimentos e controles voltados à prevenção e ao tratamento de incidentes em relação aos prestadores de serviço de tecnologia são previamente definidos em contratos. Na ocasião de um incidente, o fornecedor do serviço é acionado pela área correlata e é realizado o acompanhamento até resolução final, dentro do período pré-contratado.Todo prestador de serviços da SB Crédito tem conhecimento da política segurança cibernética e assina um termo de responsabilidade e confidencialidade no uso das informações fornecidas pela SB Crédito estritamente para realização de suas atividades contratadas. Em caso de qualquer incidente, o gestor direto do terceiro é responsável por registrar o caso em e-mail e encaminhar para o departamento de TI com cópia para a direção de Operações e área de RH.

14.3 Classificação de Criticidade dos Incidentes

Após o incidente ser recebido, será classificado conforme o impacto nos negócios e o tempo mínimo necessário de resposta (crítico, emergencial ou evento inesperado) e será atribuído um responsável para dar seguimento até resolução final.

14.4 Plano de Ação de resposta a incidentes

A SB Crédito dispõe de mecanismos de detecção a intrusão, via monitoramento dos servidores de autenticação dos colaboradores dentro do domínio SB Crédito, firewall de rede e equipe de suporte a segurança da informação. Na ocorrência de incidente de segurança, o mesmo deve ser analisado e, após análise, é elaborado um plano de ação para corrigir e/ ou melhorar o ambiente e/ou processo com o objetivo de evitar ou minimizar a possibilidade de nova ocorrência. A elaboração e acompanhamento do plano de ação são coordenados pela Área de Tecnologia. 

15. SITUAÇÕES DE EXCEÇÃO

A SB Crédito está preparada para trabalhar em situações de exceção e manter o atendimento online disponível para seus clientes de forma confiável e escalável. Os principais servidores de sistemas da SB Crédito possuem redundância em localidades afastadas e distintas, o que permite assegurar que mesmo em situação de incidente grave, os serviços fornecidos permanecerão disponíveis para os clientes. 

16. SEGURANÇA DE USO DE RECURSOS DE INFORMAÇÃO

Os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis. Documentos devem ser acompanhados após a sua cópia, impressão ou utilização e devem ter seu descarte realizado de forma adequada. Apenas os equipamentos e softwares autorizados pela SB Crédito podem ser instalados e conectados à rede da SB.

17. TREINAMENTO DE SEGURANÇA

O conhecimento de segurança da informação é difundido internamenteatravés de programas de capacitação ministrados para todos os colaboradores,certificando dessa maneira que todos tenham ciência das possíveis ameaças e vulnerabilidades que envolvem a segurança cibernética, bem como quais são os procedimentos a serem seguidos em situações de crise ou incidentes.A SB Crédito incentiva e promove uma cultura de segurança dentro da instituição, visando proteger os objetivos citados nesta política, e principalmente  proteger a informação. A SB Crédito tem consciência que as atividades de segurança cibernética, estão em constante evolução. Sendo assim, os procedimentos e controles relacionados com o tema, serão revistos com periodicidade, promovendo uma melhoria contínua do ambiente de segurança cibernética.Periodicamente são utilizados os meios de comunicação interna e redes sociais para reforçar as boas práticas de segurança e alertas para possíveis fraudes.Também é mantido um canal para denúncias e suspeitas relacionados à segurança da informação e possibilidades de fraude. O canal é o e-mail seguranca@sbcredito.com.br.

18.  POLÍTICA DE USO DE DISPOSITIVOS MÓVEIS E TRABALHO REMOTO

18.1 Objetivo

O objetivo da política de uso de dispositivos móveis e trabalho remoto é garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis. Os riscos decorrentes de tais usos devem estar mapeados e gerenciados adequadamente.

18.2 Diretrizes para implementação

Quando dispositivos móveis são utilizados, cuidados especiais devem ser tomados para assegurar que as informações confidenciais e restritas do negócio não sejam comprometidas. A política de dispositivos móveis leva em consideração os riscos de se trabalhar com esses dispositivos móveis em ambientes desprotegidos.

