goldman sachs...base na natureza e conteúdo do material. a força- ... o treinamento em segurança...

Goldman Sachs

DECLARAÇÃO DE SEGURANÇA DE CLIENTES

VERSÃO 7.0

ABRIL DE 2019

(foto)

© 2019 Goldman Sachs. Todos os direitos reservados.

Índice

Introdução

Governança de Riscos, Auditoria e Supervisão Regulatória

Políticas e Normas de Segurança da Informação e Segurança Cibernética

Gestão de Identidade e Acesso

Segurança de Aplicativos e Software

Segurança de Infraestrutura

Segurança Móvel

Segurança de Dados e Privacidade de Dados

Segurança Física

Segurança para Fornecedores

Gestão de Incidentes de Segurança

Continuidade do Negócio e Resiliência Tecnológica

Nossas Expectativas sobre Suas Práticas de Segurança da Informação

Nenhuma parte deste material pode ser (i) copiada, fotocopiada ou duplicada em nenhum formato por nenhum meio ou

(ii) redistribuída sem nosso prévio consentimento por escrito. Este material destina-se apenas a fins informativos e não

tem por finalidade formar a base de nenhuma decisão de investimento e não deve ser considerado como uma

recomendação da Goldman, Sachs & Co., suas subsidiárias ou afiliadas (coletivamente, “Goldman Sachs” ou “nós”). Em

particular, este material não constitui uma oferta de prestação de serviços de consultoria ou outros serviços pela

Goldman Sachs. Nada contido neste documento constitui uma oferta ou promessa de adquirir qualquer produto ou

serviço ou de fazer um investimento em qualquer entidade.

Introdução

A Goldman Sachs (a “Firma”) entende a importância da

segurança da informação, incluindo a Segurança

Cibernética, para proteger contra ameaças externas e

internas. A estratégia de segurança cibernética da Firma

prioriza a detecção, análise e resposta aos riscos

cibernéticos, às atividades maliciosas, e às ameaças de

conhecimento da Firma.

A Firma busca continuamente cumprir ou exceder as

melhores práticas de segurança da informação e possui

controles para proteger os clientes e a si própria.

Este documento proporciona uma visão geral da

abordagem da Firma à segurança da informação e suas

práticas de proteção de dados, sistemas e serviços,

incluindo:

Governança de Riscos e Supervisão Regulatória: A

governança e a gestão dos riscos são uma função

da cultura de gestão, das práticas incorporadas e da

supervisão formal da Firma. O modelo de

governança da Firma é alcançado por meio das

atividades diárias dos gestores e de suas equipes,

apoiados por diversos grupos de trabalho e comitês.

Políticas e Normas de Segurança da Informação e

Segurança Cibernética: A Firma mantém um

conjunto abrangente de políticas e normas de

segurança da informação para documentar sua

abordagem em relação ao cumprimento das leis,

normas, regulamentos ou diretivas de gestão da

própria Firma.

Gestão de Identidade e Acesso: A Firma

implementou controles que identificam, autorizam,

autenticam e gerenciam o acesso de pessoas aos

sistemas e ativos de informação da Firma.

Segurança de Aplicativos e Software: A Firma

gerencia a segurança de aplicativos e software por

meio de seu processo de gestão de software, que

inclui um inventário centralizado, práticas seguras

de desenvolvimento de software, testes de

vulnerabilidades, resiliência sustentada de

aplicativos e capacidades de registro.

Segurança de Infraestrutura: A Firma protege sua

infraestrutura por meio de uma estrutura de controle

que inclui uma arquitetura de rede em camadas,

testes de vulnerabilidades, robustecimento do

sistema e proteção contra malware.

Segurança de Dados e Privacidade de Dados: A

Firma implementou controles projetados para

proteger as informações da FIrma e do cliente

abrangendo a classificação de dados, segurança no

armazenamento, manuseio, transmissão e

destruição.

Segurança de Acesso Remoto: As soluções móveis

da Firma permitem que os funcionários realizem

atividades de negócios em seus dispositivos

pessoais, ao mesmo tempo garantindo que os

sistemas internos sejam protegidos e que as

informações da Firma e do cliente permaneçam

protegidas.

Gestão de Incidentes de Segurança: O programa de

gestão de incidentes de segurança da Firma aborda

ameaças e incidentes de segurança que têm um

impacto potencial sobre a confidencialidade,

integridade ou disponibilidade do ambiente de

informações e tecnologia da Firma, incluindo

notificações aos clientes conforme exigido pelas leis

e regulamentos aplicáveis.

Continuidade do Negócio e Resiliência Tecnológica :

A Firma possui um Programa de Continuidade de

Introdução

Negócios global maduro e abrangente para

Recuperação de Desastres (BCP/DR). O programa

abrange a resiliência de negócios e tecnologia. As

principais características do programa incluem

capacidades dispersas, recuperação de locais

próximos, recuperação de locais distantes e

recuperação dispersa.

Segurança Física: A Firma implementou controles

de acesso físico em todas as suas instalações,

incluindo escritórios, locais próximos e distantes,

datacenterse instalações de armazenamento.

Segurança para Fornecedores: A gestão de risco de

segurança da informação é incorporada ao processo

de gestão de fornecedores da Firma, que cobre

seleção, integração, monitoramento de desempenho

e gestão de risco dos fornecedores.

Embora as medidas de segurança da informação

mudem naturalmente ao longo do tempo e difiram com

relação à gama de serviços da Goldman Sachs, esta

visão geral deve responder a muitas de suas dúvidas

sobre nossas práticas de segurança. A Goldman Sachs

não garante que este documento será apropriado ou

adequado para os fins a que você o destinar.

Entre em contato com o representante da Goldman

Sachs se tiver mais alguma dúvida.


