Post on 28-Jan-2020
Goldman Sachs
DECLARAÇÃO DE SEGURANÇA DE CLIENTES
VERSÃO 7.0
ABRIL DE 2019
(foto)
© 2019 Goldman Sachs. Todos os direitos reservados.
Índice
Introdução
Governança de Riscos, Auditoria e Supervisão Regulatória
Políticas e Normas de Segurança da Informação e Segurança Cibernética
Gestão de Identidade e Acesso
Segurança de Aplicativos e Software
Segurança de Infraestrutura
Segurança Móvel
Segurança de Dados e Privacidade de Dados
Segurança Física
Segurança para Fornecedores
Gestão de Incidentes de Segurança
Continuidade do Negócio e Resiliência Tecnológica
Nossas Expectativas sobre Suas Práticas de Segurança da Informação
Nenhuma parte deste material pode ser (i) copiada, fotocopiada ou duplicada em nenhum formato por nenhum meio ou
(ii) redistribuída sem nosso prévio consentimento por escrito. Este material destina-se apenas a fins informativos e não
tem por finalidade formar a base de nenhuma decisão de investimento e não deve ser considerado como uma
recomendação da Goldman, Sachs & Co., suas subsidiárias ou afiliadas (coletivamente, “Goldman Sachs” ou “nós”). Em
particular, este material não constitui uma oferta de prestação de serviços de consultoria ou outros serviços pela
Goldman Sachs. Nada contido neste documento constitui uma oferta ou promessa de adquirir qualquer produto ou
serviço ou de fazer um investimento em qualquer entidade.
Introdução
A Goldman Sachs (a “Firma”) entende a importância da
segurança da informação, incluindo a Segurança
Cibernética, para proteger contra ameaças externas e
internas. A estratégia de segurança cibernética da Firma
prioriza a detecção, análise e resposta aos riscos
cibernéticos, às atividades maliciosas, e às ameaças de
conhecimento da Firma.
A Firma busca continuamente cumprir ou exceder as
melhores práticas de segurança da informação e possui
controles para proteger os clientes e a si própria.
Este documento proporciona uma visão geral da
abordagem da Firma à segurança da informação e suas
práticas de proteção de dados, sistemas e serviços,
incluindo:
Governança de Riscos e Supervisão Regulatória: A
governança e a gestão dos riscos são uma função
da cultura de gestão, das práticas incorporadas e da
supervisão formal da Firma. O modelo de
governança da Firma é alcançado por meio das
atividades diárias dos gestores e de suas equipes,
apoiados por diversos grupos de trabalho e comitês.
Políticas e Normas de Segurança da Informação e
Segurança Cibernética: A Firma mantém um
conjunto abrangente de políticas e normas de
segurança da informação para documentar sua
abordagem em relação ao cumprimento das leis,
normas, regulamentos ou diretivas de gestão da
própria Firma.
Gestão de Identidade e Acesso: A Firma
implementou controles que identificam, autorizam,
autenticam e gerenciam o acesso de pessoas aos
sistemas e ativos de informação da Firma.
Segurança de Aplicativos e Software: A Firma
gerencia a segurança de aplicativos e software por
meio de seu processo de gestão de software, que
inclui um inventário centralizado, práticas seguras
de desenvolvimento de software, testes de
vulnerabilidades, resiliência sustentada de
aplicativos e capacidades de registro.
Segurança de Infraestrutura: A Firma protege sua
infraestrutura por meio de uma estrutura de controle
que inclui uma arquitetura de rede em camadas,
testes de vulnerabilidades, robustecimento do
sistema e proteção contra malware.
Segurança de Dados e Privacidade de Dados: A
Firma implementou controles projetados para
proteger as informações da FIrma e do cliente
abrangendo a classificação de dados, segurança no
armazenamento, manuseio, transmissão e
destruição.
Segurança de Acesso Remoto: As soluções móveis
da Firma permitem que os funcionários realizem
atividades de negócios em seus dispositivos
pessoais, ao mesmo tempo garantindo que os
sistemas internos sejam protegidos e que as
informações da Firma e do cliente permaneçam
protegidas.
Gestão de Incidentes de Segurança: O programa de
gestão de incidentes de segurança da Firma aborda
ameaças e incidentes de segurança que têm um
impacto potencial sobre a confidencialidade,
integridade ou disponibilidade do ambiente de
informações e tecnologia da Firma, incluindo
notificações aos clientes conforme exigido pelas leis
e regulamentos aplicáveis.
Continuidade do Negócio e Resiliência Tecnológica :
A Firma possui um Programa de Continuidade de
Introdução
Negócios global maduro e abrangente para
Recuperação de Desastres (BCP/DR). O programa
abrange a resiliência de negócios e tecnologia. As
principais características do programa incluem
capacidades dispersas, recuperação de locais
próximos, recuperação de locais distantes e
recuperação dispersa.
Segurança Física: A Firma implementou controles
de acesso físico em todas as suas instalações,
incluindo escritórios, locais próximos e distantes,
datacenterse instalações de armazenamento.
Segurança para Fornecedores: A gestão de risco de
segurança da informação é incorporada ao processo
de gestão de fornecedores da Firma, que cobre
seleção, integração, monitoramento de desempenho
e gestão de risco dos fornecedores.
Embora as medidas de segurança da informação
mudem naturalmente ao longo do tempo e difiram com
relação à gama de serviços da Goldman Sachs, esta
visão geral deve responder a muitas de suas dúvidas
sobre nossas práticas de segurança. A Goldman Sachs
não garante que este documento será apropriado ou
adequado para os fins a que você o destinar.
Entre em contato com o representante da Goldman
Sachs se tiver mais alguma dúvida.