18.3 Transporte de dispositivos móveis

Cuidados devem ser tomados ao utilizar dispositivos móveis (notebooks, tablets, celulares etc.) em locais públicos, salas de reuniões e outras áreas desprotegidas. Convém que seja estabelecida uma proteção para evitar o acesso não autorizado ou a divulgação de informações armazenadas e processadas nesses dispositivos, por exemplo, através da utilização de técnicas de criptografia e do uso de informação de autenticação secreta.Os dispositivos móveis devem ser protegidos fisicamente contra roubo, especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotéis, centros de conferência e locais de reunião.Dispositivos móveis que contêm informações importantes, sensíveis e/ ou críticas para o negócio, não devem ser deixados sem observação e, quando possível, fisicamente trancados com o uso de travas especiais, ou em um ambiente de acesso físico controlado. O transporte de dispositivos móveis, tais como notebooks e outros acessórios que possam atrair furtos ou roubo, deve ser feito de preferência no porta-malas dos veículos, seja veículo próprio ou serviço de transporte contratado por aplicativo, por exemplo.Um treinamento ou divulgação deve ser programado para as pessoas que usam dispositivos móveis, como forma de aumentar a conscientização quanto aos riscos adicionais decorrentes desta forma de trabalho, e os controles que se recomenda implementar.Tomar também os mesmos cuidados colocados para os computadores/desktops/notebooks:

• Não deixar senhas salvas;

• Não deixar e-mail logado, bloquear telas;

• Não manter arquivos/informações nos celulares e

• Evitar compartilhamento via aplicativos de conversas e redes sociais como Instagram, Whatsapp e Telegram.

Para casos de utilizar redes públicas, como em aeroportos, prédios de clientes e estabelecimentos comerciais diversos, como de executivos, acessar os dados/aplicações via VPN privada principalmente se estiverem usando redes/internets públicas como em aeroportos, prédios de clientes e estabelecimentos comerciais diversos, a ser alinhada com a tecnologia.

18.4 Recomendações adicionais

Conexões de dispositivos móveis sem fio são similares a outros tipos de conexões de rede, mas possuem diferenças importantes.

• Alguns protocolos de segurança sem fio são imaturos e possuem vulnerabilidades conhecidas. Recomenda-se não se conectar a redes que utilizam protocolo WEP ou WPS, seja no uso doméstico ou em outras redes, tais como coworkings, hotéis, eventos, cafés, etc.;

• Informações armazenadas em dispositivos móveis podem não ser passíveis de cópia de segurança por conta de limitações da largura de banda da rede ou porque dispositivos móveis podem não estar conectados quando a cópia de segurança for agendada. Nesses casos, é recomendado que o usuário verifique manualmente se o backup foi realizado para reter o risco perdas.

 19. TRABALHO REMOTO

A SB Crédito permite a execução de atividades de trabalho remoto. As informações de negócio acessadas, processadas ou armazenadas em locais de trabalho remoto devem também ser protegidas seguindo as restrições da Política de Segurança Cibernética. Deve ser utilizado VPN para acessar os serviços remotos e o dispositivo remoto deve apresentar sistemas de segurança
atualizado, tais como antivírus, firewall e sistema operacional (MS Windows ou Linux).

20. GLOSSÁRIO

AD - ACTIVE DIRECTORY: Ferramenta de gerenciamento de usuários de rede, bastante utilizada para autenticar um usuário e é denominada serviço de diretório. Todo computador que faz parte do domínio (Grupo da empresa), seja uma estação de trabalho, servidor ou impressora, deve ter uma conta no Active Directory.

AMEAÇA: Causa potencial de um incidente que pode resultar em dano para o negócio. Qualquer objeto ou circunstância que viabilize a exploração de uma vulnerabilidade. Qualquer causa potencial de um incidente pode ser considerada como sendo uma ameaça. Estas ameaças podem ser acidentais ou deliberadas. 