Estrutura de Controle de Riscos

A governança de riscos da Firma emprega um

modelo de três linhas de defesa. O modelo organiza

as atividades de gestão de riscos em todas as

unidades de negócios da Firma que possuem e

gerenciam riscos (primeira linha), funções

independentes de supervisão de riscos (segunda

linha) e auditoria interna (terceira linha).

A Firma realiza avaliações de risco contínuas,

alinhadas aos padrões do setor, que incluem a

identificação, monitoramento e análise de

desempenho dos controles. Quando apropriado,

questões de risco são criadas e gerenciadas até o

suas resoluções.

Comitês de Governança

Os comitês internos de risco da Firma são

globalmente responsáveis pela aprovação e

monitoramento contínuo das estruturas, políticas e

limites de risco que regem o risco global da Firma.

O Comitê de Risco de Tecnologia da Firma analisa

as questões relacionadas ao projeto,

desenvolvimento, implementação e uso da

tecnologia. Este comitê também supervisiona

questões de segurança cibernética, bem como

estruturas e metodologias de gestão de riscos

tecnológicos e monitora sua eficácia. O CISO

(“Chief Information Security Officer”) fornece ao

Comitê de Risco de Tecnologia da Firma

atualizações regulares sobre tópicos de risco

relevantes, status do programa e incidentes.

O Comitê Global de Resiliência Operacional do

Negócio é responsável pela supervisão das

iniciativas de resiliência do negócios, promovendo o

aumento dos níveis de segurança e resiliência, e

revisando certos riscos operacionais relacionados à

resiliência do negócio.

Programa de Risco de Tecnologia

O Programa de Risco de Tecnologia abrange as

iniciativas de Segurança da Informação (“InfoSec”) e

Segurança Cibernética da Firma. O programa é

ajustado constantemente para garantir a adequação

contínua.

O CISO da Firma é responsável pela gestão e

implementação do Programa de Risco de

Tecnologia e é diretamente subordinado ao Chefe

Global de Core Engineering.

Como parte da segunda linha de defesa da Firma,

uma equipe dedicada de especialistas em risco

operacional fornece supervisão independente do

Programa de Risco de Tecnologia e avalia a eficácia

operacional do programa em relação às estruturas

padrão do setor.

O Programa de Risco de Tecnologia é aprovado

anualmente pelo Conselho de Administração da

Firma. O Conselho de Administração tem um

interesse ativo nas questões de segurança da

informação e segurança cibernética e define o

apetite de risco da Firma em tais áreas, acompanha

a evolução e recebe atualizações.

Auditoria Interna

A divisão de Auditoria Interna da Firma avalia de

forma independente o ambiente geral de controle da

Firma, aumenta a conscientização do risco de

controle, comunica e informa sobre a eficácia da

governança, gestão de riscos e controles da Firma

que mitigam riscos atuais e em evolução, e monitora

a implementação das medidas de controle da


administração. A Auditoria Interna é uma função

independente subordinada ao Comitê de Auditoria

do Conselho de Administração da Firma.

Supervisão Regulatória e Auditoria Externa

A Firma é regulada por diversas autoridades

reguladoras em todas as jurisdições em que

operamos, incluindo o Banco Central do Brasil, a

Comissão de Valores Mobiliários, Federal Reserve

Board, o New York State Department of Financial

Services, a Commodity Futures Trading

Commission, a Securities and Exchange

Commission, o Consumer Financial Protection

Bureau, a Financial Conduct Authority e a Prudential

Regulation Authority.

PricewaterhouseCoopers LLP, a Firma de auditoria

externa contratada pela Firma, testa

independentemente os controles aplicáveis como

parte de sua auditoria das demonstrações

financeiras da Firma, seus relatórios de Controle de

Organização de Serviços (SOC) 1 e sua auditoria do

Programa de Continuidade do Negócio da Firma.

Envolvimento no Setor

A Goldman Sachs é fundadora ou participante líder em

muitas iniciativas importantes do setor, como a

Securities Industry and Financial Markets Association

(SIFMA), o Financial Services Sector Coordinating

Council (FSSCC) e o Financial Services - Information

Sharing and Analysis Center (FS-ISAC). Observe que

esta lista não é exaustiva.


Políticas e Normas

A Firma mantém um conjunto abrangente de

políticas e normas de segurança da informação e

segurança cibernética que levam em consideração

as leis e regulamentos de privacidade de dados

aplicáveis às jurisdições em que opera.

As políticas e normas são revistas e aprovadas

pelos órgãos de governança pertinentes de toda a

Firma. A política global de segurança da informação

e segurança cibernética da Firma é revisada

anualmente.

Uma dedicada força-tarefa de políticas mantém o

processo de desenvolvimento, revisão, atualização

e descontinuidade de políticas e normas de

segurança da informação. Estes documentos estão

sujeitos a um ciclo de revisão pré-determinado com

base na natureza e conteúdo do material. A força-

tarefa de políticas realiza um monitoramento

contínuo impulsionado por ciclos de revisão de

políticas e normas de segurança da informação.

Além disso, as revisões podem ser acionadas por

mudanças no ambiente ou no cenário regulatório.

As políticas e normas da Firma estão alinhadas com

os padrões reconhecidos do setor, incluindo aqueles

ditados pelo National Institute of Standards and

Technology (Instituto Nacional de Normas e

Tecnologia) (NIST), pelo Federal Financial

Institutions Examination Council (Conselho Federal

de Análise de Instituições Financeiras) (FFIEC) e

pela International Organization for Standardization

(Organização Internacional de Normalização) (ISO).

