OBJETIVO
Este documento apresenta um resumo público da Política de Segurança Cibernética da Torra SCD, em conformidade com o Art. 5º da Resolução CMN nº 4.893/2021. O objetivo é divulgar de forma clara e acessível as diretrizes gerais adotadas pela instituição para garantir a proteção de seus ativos de informação.

PRINCÍPIOS FUNDAMENTAIS
A Torra SCD estabelece sua Política de Segurança da Informação e Cibernética com o compromisso de proteger seus ativos digitais e garantir a continuidade dos negócios, em conformidade com a legislação vigente e as melhores práticas do mercado.
A política da Torra SCD está baseada nos pilares da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. Adicionalmente, adota-se o princípio da Autenticidade para garantir a identidade de quem acessa ou transmite informações.

ABRANGÊNCIA
Aplica-se a todos os colaboradores, terceiros e fornecedores que interagem com os sistemas, dados e ativos da Torra SCD, incluindo ambientes físicos e digitais, dispositivos móveis, redes e sistemas integrados.

DIRETRIZES
A política estabelece diretrizes para classificação da informação (Pública, Interna, Restrita e Confidencial), gestão de acessos, autenticação multifator (MFA), uso de senhas fortes, monitoramento contínuo, gestão de vulnerabilidades e proteção contra ameaças cibernéticas:
• Classificação da informação em níveis: Pública, Interna, Restrita e Confidencial.
• Gestão de acessos com base no princípio do menor privilégio.
• Autenticação multifator (MFA) e política de senhas robusta.
• Monitoramento contínuo de sistemas e redes.
• Gestão de vulnerabilidades e aplicação de correções.
• Backup seguro e plano de continuidade de negócios.
• Resposta estruturada a incidentes de segurança.

GESTÃO DE INCIDENTES
A Torra SCD mantém procedimentos para registro, análise e resposta a incidentes de segurança, incluindo elaboração de relatório anual, conforme exigido pela Resolução CMN nº 4.893.

CONTRATAÇÃO DE TERCEIROS
A contratação de terceiros que manuseiem dados sensíveis ou críticos é precedida de avaliação de riscos e exige cláusulas contratuais que garantam confidencialidade, integridade e disponibilidade das informações. São exigidas certificações, auditorias independentes e monitoramento contínuo dos serviços prestados.

BACKUP E CONTINUIDADE
São realizados backups regulares com testes de restauração e plano de continuidade de negócios para mitigar impactos de interrupções.

CONFORMIDADE E GOVERNANÇA
· Alinhamento com LGPD, Marco Civil da Internet e Resolução CMN nº 4.893/2021.
· Documentação e registros mantidos por no mínimo 5 anos.
· Auditorias internas e avaliações independentes periódicas.
· Compartilhamento de informações relevantes com o Banco Central e autoridades reguladoras.

CULTURA E CONSCIENTIZAÇÃO
A política prevê programas de capacitação, campanhas de sensibilização e comunicação com clientes sobre segurança da informação.