ANÁLISE DE VULNERABILIDADE DE CÓDIGO: Teste de software que verifica a lógica interna do sistema em busca de falhas, inconformidades e vulnerabilidades, apontando a linha de código que causa o erro e que precisa ser corrigida. Também conhecido como teste estrutural ou de caixa-branca. 

ANÁLISE DE VULNERABILIDADE DE APLICAÇÃO: Teste de software que verifica o comportamento externo da aplicação em execução para identificar anomalias ou vulnerabilidades, sendo capaz de simular ataques à aplicação e mostrar os efeitos de uma exploração. Também conhecido como teste funcional ou de caixa-preta. 

BACKUP: É um termo inglês que tem o significado de cópia de segurança. É frequentemente utilizado em informática para indicar a existência de cópia de um ou mais arquivos guardados em diferentes dispositivos de armazenamento. 

COLABORADOR: Qualquer pessoa que seja membro do Conselho de Administração, Diretor Executivo, funcionário, estagiário, prestador de serviços ou mandatário, a título permanente ou ocasional, da SB Crédito. 

CONFIDENCIAL: É o nível mais alto de segurança. Os dados confidenciais são aqueles que, se divulgados interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. Devem ser protegidos por criptografia. 

DOWNLOAD: Constitui o ato de copiar um arquivo da rede (internet). O arquivo (download) pode ser copiado por e-mail, WhatsApp, Discord, chat, Telegram, website etc. Consiste na cópia de dados da internet. Quando recebemos um novo e-mail, fizemos um download.

HACKER: É um termo inglês para definir um invasor ou um grupo de invasores que buscam atacar seu dispositivo pessoal ou de empresas, tais como computadores, celulares, servidores, roteadores etc.

INCIDENTE DE SEGURANÇA DE INFORMAÇÃO: Qualquer evento que afete ou possa afetar a integridade, disponibilidade, privacidade, confidencialidade, autenticidade, auditabilidade e/ou confiabilidade da informação ou sistemas de informação da SB Crédito, incluindo qualquer ação ou omissão, deliberada ou não, que viole a regulação vigente pertinente a segurança de informação.

INFORMAÇÃO: Todos os dados e registros, tangíveis ou intangíveis, incluindo voz e imagem, independentemente do seu formato, modo de tratamento, meio de transmissão - físico ou lógico - relativos à vida da instituição SB Crédito.

INTERNO: Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.

LINKS: a hiper ligação, ou simplesmente uma ligação (em inglês, hyperlink e link), é uma referência dentro de um documento em hipertexto a outras partes desse documento ou a outro documento. Muito utilizado para repassar um website para outra pessoa.

MEDIA ACCESS CONTROL (ENDEREÇO MAC): Termo relacionado a redes de computadores. Basicamente é um endereço físico e único que conecta um dispositivo à rede.

POSEC: Política de Segurança Cibernética SB Crédito. 

PÚBLICO: São dados que não necessitam de proteção contra vazamentos, pois podem ser de conhecimento público. No entanto, cabe ressaltar dois pilares: a integridade e disponibilidade.

REQUISITOS DE SEGURANÇA: Conjunto de necessidades de segurança às quais o software deve atender compreendendo aspectos funcionais e não funcionais.

RESTRITO: É o nível médio de segurança. São dados estratégicos que devem estar disponíveis apenas para grupos restritos de colaboradores. A exemplo, essas informações podem ser protegidas restringindo o acesso à uma pasta ou diretório da rede.

RISCO: Potencial exploração de uma vulnerabilidade como caminho para a concretização de uma ameaça, com a perspectiva de impactos negativos.

SEGURANÇA DA INFORMAÇÃO: Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

SISTEMA: Coleção de componentes organizados para desempenhar uma determinada função ou conjunto de funções. Um sistema pode ser digital ou não. O desenvolvimento e manutenção de um sistema de computador ocorre ao longo do seu ciclo de vida.