As políticas e normas da Firma estão disponíveis

para todos os funcionários por meio de um

compêndio interno. Tais políticas abrangem todos

os aspectos do Programa de Risco Tecnológico. Os

tópicos regidos por políticas e normas de

informação e segurança cibernética incluem:

o Gestão de Identidade e Acesso, por

exemplo, gestão de permissões e acesso à

produção

o Segurança de Aplicativos e Software, por

exemplo, gestão de mudanças de software,

software de código aberto e backup e

restauração

o Segurança de Infraestrutura, por exemplo,

gestão de capacidade, gestão de

vulnerabilidades, redes e sistemas sem fio

o Segurança Móvel, por exemplo, Bring Your

Own Device (Traga Seu Próprio Dispositivo)

(BYOD) e aplicativos móveis

o Segurança de Dados, por exemplo,

criptografia e encriptação, segurança do

banco de dados, apagamento de dados e

eliminação de mídias

Treinamento e Educação

A Firma realiza uma campanha de conscientização

global para ajudar os funcionários e contratados a

reconhecer as preocupações com informações e

segurança cibernética e responder adequadamente;

concentramos nosso foco na prevenção de riscos e

no encaminhamento de incidentes. Além disso, um

currículo de treinamento desenvolve conhecimentos

e habilidades para facilitar a adoção do controle e

promover a responsabilização individual.

O treinamento em segurança da informação,

incluindo segurança cibernética e privacidade, é

obrigatório para todo o pessoal da Firma

anualmente. Um treinamento adicional é fornecido

para novos associados e pessoas que são

transferidas dentro da Firma. O treinamento


específico de segurança da informação é fornecido

com base em funções, por exemplo, treinamento de

codificação segura para desenvolvedores.

Tópicos contidos no currículo de Informação de

Risco de Tecnologia e Segurança Cibernética

incluem:

o Informações e Fundamentos de Segurança

Cibernética

o Bring Your Own Device (BYOD)

o Engenharia Social e Phishing

o Gestão de Risco de Dados

o Conscientização e Encaminhamento de

Ameaças Internas

o Risco de Tecnologia do Fornecedor

o Segurança da Informação para Aplicativos

o Gestão de Privilégios de Aplicativos

o Segurança de E-Mails e Outras

Comunicações Eletrônicas

o Treinamento em Tecnologia Baseada em

Funções

o Currículo de Risco de Aplicativos para

desenvolvedores

o Treinamento tópico para equipes de

tecnologia


Gestão de Identidade de Usuários

A Firma possui controles de acesso bem

desenvolvidos que se baseiam nos princípios gerais

de ausência de permissão sem identidade, ausência

de permissão sem aprovação, need-to-know,

acesso a permissões mínimas e proporcionais às

funções ou deveres inerentes ao cargo.

A Firma verifica os antecedentes de funcionários,

consultores e contratadas. Sempre que permitido

pela legislação aplicável, o processo de verificação

de antecedentes inclui a verificação de crédito e de

antecedentes criminais. A identidade de um

funcionário é posteriormente verificada no início do

contrato de trabalho por meio de processos padrão

de recursos humanos.

Ao ingressar na Firma, os funcionários assinam um

acordo de não divulgação o qual exige que eles

respeitem as políticas de proteção de dados

confidenciais dos clientes da Firma.

Um identificador único é atribuído a cada

funcionário. Os funcionários estão proibidos de

compartilhar suas informações de credenciais

individuais, por exemplo, nomes de usuário e

senhas.

Os crachás de identificação de pessoal são emitidos

a todos os funcionários quando ingressam na Firma.

Gestão de Permissões

A Firma possui um sistema de verificações e

balanços destinado a garantir que diferentes

pessoas executem diferentes partes de uma

atividade crítica.

As soluções em autenticação e permissões

aprovadas pela Firma são utilizadas em toda a

infraestrutura. As aplicações em produção

potencializam as soluções aprovadas pela Firma

para implementar a gestão de identidade e acesso e

para permitir a geração de relatórios sobre as

permissões dos usuários. Estas soluções são

utilizadas para pessoas que ingressam ou deixam a

Firma, ou cuja função dentro da Firma é alterada.

As permissões do sistema são revisadas pela

administração no mínimo anualmente, com base em

ajustes de risco. As permissões de alto risco são

objeto de revisões mais frequentes. As permissões

também são revisadas quando um funcionário é

transferido para uma nova função ou departamento

dentro da Firma.

Quando um funcionário deixa a Firma, o acesso às

instalações e o acesso geral aos sistemas de

informação da Firma são revogados dentro de 24

horas. Em circunstâncias especiais, o acesso é

revogado imediatamente.

Gestão de Acesso

Fortes controles de senha são aplicados sempre

que possível, por exemplo, por meio de

configurações de política de Diretórios Ativos. O

padrão de senha da Firma exige alterações no login

inicial, comprimento mínimo da senha, composição

alfanumérica, expiração após um período definido,

número máximo de tentativas de login sem sucesso

antes do bloqueio, um histórico de senhas e um

bloqueio por inatividade.

Os dados de clientes são mantidos em repositórios

de produção que residem nos datacenters, com

fortes controles de segurança lógica e física em

vigor. O acesso aos dados do cliente e o acesso

administrativo aos sistemas que armazenam dados


de clientes devem ser aprovados por gerentes

autorizados.

O acesso pela equipe de tecnologia aos sistemas de

produção é limitado a pessoas autorizadas, tem um

tempo determinado, está sujeito a registro e análise

periódica, limitando-se às funções necessárias e é

monitorado regularmente. Cada sessão de acesso

requer pré-aprovação. O acesso ao código-fonte é

restrito ao pessoal autorizado e requer aprovação.

A atividade realizada durante o período de acesso à

produção é registrada e deve ser analisada por uma

pessoa autorizada.