Governança de Riscos, Auditoria e Supervisão Regulatória
Estrutura de Controle de Riscos
A governança de riscos da Firma emprega um
modelo de três linhas de defesa. O modelo organiza
as atividades de gestão de riscos em todas as
unidades de negócios da Firma que possuem e
gerenciam riscos (primeira linha), funções
independentes de supervisão de riscos (segunda
linha) e auditoria interna (terceira linha).
A Firma realiza avaliações de risco contínuas,
alinhadas aos padrões do setor, que incluem a
identificação, monitoramento e análise de
desempenho dos controles. Quando apropriado,
questões de risco são criadas e gerenciadas até o
suas resoluções.
Comitês de Governança
Os comitês internos de risco da Firma são
globalmente responsáveis pela aprovação e
monitoramento contínuo das estruturas, políticas e
limites de risco que regem o risco global da Firma.
O Comitê de Risco de Tecnologia da Firma analisa
as questões relacionadas ao projeto,
desenvolvimento, implementação e uso da
tecnologia. Este comitê também supervisiona
questões de segurança cibernética, bem como
estruturas e metodologias de gestão de riscos
tecnológicos e monitora sua eficácia. O CISO
(“Chief Information Security Officer”) fornece ao
Comitê de Risco de Tecnologia da Firma
atualizações regulares sobre tópicos de risco
relevantes, status do programa e incidentes.
O Comitê Global de Resiliência Operacional do
Negócio é responsável pela supervisão das
iniciativas de resiliência do negócios, promovendo o
aumento dos níveis de segurança e resiliência, e
revisando certos riscos operacionais relacionados à
resiliência do negócio.
Programa de Risco de Tecnologia
O Programa de Risco de Tecnologia abrange as
iniciativas de Segurança da Informação (“InfoSec”) e
Segurança Cibernética da Firma. O programa é
ajustado constantemente para garantir a adequação
contínua.
O CISO da Firma é responsável pela gestão e
implementação do Programa de Risco de
Tecnologia e é diretamente subordinado ao Chefe
Global de Core Engineering.
Como parte da segunda linha de defesa da Firma,
uma equipe dedicada de especialistas em risco
operacional fornece supervisão independente do
Programa de Risco de Tecnologia e avalia a eficácia
operacional do programa em relação às estruturas
padrão do setor.
O Programa de Risco de Tecnologia é aprovado
anualmente pelo Conselho de Administração da
Firma. O Conselho de Administração tem um
interesse ativo nas questões de segurança da
informação e segurança cibernética e define o
apetite de risco da Firma em tais áreas, acompanha
a evolução e recebe atualizações.
Auditoria Interna
A divisão de Auditoria Interna da Firma avalia de
forma independente o ambiente geral de controle da
Firma, aumenta a conscientização do risco de
controle, comunica e informa sobre a eficácia da
governança, gestão de riscos e controles da Firma
que mitigam riscos atuais e em evolução, e monitora
a implementação das medidas de controle da
Governança de Riscos, Auditoria e Supervisão Regulatória
administração. A Auditoria Interna é uma função
independente subordinada ao Comitê de Auditoria
do Conselho de Administração da Firma.
Supervisão Regulatória e Auditoria Externa
A Firma é regulada por diversas autoridades
reguladoras em todas as jurisdições em que
operamos, incluindo o Banco Central do Brasil, a
Comissão de Valores Mobiliários, Federal Reserve
Board, o New York State Department of Financial
Services, a Commodity Futures Trading
Commission, a Securities and Exchange
Commission, o Consumer Financial Protection
Bureau, a Financial Conduct Authority e a Prudential
Regulation Authority.
PricewaterhouseCoopers LLP, a Firma de auditoria
externa contratada pela Firma, testa
independentemente os controles aplicáveis como
parte de sua auditoria das demonstrações
financeiras da Firma, seus relatórios de Controle de
Organização de Serviços (SOC) 1 e sua auditoria do
Programa de Continuidade do Negócio da Firma.
Envolvimento no Setor
A Goldman Sachs é fundadora ou participante líder em
muitas iniciativas importantes do setor, como a
Securities Industry and Financial Markets Association
(SIFMA), o Financial Services Sector Coordinating
Council (FSSCC) e o Financial Services - Information
Sharing and Analysis Center (FS-ISAC). Observe que
esta lista não é exaustiva.
Políticas e Normas de Segurança da Informação e Segurança Cibernética
Políticas e Normas
A Firma mantém um conjunto abrangente de
políticas e normas de segurança da informação e
segurança cibernética que levam em consideração
as leis e regulamentos de privacidade de dados
aplicáveis às jurisdições em que opera.
As políticas e normas são revistas e aprovadas
pelos órgãos de governança pertinentes de toda a
Firma. A política global de segurança da informação
e segurança cibernética da Firma é revisada
anualmente.
Uma dedicada força-tarefa de políticas mantém o
processo de desenvolvimento, revisão, atualização
e descontinuidade de políticas e normas de
segurança da informação. Estes documentos estão
sujeitos a um ciclo de revisão pré-determinado com
base na natureza e conteúdo do material. A força-
tarefa de políticas realiza um monitoramento
contínuo impulsionado por ciclos de revisão de
políticas e normas de segurança da informação.
Além disso, as revisões podem ser acionadas por
mudanças no ambiente ou no cenário regulatório.
As políticas e normas da Firma estão alinhadas com
os padrões reconhecidos do setor, incluindo aqueles
ditados pelo National Institute of Standards and
Technology (Instituto Nacional de Normas e
Tecnologia) (NIST), pelo Federal Financial
Institutions Examination Council (Conselho Federal
de Análise de Instituições Financeiras) (FFIEC) e
pela International Organization for Standardization
(Organização Internacional de Normalização) (ISO).