SSL - SECURE SOCKET LAYERS: Padrão de segurança que cria um canal criptografado entre um servidor web e um navegador. TRILHAS DE AUDITORIA: Em segurança cibernética é um histórico de ações realizadas no sistema, também conhecido como ‘log’ do sistema. A Trilha é um alvo clássico em ataques cibernéticos, onde o invasor busca apagar ou alterar o rastro de seu ataque.

UPLOAD: Consiste na cópia de dados para internet. Quando enviamos um e-mail, fazemos um updload.

VPN: Virtual Private Network 

VULNERABILIDADE: Ponto fraco de procedimento, arquitetura, implementação ou controles internos de um sistema que pode ser acidentalmente ou intencionalmente explorado.

ENGENHARIA SOCIAL: Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. No contexto desta política, é considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas e importantes. O popularmente conhecido “171” ou “conto do vigário” utiliza engenharia social.

MAIL BOMBING: Envio de mensagens eletrônicas em massa para um determinado destinatário com o objetivo de sobrecarregar o serviço de e-mail e torná-lo inutilizável ou indisponível. Nesse tipo de ataque, são enviados milhares de e-mails simultaneamente originados de fontes diversas.

PHISHING: Nome estrangeiro dado ao ataque virtual em que um farsante se apresenta como uma empresa ou instituição conhecida e de renome com o objetivo de coletar informações sensíveis, como: dados pessoais, número de cartão de crédito, senhas, entre outros. Esse tipo de ataque faz uso de manipulações psicológicas e seu êxito depende de falhas humanas (ao invés de falhas técnicas), o phishing é classificado como um ataque de engenharia social.

PROXY OU EMULADORES DE PROXY: São ferramentas que burlam a segurança de rede e podem expor a rede corporativa a ataques e perdas de informações.

RAMSOWARE: É um software nocivo que é usado para bloquear dados de computadores e servidores através do uso de algum tipo de criptografia. Esse malware é usado por hackers para exigir resgates, para que os dados sejam novamente liberados.

SPAM: É o termo usado para referir-se a e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. 

TROJAN: Em computação, um cavalo de Troia (do inglês, ‘Trojan horse’, ou, simplesmente, trojan) é qualquer aplicativo mal-intencionado que “engana” os usuários sobre sua verdadeira intenção. O termo é derivado da história grega antiga do cavalo de Troia enganoso que levou à queda da cidade de Troia.

VÍRUS DE COMPUTADOR: Em informática, um vírus de computador é um software malicioso que é desenvolvido por programadores geralmente inescrupulosos. Tal como um vírus biológico, o programa infecta o sistema, faz cópias de si e tenta se espalhar para outros computadores e dispositivos de informática. 

WEP: Significa Wired Equivalent Privacy, e é um tipo de chave de segurança. Foi introduzido na tentativa de dar segurança durante o processo de autenticação, proteção e confiabilidade na comunicação entre os dispositivos sem fio. A chave de segurança é um protocolo que criptografa os dados transmitidos por Wi-Fi. Ela também é chamada de chave de criptografia ou chave WEP. 

WI-FI OU WIRELESS: Significa rede sem fio. Popularmente usada para conectar na internet ou intranet de casa ou da empresa. 

WPS: Wi-Fi Protected Setup: é um padrão de segurança de rede que permite que os usuários mantenham facilmente uma rede sem fio doméstica segura.

A proteção de dados pessoais e seus titulares:

O advento da Lei Geral de Proteção de Dados Pessoais (LGPD) contemplou diversos
direitos até então inéditos aos titulares de dados, representados pelas pessoas físicas
que, por força de alguma relação com a SB Crédito, têm seus dados tratados pela SB
Crédito. Para isso, a SB Crédito está integralmente engajada com as iniciativas voltadas
à proteção de dados dos titulares e, consequentemente, comprometida em garantir os
direitos previstos pela legislação. Deste modo, o presente Guia foi disponibilizado para
que você, titular, entenda como a SB Crédito realiza o tratamento e como exercer os
seus direitos diante destas circunstâncias.