Os funcionários da Firma são proibidos de utilizar

sistemas e funções de terceiros, baseados na

Internet (webmail) ou sistemas semelhantes a e-

mails para fins comerciais. Além disso, não podem

utilizar os recursos da Firma para terem acesso a

tais sistemas para uso pessoal.

O acesso dos funcionários a websites e categorias

selecionadas de websites é bloqueado ou limitado

com base nas exigências regulatórias, de segurança

da informação e de controle interno. Isso inclui

redes sociais, compartilhamento de arquivos e

webmail.


Inventário Centralizado

A Firma mantém uma lista de seus aplicativos em

um inventário centralizado. A ferramenta é utilizada

para registrar informações que descrevem o

aplicativo, bem como o hardware associado e o

responsável técnico. Além disso, os aplicativos são

classificados e ranqueados de acordo com a

criticidade, o tipo de dados que processam e os

requisitos de resiliência.

Gestão de Mudanças

A Firma possui um ciclo de vida formal de

desenvolvimento de software (SDLC) centrado em

portões de controle. As mudanças no ambiente de

produção são regidas por políticas e normas.

Todas as mudanças em produção exigem testes

bem-sucedidos e aprovações autorizadas.

A segurança das informações é incorporada em

todo o SDLC de forma ajustada ao risco. Exemplos

de controles de SDLC incluem:

o Análises de projeto e considerações sobre

risco de dados (por exemplo, identificação

de dados de privacidade)

o Análise manual de código e varredura

automática de código com ferramentas

padrão do setor para aplicativos expostos a

ambientes de alto risco (por exemplo,

aplicativos voltados para o público externo)

o Testes periódicos de penetração de

aplicativos voltados para o público externo

utilizando ferramentas automatizadas

padrão do setor e testes manuais

o Registro de permissões, gestão de

mudanças no programa e controle de

acesso à produção

o Separação entre ambientes de produção e

ambientes de desenvolvimento e de teste

(QA)

o Teste e validação de bibliotecas de código

aberto como livres de vulnerabilidades

conhecidas.

A maioria dos aplicativos em uso na Firma é

desenvolvida internamente. Alguns aplicativos

aproveitam bibliotecas de código aberto e código-

fonte. As mesmas normas de segurança de

aplicativos são aplicadas a aplicativos

desenvolvidos internamente, componentes de

software de código aberto e software de terceiros.

Práticas Seguras de Codificação

A segurança da informação dos aplicativos é

incorporada por meio de:

o Implementação de práticas de codificação

de segurança padrão do setor, como o

Open Web Application Security Project

(OWASP)

o Configuração de mensagens de erro para

limitar a divulgação de dados confidenciais

a terceiros

o Personally Identifiable Information

(Informações de identificação pessoal) (PII)

ou outras informações confidenciais não são

armazenáveis nos cookies do navegador do

cliente.

Testes de Segurança

A Firma realiza ataques simulados autorizados a

seus sistemas, que são feitos para avaliar a

segurança da sua infraestrutura.

A metodologia de testes de penetração utilizada

pela Firma internamente e pelos seus fornecedores


é baseada em diversas diretrizes publicadas no

setor, como o Guia de Implementação do CREST

STAR/CBEST, NIST SP800-115 e o Guia de Testes

de Open Web Application Security Project

(OWASP). A abordagem combina técnicas de

avaliação manual e automatizada e o uso de

ferramentas de avaliação proprietárias, comerciais e

de código aberto de primeira linha em um processo

consistente e que pode ser repetido. As

metodologias geralmente abrangem as seguintes

atividades:

o Preparação do pré-teste com os

responsáveis por ativos

o Modelagem e triagem de ameaças

o Varreduras dinâmicas/estáticas

automatizadas e verificação de resultados

de varreduras

o Identificação de vulnerabilidades e testes de

confirmação

o Preparação e entrega de relatórios com

revisão por pares e gerentes

o Socialização dos resultados com os

responsáveis por ativos

o Acompanhamento e correção de problemas

o Reavaliação de problemas corrigidos

Backup e Recuperação de Dados

Os backups são registrados em uma plataforma

online baseada em disco para fins de recuperação.

Periodicamente, os dados são registrados em mídia

de fita criptografada e enviados a locais externos

para armazenamento.

Os processos de backup e a recuperação da Firma

são feitos usando sistemas padrão do setor.

Existem processos para identificar, encaminhar e

corrigir exceções conforme apropriado.

A eficiência da recuperação é validada por meio da

amplitude e da frequência de recuperação de dados

feita no curso normal das operações de negócios.

As exigências de recuperação do usuário são

transmitidas por meio de um sistema de emissão de

bilhetes. As tentativas de recuperação de dados de

backup são registradas.

Registro

A Firma habilitou o registro (log) de eventos

importantes, incluindo falhas de login, atividade

administrativa e atividade de alteração.

A gestão de arquivos de registro (log files) segue o

princípio dos privilégios mínimos. Somente os

processos de aplicações têm acesso de escrita aos

arquivos de registro. As contas do sistema somente

têm acesso de leitura aos arquivos de registro.

Os registros são mantidos de acordo com a política

da Firma sobre retenção de registros e requisitos

legais e regulatórios. Os registros são mantidos no

mínimo por 30 dias.

Os registros não contêm informações confidenciais, tais

como as informações pessoais identificáveis (PII),

credenciais de autenticação ou chaves de criptografia.


Inventário de Hardware

A Firma mantém informações de ativos para

hardware em inventários gerenciados. Cada

inventário tem um responsável e os atributos

necessários para gerenciar riscos operacionais e o

ciclo de vida do ativo associado à classe de ativos.

A gestão de inventários é composta por processos e

controles manuais e automatizados, incluindo a

revisão periódica dos inventários, e é regida por

políticas e procedimentos.