As políticas e normas da Firma estão disponíveis
para todos os funcionários por meio de um
compêndio interno. Tais políticas abrangem todos
os aspectos do Programa de Risco Tecnológico. Os
tópicos regidos por políticas e normas de
informação e segurança cibernética incluem:
o Gestão de Identidade e Acesso, por
exemplo, gestão de permissões e acesso à
produção
o Segurança de Aplicativos e Software, por
exemplo, gestão de mudanças de software,
software de código aberto e backup e
restauração
o Segurança de Infraestrutura, por exemplo,
gestão de capacidade, gestão de
vulnerabilidades, redes e sistemas sem fio
o Segurança Móvel, por exemplo, Bring Your
Own Device (Traga Seu Próprio Dispositivo)
(BYOD) e aplicativos móveis
o Segurança de Dados, por exemplo,
criptografia e encriptação, segurança do
banco de dados, apagamento de dados e
eliminação de mídias
Treinamento e Educação
A Firma realiza uma campanha de conscientização
global para ajudar os funcionários e contratados a
reconhecer as preocupações com informações e
segurança cibernética e responder adequadamente;
concentramos nosso foco na prevenção de riscos e
no encaminhamento de incidentes. Além disso, um
currículo de treinamento desenvolve conhecimentos
e habilidades para facilitar a adoção do controle e
promover a responsabilização individual.
O treinamento em segurança da informação,
incluindo segurança cibernética e privacidade, é
obrigatório para todo o pessoal da Firma
anualmente. Um treinamento adicional é fornecido
para novos associados e pessoas que são
transferidas dentro da Firma. O treinamento
Políticas e Normas de Segurança da Informação e Segurança Cibernética
específico de segurança da informação é fornecido
com base em funções, por exemplo, treinamento de
codificação segura para desenvolvedores.
Tópicos contidos no currículo de Informação de
Risco de Tecnologia e Segurança Cibernética
incluem:
o Informações e Fundamentos de Segurança
Cibernética
o Bring Your Own Device (BYOD)
o Engenharia Social e Phishing
o Gestão de Risco de Dados
o Conscientização e Encaminhamento de
Ameaças Internas
o Risco de Tecnologia do Fornecedor
o Segurança da Informação para Aplicativos
o Gestão de Privilégios de Aplicativos
o Segurança de E-Mails e Outras
Comunicações Eletrônicas
o Treinamento em Tecnologia Baseada em
Funções
o Currículo de Risco de Aplicativos para
desenvolvedores
o Treinamento tópico para equipes de
tecnologia
Gestão de Identidade e Acesso
Gestão de Identidade de Usuários
A Firma possui controles de acesso bem
desenvolvidos que se baseiam nos princípios gerais
de ausência de permissão sem identidade, ausência
de permissão sem aprovação, need-to-know,
acesso a permissões mínimas e proporcionais às
funções ou deveres inerentes ao cargo.
A Firma verifica os antecedentes de funcionários,
consultores e contratadas. Sempre que permitido
pela legislação aplicável, o processo de verificação
de antecedentes inclui a verificação de crédito e de
antecedentes criminais. A identidade de um
funcionário é posteriormente verificada no início do
contrato de trabalho por meio de processos padrão
de recursos humanos.
Ao ingressar na Firma, os funcionários assinam um
acordo de não divulgação o qual exige que eles
respeitem as políticas de proteção de dados
confidenciais dos clientes da Firma.
Um identificador único é atribuído a cada
funcionário. Os funcionários estão proibidos de
compartilhar suas informações de credenciais
individuais, por exemplo, nomes de usuário e
senhas.
Os crachás de identificação de pessoal são emitidos
a todos os funcionários quando ingressam na Firma.
Gestão de Permissões
A Firma possui um sistema de verificações e
balanços destinado a garantir que diferentes
pessoas executem diferentes partes de uma
atividade crítica.
As soluções em autenticação e permissões
aprovadas pela Firma são utilizadas em toda a
infraestrutura. As aplicações em produção
potencializam as soluções aprovadas pela Firma
para implementar a gestão de identidade e acesso e
para permitir a geração de relatórios sobre as
permissões dos usuários. Estas soluções são
utilizadas para pessoas que ingressam ou deixam a
Firma, ou cuja função dentro da Firma é alterada.
As permissões do sistema são revisadas pela
administração no mínimo anualmente, com base em
ajustes de risco. As permissões de alto risco são
objeto de revisões mais frequentes. As permissões
também são revisadas quando um funcionário é
transferido para uma nova função ou departamento
dentro da Firma.
Quando um funcionário deixa a Firma, o acesso às
instalações e o acesso geral aos sistemas de
informação da Firma são revogados dentro de 24
horas. Em circunstâncias especiais, o acesso é
revogado imediatamente.
Gestão de Acesso
Fortes controles de senha são aplicados sempre
que possível, por exemplo, por meio de
configurações de política de Diretórios Ativos. O
padrão de senha da Firma exige alterações no login
inicial, comprimento mínimo da senha, composição
alfanumérica, expiração após um período definido,
número máximo de tentativas de login sem sucesso
antes do bloqueio, um histórico de senhas e um
bloqueio por inatividade.
Os dados de clientes são mantidos em repositórios
de produção que residem nos datacenters, com
fortes controles de segurança lógica e física em
vigor. O acesso aos dados do cliente e o acesso
administrativo aos sistemas que armazenam dados
Gestão de Identidade e Acesso
de clientes devem ser aprovados por gerentes
autorizados.
O acesso pela equipe de tecnologia aos sistemas de
produção é limitado a pessoas autorizadas, tem um
tempo determinado, está sujeito a registro e análise
periódica, limitando-se às funções necessárias e é
monitorado regularmente. Cada sessão de acesso
requer pré-aprovação. O acesso ao código-fonte é
restrito ao pessoal autorizado e requer aprovação.
A atividade realizada durante o período de acesso à
produção é registrada e deve ser analisada por uma
pessoa autorizada.