Quais são os seus direitos?

Conforme o artigo 18 da Lei Geral de Proteção de Dados garantimos a você os seguintes direitos:
(i) Confirmar com a SB Crédito a existência de tratamento de dados pessoais e obter, a qualquer tempo, acesso aos seus dados;
(ii) Caso os seus dados estejam incompletos, inexatos ou desatualizados, você pode requerer junto à SB Crédito a correção desses;
(iii) Requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei Geral de Proteção de Dados;
(iv) Solicitar informações das entidades públicas e privadas com as quais a SB Crédito realizou uso compartilhado de dados;
(v) Requerer a exclusão dos seus dados coletados e armazenados pela SB Crédito é possível, desde que decorrido o prazo legal mínimo relacionado à guarda dos respectivos dados;
(vi) Será viabilizada também a opção de portabilidade dos dados a outro prestador de serviços, mediante seu pedido;
(vii) Nos casos em que a SB Crédito pedir o seu consentimento para coleta de algum dado, você poderá requerer informação sobre a possibilidade de não oferecer o consentimento e quais são as
consequências dessa negativa. Caso concedido, poderá posteriormente revogar o consentimento, bem como requerer a eliminação desses dados.

Como você pode contactar o SB Crédito para obter informações sobre o tratamento
dos seus dados?

O SB Crédito utiliza-se de mecanismos internos para verificar que existe o tratamento
de dados pessoais dentro da organização. Esta informação pode ser consultada
mediante requisição por meio do e-mail dpo@sbcredito.com.br .

Da correção dos dados incompletos, inexatos ou desatualizados:

Havendo a verificação de que algum dos seus dados pessoais tratados está incompleto,
inexato ou desatualizado, você poderá solicitar suas correções ao SB Crédito por meio
do e-mail dpo@sbcredito.com.br .

Ao solicitar a correção desses dados, a SB Crédito deverá encaminhar o pedido aos
demais controladores ou operadores de dados corresponsáveis pelo tratamento a fim
de garantir que todas as empresas preservem os dados devidamente atualizados para
viabilizar a prestação de serviços de geração e transmissão de documentos e boletos,
devolução de registros, tratamento de mailings diversos, transmissões multicanais,
gerenciamento de produção e gerência de efetividade e disponibilidade.

Estas exigências garantem a rastreabilidade de todos os dados tratados pelas
empresas envolvidas no tratamento dos dados confiados a elas e viabilizam uma
comunicação transparente e objetiva.

Da exclusão total ou parcial dos seus dados pessoais:

Conforme mencionado no rol de direitos cima, você poderá solicitar a exclusão, total ou
parcial, de seus dados pessoais tratados pela SB Crédito. Nesse caso, basta utilizar o
mesmo meio de comunicação disponibilizado para tais diligências através do endereço
de e-mail: dpo@sbcredito.com.br

É importante destacar que a exclusão dos dados pessoais retidos na base da SB Crédito
depende das circunstâncias que garantem seu armazenamento, como nos casos de
necessidade para cumprimento de obrigações legais, dentre outros casos previstos em
lei. Nestes casos, eles não poderão ser excluídos de imediato.

Mesmo que a exclusão não seja viável em alguns casos, os referidos dados são
mantidos com comprometimento de sigilo e medidas de proteção adequadas, sendo
armazenados unicamente para cumprir com as finalidades específicas e necessárias.

E se você não concordar com a utilização dos seus Dados Pessoais para a finalidade
pretendida pelo SB Crédito, é possível se opor a este tratamento?

Na maioria dos dados, esta possibilidade é viável.

Em regra, a SB Crédito realiza contato direto com os titulares de dados pessoais em
suas operações diárias e, portanto, realiza o tratamento com apoio em outras bases
legais da LGPD além do consentimento, como por exemplo o legítimo interesse,
execução de contrato ou cumprimento de obrigação legal.