Configurações Aprimoradas do Sistema

Todos os sistemas são robustecidos com base no

risco ajustado para atender ou exceder os padrões

do setor e são implementados utilizando práticas

padrão de segurança, como permissões de acesso

a arquivos restritos e registro recomendado.

Os discos rígidos em laptops fornecidos pela Firma

são criptografados utilizando software de criptografia

padrão do setor.

Um bloqueio de tela por inatividade é imposto por

uma política de configuração em cada endpoint.

Proteção contra Malware

O software antimalware padrão do setor é instalado

em todos os endpoints e servidores Windows e na

infraestrutura de e-mail da Firma.

Os alertas antimalware são monitorados por

funcionários da Firma. O malware é eliminado e, se

necessário, os sistemas são reconstruídos.

Os arquivos de assinatura de malware são

atualizados regularmente, no mínimo diariamente,

por meio de solicitações automáticas a partir dos

sistemas na rede da Firma.

As verificações de tempo de execução são

realizadas em executáveis específicos para reduzir

a possibilidade de exploração via malware.

A lista branca de aplicativos é implementada para

detectar, relatar e prevenir a execução de malware.

A Firma assina uma solução de pré-filtragem de e-

mail para reduzir a quantidade de malware recebida

por seu gateway de e-mails.

A Firma utiliza um sistema de proteção de e-mail

desenvolvido para impedir que spam, phishing e

vírus cheguem às caixas de entrada dos

funcionários.

Segurança de Rede de Perímetro

A Firma oferece acesso externo a recursos

selecionados por meio de uma arquitetura de rede

em camadas que contém múltiplas zonas seguras

para criar um ambiente altamente segmentado,

consistente com a estratégia de defesa em

profundidade. As zonas seguras são implementadas

por meio de uma combinação de firewalls e redes

de área local virtuais.

Intrusion Detection Systems (Sistemas de Detecção

de Invasão) (IDS) e Intrusion Prevention Systems

(Sistemas de Prevenção de Invasão) (IPS) são

implementados no perímetro da rede para monitorar

e bloquear atividades mal-intencionadas, quando

possível.

Servidores de DNS (Serviço de Nome de Domínio)

separados são implantados para a resolução de

nome interno e externo. O espaço para nome de

DNS interno da Firma é distinto do espaço para

nome externo.


As interfaces de gestão em firewalls de perímetro,

roteadores e outros dispositivos não podem ser

acessadas pela Internet. O acesso aos dispositivos

de infraestrutura de rede é limitado a zonas de

gestão dedicadas.

A Firma assina serviços de monitoramento e

mitigação de Distributed Denial of Service (Ataque

Distribuído de Negação de Serviços) (DDoS) de

vários provedores de serviços. Além disso, a Firma

hospeda sua principal presença na Internet em uma

Rede de Fornecimento de Conteúdo (Content

Delivery Network) com capacidade de mitigação e

absorção de DDoS, que implementa a restrição de

solicitações de rede para limitar o número de

referências e solicitações feitas por endereços IP de

clientes. Os alertas gerados pelas atividades de

DDoS são monitorados e comunicados.

As comunicações sem fio são criptografadas e o

acesso sem fio à infraestrutura da Firma somente é

permitido a partir de dispositivos aprovados pela

Firma, por exemplo, laptops habilitados pela GS e

BYOD do funcionário. O acesso público sem fios à

Internet é fornecido por soluções de terceiros e não

é conectado à rede da Firma.

Monitoramento de Sistema e Gestão de

Vulnerabilidade

A Firma possui um programa de gestão de

vulnerabilidade abrangente, que inclui varreduras de

vulnerabilidade semanais dos ambientes de rede

internos e externos utilizando uma varredura padrão

do setor. A Firma também contrata terceiros para

analisar sua infraestrutura externa e fornecer

resultados regularmente. As vulnerabilidades em

sistemas voltados para o público externo são

resolvidas de forma ajustada ao risco sendo que

aquelas que são classificadas como de alto risco

são imediatamente corrigidas. As vulnerabilidades

são monitoradas até serem resolvidas.

A Firma possui um processo de tratamento definido

para as vulnerabilidades descobertas. As

vulnerabilidades descobertas recebem um perfil

classificado por risco com um período de tempo

correspondente de monitoramento e correção da

implementação de patches. Os prazos para

correção de sistemas são documentados em uma

norma da Firma. Tais prazos são baseados no tipo

de sistema e no risco de vulnerabilidade que o patch

corrige.

Solução de Desktop de Rede

A Infraestrutura de Desktop Virtual é implementada

para todos os funcionários e trabalhadores

contingentes da Firma globalmente.

A conectividade remota requer autenticação de dois

fatores, fornece criptografia de comunicação e

impede que os usuários tenham acesso direto aos

dados/armazenamento de dados da Firma em

dispositivos pessoais.

Infraestrutura de Nuvem

A Firma aproveita as soluções baseadas em nuvem

pública para aumentar nossas ofertas internas e

corporativas. As contratações de soluções em

nuvem são aprovadas por nossos programas de

Governança em Nuvem e controle de Risco de

Fornecedores.

O uso de soluções de nuvem pública pela Firma é

limitado a casos de uso comercial aprovados.

O acesso geral às soluções de nuvem pública é


limitado por controles corporativos, incluindo

restrições de perímetro e desktop.

As soluções baseadas em nuvem devem cumprir os

requisitos de controle de nuvem pública da Firma,

incluindo a criptografia de dados inativos e em

trânsito, autenticação controlada pela Firma, registro

centralizado, auditoria e acesso a recursos baseado

em funções.

Os provedores de nuvem estão sujeitos a uma revisão

aprimorada da gestão de fornecedores que abrange o

fornecimento seguro de serviços, provisões de auditoria

e o cumprimento dos requisitos de controle de nuvem

pública da Firma.