Os funcionários da Firma são proibidos de utilizar
sistemas e funções de terceiros, baseados na
Internet (webmail) ou sistemas semelhantes a e-
mails para fins comerciais. Além disso, não podem
utilizar os recursos da Firma para terem acesso a
tais sistemas para uso pessoal.
O acesso dos funcionários a websites e categorias
selecionadas de websites é bloqueado ou limitado
com base nas exigências regulatórias, de segurança
da informação e de controle interno. Isso inclui
redes sociais, compartilhamento de arquivos e
webmail.
Segurança de Aplicativos e Software
Inventário Centralizado
A Firma mantém uma lista de seus aplicativos em
um inventário centralizado. A ferramenta é utilizada
para registrar informações que descrevem o
aplicativo, bem como o hardware associado e o
responsável técnico. Além disso, os aplicativos são
classificados e ranqueados de acordo com a
criticidade, o tipo de dados que processam e os
requisitos de resiliência.
Gestão de Mudanças
A Firma possui um ciclo de vida formal de
desenvolvimento de software (SDLC) centrado em
portões de controle. As mudanças no ambiente de
produção são regidas por políticas e normas.
Todas as mudanças em produção exigem testes
bem-sucedidos e aprovações autorizadas.
A segurança das informações é incorporada em
todo o SDLC de forma ajustada ao risco. Exemplos
de controles de SDLC incluem:
o Análises de projeto e considerações sobre
risco de dados (por exemplo, identificação
de dados de privacidade)
o Análise manual de código e varredura
automática de código com ferramentas
padrão do setor para aplicativos expostos a
ambientes de alto risco (por exemplo,
aplicativos voltados para o público externo)
o Testes periódicos de penetração de
aplicativos voltados para o público externo
utilizando ferramentas automatizadas
padrão do setor e testes manuais
o Registro de permissões, gestão de
mudanças no programa e controle de
acesso à produção
o Separação entre ambientes de produção e
ambientes de desenvolvimento e de teste
(QA)
o Teste e validação de bibliotecas de código
aberto como livres de vulnerabilidades
conhecidas.
A maioria dos aplicativos em uso na Firma é
desenvolvida internamente. Alguns aplicativos
aproveitam bibliotecas de código aberto e código-
fonte. As mesmas normas de segurança de
aplicativos são aplicadas a aplicativos
desenvolvidos internamente, componentes de
software de código aberto e software de terceiros.
Práticas Seguras de Codificação
A segurança da informação dos aplicativos é
incorporada por meio de:
o Implementação de práticas de codificação
de segurança padrão do setor, como o
Open Web Application Security Project
(OWASP)
o Configuração de mensagens de erro para
limitar a divulgação de dados confidenciais
a terceiros
o Personally Identifiable Information
(Informações de identificação pessoal) (PII)
ou outras informações confidenciais não são
armazenáveis nos cookies do navegador do
cliente.
Testes de Segurança
A Firma realiza ataques simulados autorizados a
seus sistemas, que são feitos para avaliar a
segurança da sua infraestrutura.
A metodologia de testes de penetração utilizada
pela Firma internamente e pelos seus fornecedores
Segurança de Aplicativos e Software
é baseada em diversas diretrizes publicadas no
setor, como o Guia de Implementação do CREST
STAR/CBEST, NIST SP800-115 e o Guia de Testes
de Open Web Application Security Project
(OWASP). A abordagem combina técnicas de
avaliação manual e automatizada e o uso de
ferramentas de avaliação proprietárias, comerciais e
de código aberto de primeira linha em um processo
consistente e que pode ser repetido. As
metodologias geralmente abrangem as seguintes
atividades:
o Preparação do pré-teste com os
responsáveis por ativos
o Modelagem e triagem de ameaças
o Varreduras dinâmicas/estáticas
automatizadas e verificação de resultados
de varreduras
o Identificação de vulnerabilidades e testes de
confirmação
o Preparação e entrega de relatórios com
revisão por pares e gerentes
o Socialização dos resultados com os
responsáveis por ativos
o Acompanhamento e correção de problemas
o Reavaliação de problemas corrigidos
Backup e Recuperação de Dados
Os backups são registrados em uma plataforma
online baseada em disco para fins de recuperação.
Periodicamente, os dados são registrados em mídia
de fita criptografada e enviados a locais externos
para armazenamento.
Os processos de backup e a recuperação da Firma
são feitos usando sistemas padrão do setor.
Existem processos para identificar, encaminhar e
corrigir exceções conforme apropriado.
A eficiência da recuperação é validada por meio da
amplitude e da frequência de recuperação de dados
feita no curso normal das operações de negócios.
As exigências de recuperação do usuário são
transmitidas por meio de um sistema de emissão de
bilhetes. As tentativas de recuperação de dados de
backup são registradas.
Registro
A Firma habilitou o registro (log) de eventos
importantes, incluindo falhas de login, atividade
administrativa e atividade de alteração.
A gestão de arquivos de registro (log files) segue o
princípio dos privilégios mínimos. Somente os
processos de aplicações têm acesso de escrita aos
arquivos de registro. As contas do sistema somente
têm acesso de leitura aos arquivos de registro.
Os registros são mantidos de acordo com a política
da Firma sobre retenção de registros e requisitos
legais e regulatórios. Os registros são mantidos no
mínimo por 30 dias.
Os registros não contêm informações confidenciais, tais
como as informações pessoais identificáveis (PII),
credenciais de autenticação ou chaves de criptografia.
Segurança de Infraestrutura
Inventário de Hardware
A Firma mantém informações de ativos para
hardware em inventários gerenciados. Cada
inventário tem um responsável e os atributos
necessários para gerenciar riscos operacionais e o
ciclo de vida do ativo associado à classe de ativos.
A gestão de inventários é composta por processos e
controles manuais e automatizados, incluindo a
revisão periódica dos inventários, e é regida por
políticas e procedimentos.