Ainda que contemplada pela legislação aplicável, a SB Crédito exerce o direito de
tratamento com cautela, responsabilidade e sempre objetivando o menor risco possível
aos direitos dos titulares dos dados através da coleta do mínimo necessário para
realizar suas operações.

Caso você entenda que a finalidade de tratamento utilizada impacta negativamente
seus direitos, é de pleno direito demonstrar sua oposição e descrever a finalidade que
entenda excessiva através do e-mail: dpo@sbcredito.com.br 

Apesar disso, isso não garante que a SB Crédito deixe de tratar os seus dados: podem
existir casos em que o tratamento perdure por estar baseado em prerrogativas legais
pertinentes e legítimas.

É possível revogar o consentimento concedido ao SB Crédito para o tratamento dos
Dados Pessoais?

Conforme garantido pela legislação aplicável, você poderá solicitar a revogação do
consentimento para a SB Crédito através do mesmo canal de comunicação exposto:
dpo@sbcredito.com.br 

Cabe destacar que existem hipóteses em que a SB Crédito realiza o tratamento dos
dados pessoais sem a necessidade de obter o consentimento do titular, situações em
que torna impossível requerer a revogação do consentimento para o tratamento dos
dados pessoais.

De todo modo, SB Crédito responderá você na resposta à solicitação de revogação,
sobre as possíveis consequências decorrentes desta decisão, como por exemplo as
restrições de uso de determinado serviço ou funcionalidade dos nossos serviços.

É possível requerer uma cópia de todos os seus dados pessoais tratados pela SB
Crédito?

A requisição da cópia dos dados é um direito seu, como titular de dados. Para tanto, é
necessário enviar uma solicitação pelo e-mail dpo@sbcredito.com.br . Depois de verificada
a sua identidade, a SB Crédito fornecerá a cópia dos destes dados dentro do prazo de
15 (quinze) dias úteis.

Como requerer a portabilidade dos meus dados?

Para isso, você deverá solicitar pelo e-mail dpo@sbcredito.com.br. Após a sua identidade
ser verificada internamente, será fornecida a referida cópia dos dados no prazo de até
15 (quinze) dias úteis para que a portabilidade para outro prestador de serviços ocorra.

E quanto a informação sobre a lista das entidades, públicas ou privadas, com as quais
o SB Crédito compartilhou seus dados?

Da mesma forma que os procedimentos anteriores, para requerer esta informação é
necessário enviar uma solicitação pelo endereço de e-mail: dpo@sbcredito.com.br .

Ainda, é importante destacar que a SB Crédito não poderá compartilhar informações
nos casos em que haja algum motivo legítimo para a reserva de sigilo, como em casos
de segredo de justiça ou mesmo quando seja necessário proteger segredos comerciais
da SB Crédito, conforme autorização prevista na LGPD.

IMPORTANTE!

Sempre que a SB Crédito receber pedidos de exercício de direitos, é possível solicitar
informações complementares para possibilitar a comprovação da identidade dos
solicitantes, com o único objetivo de termos certeza de que apenas entregaremos
informações aos titulares corretos e para fins de evitar a ocorrência de fraudes.

A SB Crédito busca garantir a segurança e a privacidade de todos, por isso todas as
medidas cabíveis para esta finalidade serão adotadas. Ainda, nos comprometemos a
responder as solicitações contidas neste Guia em um prazo razoável e sempre em
conformidade com a legislação aplicável, quando não possível atendê-las
imediatamente.

Controlador:

SB CRÉDITO SECURITIZADORA S/A., inscrita no CNPJ/MF sob o nº
09.602.719/0001-77, estabelecida na Rua Marechal Deodoro, 630, Conjunto 802,
Centro, Curitiba/PR.

Canais de comunicação: Para maiores informações, o titular de dados pessoais poderá entrar em contato através do dpo@sbcredito.com.br