Segurança de Acesso Remoto

Soluções de Acesso Móvel Seguro para

Funcionários

A Firma fornece aos funcionários acesso móvel

seguro a seus recursos em dispositivos corporativos

e em dispositivos móveis pessoais aprovados por

meio de um programa Bring Your Own Device

(BYOD).

Os dispositivos pessoais somente podem se

conectar à rede da Firma por meio de aplicativos

móveis por ela aprovados. Tais aplicativos

armazenam informações da Firma em locais

seguros que são separados das informações

pessoais nos dispositivos e criptografados. Qualquer

outro armazenamento de informações da Firma ou

de clientes em dispositivos pessoais é proibido.

Os aplicativos móveis aprovados pela Firma

permitem que os funcionários enviem e recebam e-

mails e acessem websites e documentos internos

com segurança. Um conjunto limitado de aplicativos

de terceiros permite que os funcionários realizem

atividades analíticas e/ou relacionadas aos negócios

somente se atenderem aos critérios de segurança

da Firma.

Os aplicativos móveis aprovados pela Firma utilizam

uma série de recursos de segurança, incluindo:

o lista branca e lista negra de dispositivos

o conexões de rede seguras

o autenticação multifator

o sandboxing

o criptografia

o registro de dispositivo necessário

o correção necessária do sistema operacional

o verificação de SO sem jailbreak

o limpeza remota de dados quando acionada

por perda de dispositivo ou roubo

Todos os dados da Firma, incluindo comunicações

por e-mail, são criptografados em todos os

dispositivos móveis.

Aplicativos Móveis de Cliente

A Firma desenvolveu aplicativos móveis para que os

clientes acessem as informações de dados de seu

portfólio e às notícias do mercado e comuniquem-se

de forma segura com os funcionários da Goldman

Sachs. Os aplicativos móveis de cliente empregam

controles de segurança adicionais padrão do setor,

incluindo proibição de armazenamento local e

limpeza de cache.

Segurança Física

Proteção contra Vazamento de Dados

A Firma implementou uma série de controles

projetados para mitigar o risco de vazamento de

dados. Tais controles incluem vigilância e análise de

comunicações por meio de uma variedade de

métodos, incluindo técnicas de mineração de big

data.

Os controles de Data Loss Prevention (Prevenção

de Perda de Dados) (DLP) são projetados e

implementados para evitar a saída de conteúdo da

Firma que não se destine ao uso e distribuição

externa. Tais controles incluem a emissão de alertas

proativos para um remetente se for identificado o

potencial de desvio involuntário de dados, bem

como a prevenção da saída de certas informações

confidenciais da Firma, tais como as informações de

identificação pessoal (PII).

O acesso a mídias removíveis, como unidades flash

USB, CDs graváveis e funcionalidades

administrativas locais e aprimoradas do sistema é

estritamente controlado e de tempo limitado. Os

dados não públicos armazenados em mídias

removíveis são criptografados.

Criptografia

Os dados são criptografados quando estão fora do

local protegido dos enclaves de segurança da

Firma, como sua rede, sistemas com controle de

acesso e centros de dados. Isto inclui criptografia

em repouso (como fitas, mídia, laptops, dispositivos

móveis) e criptografia em trânsito (comunicações),

quando possível.

Utilizamos métodos de criptografia padrão do setor

e produtos comercialmente disponíveis. Revisamos

regularmente a força de tais protocolos.

Soluções padrão da Firma estão disponíveis para

criptografar arquivos transferidos entre a Firma e

terceiros.

A criptografia de e-mails oportunistas, como a

Transport Layer Security (Segurança da Camada de

Transporte) (TLS), é habilitada com todos os

clientes sempre que possível. A criptografia de e-

mail obrigatória é suportada e ativada por acordos

mútuos.

O acesso às chaves de criptografia é pré-aprovado,

limitado a pessoas autorizadas, limitado por tempo,

sujeito a registro e monitorado regularmente.

Segurança de Dados

A Firma possui diretrizes sobre mesa limpa que

instruem os funcionários a manter o espaço de

trabalho livre de papel contendo dados confidenciais

que podem impedir que usuários não autorizados

tenham acesso a informações não públicas. As

práticas incluem não deixar documentos que

contenham dados confidenciais visíveis,

desbloqueados ou desacompanhados.

A Firma implementou controles que bloqueiam a

estação de trabalho após um período de inatividade.

Os funcionários são aconselhados a bloquear as

estações de trabalho ao se afastarem.

A Firma implementou controles para garantir a

destruição segura de dados no final da vida útil do

dispositivo de armazenamento. As mídias removidas

são higienizadas utilizando um conjunto padrão de

ferramentas. A destruição de mídias físicas é

realizada de acordo com procedimentos

predefinidos.

A descontinuação de ativos é gerenciada

Segurança Física

internamente por meio de processos de fluxo de

trabalho, inventário e varredura.

A Firma mantém registros por vários períodos,

conforme necessário, para cumprir as leis e

regulamentos aplicáveis e estar em conformidade

com suas políticas internas de retenção.

Privacidade de Dados

De acordo com os princípios comerciais da Firma e as

leis aplicáveis, a Firma possui uma série de políticas,

normas, procedimentos e ferramentas para proteger os

dados pessoais dos clientes, funcionários e

contrapartes. Em particular, um padrão de toda a Firma

especifica a segurança de dados e controles de acesso

para os aplicativos que lidam com dados pessoais. Além

disso, várias ferramentas estão disponíveis para

criptografar dados enviados para fora da Firma e dados

armazenados em seus sistemas.

Segurança Física

Segurança Física

A Firma padronizou as medidas de segurança em

seus datacenters e escritórios, inclusive acesso por

cartão, vigilância em vídeo, equipe de segurança no

local, controles ambientais e gestão de visitantes.