Configurações Aprimoradas do Sistema
Todos os sistemas são robustecidos com base no
risco ajustado para atender ou exceder os padrões
do setor e são implementados utilizando práticas
padrão de segurança, como permissões de acesso
a arquivos restritos e registro recomendado.
Os discos rígidos em laptops fornecidos pela Firma
são criptografados utilizando software de criptografia
padrão do setor.
Um bloqueio de tela por inatividade é imposto por
uma política de configuração em cada endpoint.
Proteção contra Malware
O software antimalware padrão do setor é instalado
em todos os endpoints e servidores Windows e na
infraestrutura de e-mail da Firma.
Os alertas antimalware são monitorados por
funcionários da Firma. O malware é eliminado e, se
necessário, os sistemas são reconstruídos.
Os arquivos de assinatura de malware são
atualizados regularmente, no mínimo diariamente,
por meio de solicitações automáticas a partir dos
sistemas na rede da Firma.
As verificações de tempo de execução são
realizadas em executáveis específicos para reduzir
a possibilidade de exploração via malware.
A lista branca de aplicativos é implementada para
detectar, relatar e prevenir a execução de malware.
A Firma assina uma solução de pré-filtragem de e-
mail para reduzir a quantidade de malware recebida
por seu gateway de e-mails.
A Firma utiliza um sistema de proteção de e-mail
desenvolvido para impedir que spam, phishing e
vírus cheguem às caixas de entrada dos
funcionários.
Segurança de Rede de Perímetro
A Firma oferece acesso externo a recursos
selecionados por meio de uma arquitetura de rede
em camadas que contém múltiplas zonas seguras
para criar um ambiente altamente segmentado,
consistente com a estratégia de defesa em
profundidade. As zonas seguras são implementadas
por meio de uma combinação de firewalls e redes
de área local virtuais.
Intrusion Detection Systems (Sistemas de Detecção
de Invasão) (IDS) e Intrusion Prevention Systems
(Sistemas de Prevenção de Invasão) (IPS) são
implementados no perímetro da rede para monitorar
e bloquear atividades mal-intencionadas, quando
possível.
Servidores de DNS (Serviço de Nome de Domínio)
separados são implantados para a resolução de
nome interno e externo. O espaço para nome de
DNS interno da Firma é distinto do espaço para
nome externo.
Segurança de Infraestrutura
As interfaces de gestão em firewalls de perímetro,
roteadores e outros dispositivos não podem ser
acessadas pela Internet. O acesso aos dispositivos
de infraestrutura de rede é limitado a zonas de
gestão dedicadas.
A Firma assina serviços de monitoramento e
mitigação de Distributed Denial of Service (Ataque
Distribuído de Negação de Serviços) (DDoS) de
vários provedores de serviços. Além disso, a Firma
hospeda sua principal presença na Internet em uma
Rede de Fornecimento de Conteúdo (Content
Delivery Network) com capacidade de mitigação e
absorção de DDoS, que implementa a restrição de
solicitações de rede para limitar o número de
referências e solicitações feitas por endereços IP de
clientes. Os alertas gerados pelas atividades de
DDoS são monitorados e comunicados.
As comunicações sem fio são criptografadas e o
acesso sem fio à infraestrutura da Firma somente é
permitido a partir de dispositivos aprovados pela
Firma, por exemplo, laptops habilitados pela GS e
BYOD do funcionário. O acesso público sem fios à
Internet é fornecido por soluções de terceiros e não
é conectado à rede da Firma.
Monitoramento de Sistema e Gestão de
Vulnerabilidade
A Firma possui um programa de gestão de
vulnerabilidade abrangente, que inclui varreduras de
vulnerabilidade semanais dos ambientes de rede
internos e externos utilizando uma varredura padrão
do setor. A Firma também contrata terceiros para
analisar sua infraestrutura externa e fornecer
resultados regularmente. As vulnerabilidades em
sistemas voltados para o público externo são
resolvidas de forma ajustada ao risco sendo que
aquelas que são classificadas como de alto risco
são imediatamente corrigidas. As vulnerabilidades
são monitoradas até serem resolvidas.
A Firma possui um processo de tratamento definido
para as vulnerabilidades descobertas. As
vulnerabilidades descobertas recebem um perfil
classificado por risco com um período de tempo
correspondente de monitoramento e correção da
implementação de patches. Os prazos para
correção de sistemas são documentados em uma
norma da Firma. Tais prazos são baseados no tipo
de sistema e no risco de vulnerabilidade que o patch
corrige.
Solução de Desktop de Rede
A Infraestrutura de Desktop Virtual é implementada
para todos os funcionários e trabalhadores
contingentes da Firma globalmente.
A conectividade remota requer autenticação de dois
fatores, fornece criptografia de comunicação e
impede que os usuários tenham acesso direto aos
dados/armazenamento de dados da Firma em
dispositivos pessoais.
Infraestrutura de Nuvem
A Firma aproveita as soluções baseadas em nuvem
pública para aumentar nossas ofertas internas e
corporativas. As contratações de soluções em
nuvem são aprovadas por nossos programas de
Governança em Nuvem e controle de Risco de
Fornecedores.
O uso de soluções de nuvem pública pela Firma é
limitado a casos de uso comercial aprovados.
O acesso geral às soluções de nuvem pública é
Segurança de Infraestrutura
limitado por controles corporativos, incluindo
restrições de perímetro e desktop.
As soluções baseadas em nuvem devem cumprir os
requisitos de controle de nuvem pública da Firma,
incluindo a criptografia de dados inativos e em
trânsito, autenticação controlada pela Firma, registro
centralizado, auditoria e acesso a recursos baseado
em funções.
Os provedores de nuvem estão sujeitos a uma revisão
aprimorada da gestão de fornecedores que abrange o
fornecimento seguro de serviços, provisões de auditoria
e o cumprimento dos requisitos de controle de nuvem
pública da Firma.
Segurança de Acesso Remoto
Soluções de Acesso Móvel Seguro para
Funcionários
A Firma fornece aos funcionários acesso móvel
seguro a seus recursos em dispositivos corporativos
e em dispositivos móveis pessoais aprovados por
meio de um programa Bring Your Own Device
(BYOD).
Os dispositivos pessoais somente podem se
conectar à rede da Firma por meio de aplicativos
móveis por ela aprovados. Tais aplicativos
armazenam informações da Firma em locais
seguros que são separados das informações
pessoais nos dispositivos e criptografados. Qualquer
outro armazenamento de informações da Firma ou
de clientes em dispositivos pessoais é proibido.
Os aplicativos móveis aprovados pela Firma
permitem que os funcionários enviem e recebam e-
mails e acessem websites e documentos internos
com segurança. Um conjunto limitado de aplicativos
de terceiros permite que os funcionários realizem
atividades analíticas e/ou relacionadas aos negócios
somente se atenderem aos critérios de segurança
da Firma.
Os aplicativos móveis aprovados pela Firma utilizam
uma série de recursos de segurança, incluindo:
o lista branca e lista negra de dispositivos
o conexões de rede seguras
o autenticação multifator
o sandboxing
o criptografia
o registro de dispositivo necessário
o correção necessária do sistema operacional
o verificação de SO sem jailbreak
o limpeza remota de dados quando acionada
por perda de dispositivo ou roubo
Todos os dados da Firma, incluindo comunicações
por e-mail, são criptografados em todos os
dispositivos móveis.
Aplicativos Móveis de Cliente
A Firma desenvolveu aplicativos móveis para que os
clientes acessem as informações de dados de seu
portfólio e às notícias do mercado e comuniquem-se
de forma segura com os funcionários da Goldman
Sachs. Os aplicativos móveis de cliente empregam
controles de segurança adicionais padrão do setor,
incluindo proibição de armazenamento local e
limpeza de cache.
Segurança Física
Proteção contra Vazamento de Dados
A Firma implementou uma série de controles
projetados para mitigar o risco de vazamento de
dados. Tais controles incluem vigilância e análise de
comunicações por meio de uma variedade de
métodos, incluindo técnicas de mineração de big
data.
Os controles de Data Loss Prevention (Prevenção
de Perda de Dados) (DLP) são projetados e
implementados para evitar a saída de conteúdo da
Firma que não se destine ao uso e distribuição
externa. Tais controles incluem a emissão de alertas
proativos para um remetente se for identificado o
potencial de desvio involuntário de dados, bem
como a prevenção da saída de certas informações
confidenciais da Firma, tais como as informações de
identificação pessoal (PII).
O acesso a mídias removíveis, como unidades flash
USB, CDs graváveis e funcionalidades
administrativas locais e aprimoradas do sistema é
estritamente controlado e de tempo limitado. Os
dados não públicos armazenados em mídias
removíveis são criptografados.
Criptografia
Os dados são criptografados quando estão fora do
local protegido dos enclaves de segurança da
Firma, como sua rede, sistemas com controle de
acesso e centros de dados. Isto inclui criptografia
em repouso (como fitas, mídia, laptops, dispositivos
móveis) e criptografia em trânsito (comunicações),
quando possível.
Utilizamos métodos de criptografia padrão do setor
e produtos comercialmente disponíveis. Revisamos
regularmente a força de tais protocolos.
Soluções padrão da Firma estão disponíveis para
criptografar arquivos transferidos entre a Firma e
terceiros.
A criptografia de e-mails oportunistas, como a
Transport Layer Security (Segurança da Camada de
Transporte) (TLS), é habilitada com todos os
clientes sempre que possível. A criptografia de e-
mail obrigatória é suportada e ativada por acordos
mútuos.
O acesso às chaves de criptografia é pré-aprovado,
limitado a pessoas autorizadas, limitado por tempo,
sujeito a registro e monitorado regularmente.
Segurança de Dados
A Firma possui diretrizes sobre mesa limpa que
instruem os funcionários a manter o espaço de
trabalho livre de papel contendo dados confidenciais
que podem impedir que usuários não autorizados
tenham acesso a informações não públicas. As
práticas incluem não deixar documentos que
contenham dados confidenciais visíveis,
desbloqueados ou desacompanhados.
A Firma implementou controles que bloqueiam a
estação de trabalho após um período de inatividade.
Os funcionários são aconselhados a bloquear as
estações de trabalho ao se afastarem.
A Firma implementou controles para garantir a
destruição segura de dados no final da vida útil do
dispositivo de armazenamento. As mídias removidas
são higienizadas utilizando um conjunto padrão de
ferramentas. A destruição de mídias físicas é
realizada de acordo com procedimentos
predefinidos.
A descontinuação de ativos é gerenciada
Segurança Física
internamente por meio de processos de fluxo de
trabalho, inventário e varredura.
A Firma mantém registros por vários períodos,
conforme necessário, para cumprir as leis e
regulamentos aplicáveis e estar em conformidade
com suas políticas internas de retenção.
Privacidade de Dados
De acordo com os princípios comerciais da Firma e as
leis aplicáveis, a Firma possui uma série de políticas,
normas, procedimentos e ferramentas para proteger os
dados pessoais dos clientes, funcionários e
contrapartes. Em particular, um padrão de toda a Firma
especifica a segurança de dados e controles de acesso
para os aplicativos que lidam com dados pessoais. Além
disso, várias ferramentas estão disponíveis para
criptografar dados enviados para fora da Firma e dados
armazenados em seus sistemas.