O acesso físico é concedido com base na

necessidade, alinhado aos controles de acesso de

toda a Firma, aprovado por aprovadores de acesso

designados e revisado periodicamente. A

segregação física existe com base nos requisitos

comerciais e regulatórios. Todo acesso aos

datacenters e escritórios é registrado

eletronicamente por meio de sistemas de acesso

por cartão.

Todos os visitantes devem apresentar identificação

com foto e ter um anfitrião confirmado antes de

terem acesso aos escritórios da Firma ou às

instalações do datacenter. Os registros de visitantes

são mantidos eletronicamente. Além disso, uma

triagem avançada dos pertences de mão é feita

conforme necessário com base na avaliação das

condições de risco existentes.

Os datacenter scríticos da Firma estão

geograficamente dispersos e em infraestruturas de

energia e serviços públicos diversos sem

dependências diretas. Estes serviços públicos têm

pessoal de segurança de serviço 24 horas por dia.

As instalações da Firma estão protegidas contra

riscos ambientais e falta de energia por meio dos

seguintes controles:

o Uninterruptible Power Supply (Fonte de

Alimentação Ininterrupta) (UPS)

o Geradores

o Aparelhos de ar condicionado

o Sistemas de detecção e supressão de

incêndios

o Sistemas de detecção de água

o Instalações resistentes a terremotos e

projetos sísmicos, quando aplicável

A Firma aplica as mesmas Normas de Segurança

física a todos os escritórios globalmente, incluindo

locais de recuperação de negócios.



Terceiros são vistos como uma extensão da Firma.

Assim sendo, espera-se que os terceiros

desenvolvam e implementem controles semelhantes

aos da Firma. Para entender até que ponto terceiros

estão alinhados com os controles da Firma, todos os

fornecedores que lidam com informações da

Goldman Sachs passam por uma avaliação inicial.

Posteriormente, avaliações periódicas são

realizadas com base na classificação de segurança

da informação dos fornecedores (que é calculada

com base em uma série de fatores, incluindo o tipo

de dados armazenados/processados por terceiros)

de terceiros.

As avaliações determinam a maturidade das

práticas de segurança da informação e de

continuidade de negócios dos fornecedores. As

preocupações encontradas durante tais avaliações

de due diligence são registradas e acompanhadas

até que sejam resolvidas.

Os requisitos de supervisão do fornecedor são

sistematicamente escalonados com base nos

resultados da avaliação de risco dos fornecedores.

Os fornecedores críticos recebem maior foco e due

diligence. Alterações no serviço prestado pelo

fornecedor ou na contratação do fornecedor são

detectadas como parte da supervisão contínua do

fornecedor. As alterações relacionadas a due

diligence ou supervisão são sistematicamente

desencadeadas e acompanhadas

Visitas locais são realizadas sempre que

necessário; os relatórios de tais visitas são

distribuídos aos responsáveis pelos negócios para

identificar as áreas de preocupação.

A política da Firma exige que os acordos de não

divulgação estejam em vigor antes que qualquer

informação confidencial seja compartilhada com um

fornecedor. Os contratos com fornecedores também

incluem o conjunto de requisitos da Firma para a

prática de segurança da informação.

Os recursos designados são responsáveis pela

avaliação e registro regular dos controles de

segurança da informação dos fornecedores. As

informações sobre fornecedores são armazenadas

em uma base de dados do diretório central de

fornecedores.

O registro mensal de riscos de fornecedores e a

atividade de análise de fornecedores são fornecidos

para a gestão de negócios.



A Firma possui uma Security Incident Response

Team (Equipe de Resposta a Incidentes de

Segurança) (SIRT) dedicada, responsável por lidar

com ameaças e incidentes de segurança da

informação que têm um impacto potencial sobre a

confidencialidade, integridade ou disponibilidade do

ambiente de informações e tecnologia da Firma. A

equipe mantém procedimentos para identificar e

responder a incidentes de segurança da informação

específicos e trabalha com outras áreas dentro da

Firma para conter, mitigar e remediar o risco de

tecnologia. Além disso, a equipe mantém protocolos

para encaminhamento às partes relevantes quando

os clientes são impactados por um incidente de

segurança da informação, quando exigido por leis

ou regulamentos aplicáveis.

A Firma estabeleceu um centro de gestão de

ameaças dedicado que opera 24 horas por dia, 7

dias por semana. A inteligência de segurança e as

informações sobre ameaças são obtidas de

provedores de serviços de inteligência de terceiros,

consórcios do setor, monitoramento interno, além de

fontes públicas e governamentais. As pesquisas são

realizadas regularmente em toda a infraestrutura da

Firma.

As principais métricas são aproveitadas para

estabelecer uma linha de base para o

monitoramento contínuo do estado do sistema e a

detecção de anomalias no ambiente de produção da

Firma. Critérios pré-determinados são aplicados a

eventos de segurança para gerar alertas.

Ferramentas de monitoramento estão em vigor para

notificar o pessoal apropriado sobre problemas de

segurança. Os alertas são classificados, priorizados

e acionados por pessoal apropriado para correção

oportuna com base na criticidade do negócio.

A Firma implementou um programa de preparação

para incidentes de segurança global com o intuito de

dar suporte à gestão de incidentes de segurança. O

programa realiza exercícios de simulação com foco

nos negócios com unidades de negócios e equipes

regionais para avaliar seus processos, compreensão

e prontidão. Externamente, o programa coordena a

participação da Firma em exercícios de segurança

cibernética do setor financeiro e do setor público-

privado para garantir que a Firma esteja bem

preparada para integrar e coordenar com outras

instituições, mercados financeiros e órgãos

governamentais relevantes.