Segurança Física
Segurança Física
A Firma padronizou as medidas de segurança em
seus datacenters e escritórios, inclusive acesso por
cartão, vigilância em vídeo, equipe de segurança no
local, controles ambientais e gestão de visitantes.
O acesso físico é concedido com base na
necessidade, alinhado aos controles de acesso de
toda a Firma, aprovado por aprovadores de acesso
designados e revisado periodicamente. A
segregação física existe com base nos requisitos
comerciais e regulatórios. Todo acesso aos
datacenters e escritórios é registrado
eletronicamente por meio de sistemas de acesso
por cartão.
Todos os visitantes devem apresentar identificação
com foto e ter um anfitrião confirmado antes de
terem acesso aos escritórios da Firma ou às
instalações do datacenter. Os registros de visitantes
são mantidos eletronicamente. Além disso, uma
triagem avançada dos pertences de mão é feita
conforme necessário com base na avaliação das
condições de risco existentes.
Os datacenter scríticos da Firma estão
geograficamente dispersos e em infraestruturas de
energia e serviços públicos diversos sem
dependências diretas. Estes serviços públicos têm
pessoal de segurança de serviço 24 horas por dia.
As instalações da Firma estão protegidas contra
riscos ambientais e falta de energia por meio dos
seguintes controles:
o Uninterruptible Power Supply (Fonte de
Alimentação Ininterrupta) (UPS)
o Geradores
o Aparelhos de ar condicionado
o Sistemas de detecção e supressão de
incêndios
o Sistemas de detecção de água
o Instalações resistentes a terremotos e
projetos sísmicos, quando aplicável
A Firma aplica as mesmas Normas de Segurança
física a todos os escritórios globalmente, incluindo
locais de recuperação de negócios.
Segurança para Fornecedores
Segurança para Fornecedores
Terceiros são vistos como uma extensão da Firma.
Assim sendo, espera-se que os terceiros
desenvolvam e implementem controles semelhantes
aos da Firma. Para entender até que ponto terceiros
estão alinhados com os controles da Firma, todos os
fornecedores que lidam com informações da
Goldman Sachs passam por uma avaliação inicial.
Posteriormente, avaliações periódicas são
realizadas com base na classificação de segurança
da informação dos fornecedores (que é calculada
com base em uma série de fatores, incluindo o tipo
de dados armazenados/processados por terceiros)
de terceiros.
As avaliações determinam a maturidade das
práticas de segurança da informação e de
continuidade de negócios dos fornecedores. As
preocupações encontradas durante tais avaliações
de due diligence são registradas e acompanhadas
até que sejam resolvidas.
Os requisitos de supervisão do fornecedor são
sistematicamente escalonados com base nos
resultados da avaliação de risco dos fornecedores.
Os fornecedores críticos recebem maior foco e due
diligence. Alterações no serviço prestado pelo
fornecedor ou na contratação do fornecedor são
detectadas como parte da supervisão contínua do
fornecedor. As alterações relacionadas a due
diligence ou supervisão são sistematicamente
desencadeadas e acompanhadas
Visitas locais são realizadas sempre que
necessário; os relatórios de tais visitas são
distribuídos aos responsáveis pelos negócios para
identificar as áreas de preocupação.
A política da Firma exige que os acordos de não
divulgação estejam em vigor antes que qualquer
informação confidencial seja compartilhada com um
fornecedor. Os contratos com fornecedores também
incluem o conjunto de requisitos da Firma para a
prática de segurança da informação.
Os recursos designados são responsáveis pela
avaliação e registro regular dos controles de
segurança da informação dos fornecedores. As
informações sobre fornecedores são armazenadas
em uma base de dados do diretório central de
fornecedores.
O registro mensal de riscos de fornecedores e a
atividade de análise de fornecedores são fornecidos
para a gestão de negócios.
Gestão de Incidentes de Segurança
Gestão de Incidentes de Segurança
A Firma possui uma Security Incident Response
Team (Equipe de Resposta a Incidentes de
Segurança) (SIRT) dedicada, responsável por lidar
com ameaças e incidentes de segurança da
informação que têm um impacto potencial sobre a
confidencialidade, integridade ou disponibilidade do
ambiente de informações e tecnologia da Firma. A
equipe mantém procedimentos para identificar e
responder a incidentes de segurança da informação
específicos e trabalha com outras áreas dentro da
Firma para conter, mitigar e remediar o risco de
tecnologia. Além disso, a equipe mantém protocolos
para encaminhamento às partes relevantes quando
os clientes são impactados por um incidente de
segurança da informação, quando exigido por leis
ou regulamentos aplicáveis.
A Firma estabeleceu um centro de gestão de
ameaças dedicado que opera 24 horas por dia, 7
dias por semana. A inteligência de segurança e as
informações sobre ameaças são obtidas de
provedores de serviços de inteligência de terceiros,
consórcios do setor, monitoramento interno, além de
fontes públicas e governamentais. As pesquisas são
realizadas regularmente em toda a infraestrutura da
Firma.
As principais métricas são aproveitadas para
estabelecer uma linha de base para o
monitoramento contínuo do estado do sistema e a
detecção de anomalias no ambiente de produção da
Firma. Critérios pré-determinados são aplicados a
eventos de segurança para gerar alertas.
Ferramentas de monitoramento estão em vigor para
notificar o pessoal apropriado sobre problemas de
segurança. Os alertas são classificados, priorizados
e acionados por pessoal apropriado para correção
oportuna com base na criticidade do negócio.
A Firma implementou um programa de preparação
para incidentes de segurança global com o intuito de
dar suporte à gestão de incidentes de segurança. O
programa realiza exercícios de simulação com foco
nos negócios com unidades de negócios e equipes
regionais para avaliar seus processos, compreensão
e prontidão. Externamente, o programa coordena a
participação da Firma em exercícios de segurança
cibernética do setor financeiro e do setor público-
privado para garantir que a Firma esteja bem
preparada para integrar e coordenar com outras
instituições, mercados financeiros e órgãos
governamentais relevantes.