O programa de gestão de incidentes de segurança

da Firma prevê a notificação às pessoas, clientes e

outros terceiros afetados, conforme exigido pelas

leis e regulamentos aplicáveis.

As atualizações de status de segurança cibernética

e as medidas de resiliência de dados estão incluídas

nos arquivos corporativos e financeiros da Firma,

por exemplo, “10K Anual” e “10Q Trimestral”.

Registro

O registro de eventos de segurança é habilitado

para permitir a análise forense do sistema e a

análise de vigilância de Risco de Tecnologia. Os

registros de eventos de segurança são protegidos

contra o acesso não autorizado, modificação e

substituição acidental ou deliberada.

Seguro Cibernético

A Firma mantém um programa de seguro

cibernético que, além de cobrir a responsabilidade

da própria Firma, também cobre o custo de

notificação dos clientes quando suas informações


pessoais são divulgadas em virtude de uma violação

ou falha de segurança do sistema e o custo dos

serviços de monitoramento de crédito para os

clientes afetados.

Continuidade de Negócios e Resiliência Tecnológica

Continuidade do Negócio

O Programa de Planejamento de Continuidade do

Negócio/Recuperação de Desastres da Firma é

composto de seis elementos-chave: Gestão de

Crise, Requisitos de Continuidade do Negócio,

Resiliência Tecnológica, Soluções de Recuperação

de Negócios, Garantia e Melhoria de

Processos/Avaliação Contínua. A descrição do

Programa de Continuidade do Negócio para

Recuperação de Desastre da Firma está disponível

em seu website.

Cada unidade de negócios por região tem um

Business Continuity Plan (Plano de Continuidade de

Negócios) (BCP) específico e um coordenador de

BCP designado. Os planos do BCP são revisados e

certificados trimestralmente para garantir a

conformidade com as normas da Firma.

A Firma realiza extensos testes de preparação de

continuidade do negócio, incluindo testes de falha

de tecnologia, instalações de recuperação de

pessoas, trabalho remoto e transferência regional. A

Firma também participa de testes em nível setorial

com as principais bolsas de valores, agências

federais e autoridades locais. As divisões da Firma

realizam microexercícios e testes de cadeia de

comando e de notificação automática.

A Firma realiza periodicamente análises de impacto

de resiliência. Os Gerentes de Negócios são

solicitados a verificar a criticidade, o objetivo de

tempo de recuperação, as dependências e as

estratégias de recuperação de seus processos

centrais. Tais processos determinam o tipo de

garantia necessária para a integridade do registro;

por exemplo: testes de recuperação de pessoas,

testes de falhas de aplicativo, treinamento,

exercícios de simulação etc.

A estratégia de mitigação de riscos de continuidade

de negócios da Firma inclui recursos de

recuperação de locais próximos, de locais distantes

e dispersos, quando apropriado, para mitigar os

riscos e lidar com as ameaças à região. As unidades

de recuperação de local distante da firma residem

em diferentes redes de energia e serviços públicos

de locais de escritório primários.

Centros de Gestão de Crises que operam 24 horas

por dia, 7 dias por semana em todas as regiões

permitem que a Firma monitore seu ambiente,

execute procedimentos pré-estabelecidos de gestão

de crises e coordene respostas a incidentes em todo

o mundo.

Resiliência Tecnológica

A Firma possui um programa robusto de resiliência

tecnológica para garantir que os aplicativos internos

e os componentes que dependem da infraestrutura

demonstrem o nível adequado de resiliência e

recuperação com base na criticidade do negócio.

Tais controles incluem:

o Processamento de dispersão (dependência

de qualquer local)

o Resiliência de rede, telecomunicações e

acesso remoto (múltiplos pontos de

redundância e resiliência)

o Tecnologia regional operando

independentemente de aplicativos críticos

para o mercado

o Inventário e hierarquização dos aplicativos

de negócio (objetivos de tempo de

recuperação)

o Inclusão de dependências tecnológicas em

todos os planos de unidades de negócio

aplicáveis

Continuidade de Negócios e Resiliência Tecnológica

o Testes anuais

Com base nos requisitos de negócios, muitos

aplicativos críticos são implementados e testados

em vários datacenterspara garantir uma operação

perfeita caso um datacenter sofra uma interrupção.

A Firma participa de iniciativas de testes do setor

financeiro, nos locais onde são oferecidas, para

exercer capacidades de conectividade alternativas e

para demonstrar uma capacidade de operar por

meio de uma continuidade de negócios significativa

e/ou evento de desastre utilizando sites de backup e

unidades de recuperação alternativas.

Nossas Expectativas Sobre Suas Práticas de Segurança da Informação

Práticas de Segurança da Informação de Clientes

A segurança da informação é responsabilidade de todos

e frequentemente envolve a cooperação entre as

instituições financeiras e seus clientes. Embora

procuremos fornecer o máximo de segurança possível

para os serviços oferecidos, confiamos em sua adoção

do controle padrão de segurança da informação para o

uso de dados e sistemas compartilhados entre você e a

Firma, por exemplo:

Garantir que apenas os usuários autorizados tenham

acesso aos dados da Firma.

Proteger as credenciais de autenticação, tais como

nome de usuário e senha, de usuários autorizados a

acessar os dados da Firma.

Proteger os computadores usados nas interações com a

Firma usando ferramentas como software antimalware,

firewall e sistemas operacionais atualizados.

Notificar a Firma em caso de qualquer

comprometimento, real ou suspeito, de seus dados ou

sistemas.

Você também deve considerar o alinhamento de suas

informações e controles de segurança cibernética aos

padrões internacionais, como o NIST Cybersecurity

Framework e ISO 27001.

goldman sachs...base na natureza e conteúdo do material. a força- ... o treinamento em segurança...

Documents