O programa de gestão de incidentes de segurança
da Firma prevê a notificação às pessoas, clientes e
outros terceiros afetados, conforme exigido pelas
leis e regulamentos aplicáveis.
As atualizações de status de segurança cibernética
e as medidas de resiliência de dados estão incluídas
nos arquivos corporativos e financeiros da Firma,
por exemplo, “10K Anual” e “10Q Trimestral”.
Registro
O registro de eventos de segurança é habilitado
para permitir a análise forense do sistema e a
análise de vigilância de Risco de Tecnologia. Os
registros de eventos de segurança são protegidos
contra o acesso não autorizado, modificação e
substituição acidental ou deliberada.
Seguro Cibernético
A Firma mantém um programa de seguro
cibernético que, além de cobrir a responsabilidade
da própria Firma, também cobre o custo de
notificação dos clientes quando suas informações
Gestão de Incidentes de Segurança
pessoais são divulgadas em virtude de uma violação
ou falha de segurança do sistema e o custo dos
serviços de monitoramento de crédito para os
clientes afetados.
Continuidade de Negócios e Resiliência Tecnológica
Continuidade do Negócio
O Programa de Planejamento de Continuidade do
Negócio/Recuperação de Desastres da Firma é
composto de seis elementos-chave: Gestão de
Crise, Requisitos de Continuidade do Negócio,
Resiliência Tecnológica, Soluções de Recuperação
de Negócios, Garantia e Melhoria de
Processos/Avaliação Contínua. A descrição do
Programa de Continuidade do Negócio para
Recuperação de Desastre da Firma está disponível
em seu website.
Cada unidade de negócios por região tem um
Business Continuity Plan (Plano de Continuidade de
Negócios) (BCP) específico e um coordenador de
BCP designado. Os planos do BCP são revisados e
certificados trimestralmente para garantir a
conformidade com as normas da Firma.
A Firma realiza extensos testes de preparação de
continuidade do negócio, incluindo testes de falha
de tecnologia, instalações de recuperação de
pessoas, trabalho remoto e transferência regional. A
Firma também participa de testes em nível setorial
com as principais bolsas de valores, agências
federais e autoridades locais. As divisões da Firma
realizam microexercícios e testes de cadeia de
comando e de notificação automática.
A Firma realiza periodicamente análises de impacto
de resiliência. Os Gerentes de Negócios são
solicitados a verificar a criticidade, o objetivo de
tempo de recuperação, as dependências e as
estratégias de recuperação de seus processos
centrais. Tais processos determinam o tipo de
garantia necessária para a integridade do registro;
por exemplo: testes de recuperação de pessoas,
testes de falhas de aplicativo, treinamento,
exercícios de simulação etc.
A estratégia de mitigação de riscos de continuidade
de negócios da Firma inclui recursos de
recuperação de locais próximos, de locais distantes
e dispersos, quando apropriado, para mitigar os
riscos e lidar com as ameaças à região. As unidades
de recuperação de local distante da firma residem
em diferentes redes de energia e serviços públicos
de locais de escritório primários.
Centros de Gestão de Crises que operam 24 horas
por dia, 7 dias por semana em todas as regiões
permitem que a Firma monitore seu ambiente,
execute procedimentos pré-estabelecidos de gestão
de crises e coordene respostas a incidentes em todo
o mundo.
Resiliência Tecnológica
A Firma possui um programa robusto de resiliência
tecnológica para garantir que os aplicativos internos
e os componentes que dependem da infraestrutura
demonstrem o nível adequado de resiliência e
recuperação com base na criticidade do negócio.
Tais controles incluem:
o Processamento de dispersão (dependência
de qualquer local)
o Resiliência de rede, telecomunicações e
acesso remoto (múltiplos pontos de
redundância e resiliência)
o Tecnologia regional operando
independentemente de aplicativos críticos
para o mercado
o Inventário e hierarquização dos aplicativos
de negócio (objetivos de tempo de
recuperação)
o Inclusão de dependências tecnológicas em
todos os planos de unidades de negócio
aplicáveis
Continuidade de Negócios e Resiliência Tecnológica
o Testes anuais
Com base nos requisitos de negócios, muitos
aplicativos críticos são implementados e testados
em vários datacenterspara garantir uma operação
perfeita caso um datacenter sofra uma interrupção.
A Firma participa de iniciativas de testes do setor
financeiro, nos locais onde são oferecidas, para
exercer capacidades de conectividade alternativas e
para demonstrar uma capacidade de operar por
meio de uma continuidade de negócios significativa
e/ou evento de desastre utilizando sites de backup e
unidades de recuperação alternativas.
Nossas Expectativas Sobre Suas Práticas de Segurança da Informação
Práticas de Segurança da Informação de Clientes
A segurança da informação é responsabilidade de todos
e frequentemente envolve a cooperação entre as
instituições financeiras e seus clientes. Embora
procuremos fornecer o máximo de segurança possível
para os serviços oferecidos, confiamos em sua adoção
do controle padrão de segurança da informação para o
uso de dados e sistemas compartilhados entre você e a
Firma, por exemplo:
Garantir que apenas os usuários autorizados tenham
acesso aos dados da Firma.
Proteger as credenciais de autenticação, tais como
nome de usuário e senha, de usuários autorizados a
acessar os dados da Firma.
Proteger os computadores usados nas interações com a
Firma usando ferramentas como software antimalware,
firewall e sistemas operacionais atualizados.
Notificar a Firma em caso de qualquer
comprometimento, real ou suspeito, de seus dados ou
sistemas.
Você também deve considerar o alinhamento de suas
informações e controles de segurança cibernética aos
padrões internacionais, como o NIST Cybersecurity
Framework e ISO 27001.