Política Corporativa de Segurança da Informação e Cibernética
1) Assegurar a confidencialidade, integridade e disponibilidade das informações da Organização, mediante utilização de mecanismos de Segurança da Informação e Cibernética, balanceando fatores de risco, tecnologia e custo.
2) Garantir a proteção adequada das informações e dos sistemas contra acesso indevido, cópia, leitura, modificação, destruição e divulgação não autorizados.
3) Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela Organização, estando sujeitos à monitoração, rastreabilidade e auditoria.
4) Assegurar a participação dos profissionais da Organização no Programa Corporativo de Conscientização e Educação em Segurança da Informação e Cibernética.
5) Assegurar a existência de processos eficazes de gestão de incidentes e resiliência cibernética, que permitam à Organização antecipar, resistir, responder, recuperar e adaptar-se a eventos cibernéticos adversos. Esses processos devem garantir a proteção dos ativos críticos, a rápida comunicação e coordenação entre as áreas envolvidas, alta administração, a comunicação a titulares de dados pessoais e reguladores, quando aplicável, e a manutenção da confiança dos stakeholders internos e externos, minimizando impactos operacionais, reputacionais e estratégicos.
6) Assegurar a resolução de vulnerabilidades, sejam sistêmicas ou em processos de negócio, considerando as responsabilidades de cada área envolvida e respectivos gestores de negócio, com a devida priorização conforme risco e impacto no negócio, reduzindo fragilidades no ambiente da Organização.
7) Informar aos Clientes e Usuários sobre as precauções de Segurança da Informação e Cibernética necessárias na utilização de produtos e serviços financeiros.
8) Assegurar que os riscos decorrentes do relacionamento com prestadores de serviços e parceiros contratados sejam identificados, avaliados, classificados, mitigados e monitorados de acordo com a criticidade do serviço, requisitos regulatórios e contratuais.
9) Garantir o cumprimento desta Política, das Normas e Padrões Corporativos de Segurança da Informação da Organização.
10) Assegurar o comprometimento da alta administração com a melhoria contínua nos processos e recursos necessários para Segurança da Informação e Cibernética.
Declaramos que a presente é cópia fiel da Política Corporativa de Segurança da Informação e Cibernética, aprovada na Reunião Extraordinária do Conselho de Administração (RECA) n.º 1.762, de 9.5.2011, cuja última revisão, com alterações, foi registrada na Reunião Ordinária do Conselho de Administração (ROCA), realizada em 29.01.2026.
Corporate Information and Cyber Security Policy
1) Ensure the confidentiality, integrity, and availability of the Organization's information through the use of Information and Cybersecurity mechanisms, balancing risk factors, technology, and cost.
2) Ensure adequate protection of information and systems against unauthorized access, copying, reading, modification, destruction, and disclosure.
3) Ensure that information assets are used only for purposes approved by the Organization and are subject to monitoring, traceability, and auditing.
4) Ensure the participation of the Organization's professionals in the Corporate Information and Cybersecurity Awareness and Education Program.
5) Ensure the existence of effective incident management and cyber resilience processes that enable the Organization to anticipate, resist, respond, recover, and adapt to adverse cyber events. These processes should ensure the protection of critical assets, rapid communication and coordination between the areas involved, senior management, communication with personal data subjects and regulators, where applicable, and the maintenance of the trust of internal and external stakeholders, minimizing operational, reputational, and strategic impacts.
6) Ensure the resolution of vulnerabilities, whether systemic or in business processes, considering the responsibilities of each area involved and the respective business managers, with due prioritization according to risk and business impact, reducing weaknesses in the Organization's environment.
7) Inform Customers and Users about the necessary Information and Cyber Security precautions when using financial products and services.
8) Ensure that risks arising from relationships with service providers and contracted partners are identified, assessed, classified, mitigated, and monitored according to the criticality of the service, regulatory and contractual requirements.
9) Ensure compliance with this Policy and the Organization's Corporate Information Security Rules and Standards.
10) Ensure senior management's commitment to the continuous improvement of the processes and resources necessary for Information and Cyber Security.
We declare that this is a true copy of the Corporate Information and Cyber Security Policy, approved at the Extraordinary Meeting of the Board of Directors (RECA) No. 1,762, dated May 9, 2011, whose latest revision, with amendments, was recorded at the Ordinary Meeting of the Board of Directors (ROCA) held on January 29, 2026.
Política Corporativa de Seguridad de la Información y Cibernética
1) Garantizar la confidencialidad, integridad y disponibilidad de la información de la Organización mediante el uso de mecanismos de seguridad de la información y cibernética, equilibrando los factores de riesgo, la tecnología y el coste.
2) Garantizar la protección adecuada de la información y los sistemas contra el acceso indebido, la copia, la lectura, la modificación, la destrucción y la divulgación no autorizadas.
3) Asegurar que los activos de información se utilicen únicamente para los fines aprobados por la Organización, estando sujetos a supervisión, trazabilidad y auditoría.
4) Asegurar la participación de los profesionales de la Organización en el Programa Corporativo de Concienciación y Educación en Seguridad de la Información y Cibernética.
5) Asegurar la existencia de procesos eficaces de gestión de incidentes y resiliencia cibernética, que permitan a la Organización anticiparse, resistir, responder, recuperarse y adaptarse a eventos cibernéticos adversos. Estos procesos deben garantizar la protección de los activos críticos, la comunicación y coordinación rápidas entre las áreas implicadas y la alta dirección, la comunicación a los titulares de datos personales y a los reguladores, cuando proceda, y el mantenimiento de la confianza de las partes interesadas internas y externas, minimizando los impactos operativos, reputacionales y estratégicos.
6) Garantizar la resolución de vulnerabilidades, ya sean sistémicas o relacionadas con los procesos de negocio, teniendo en cuenta las responsabilidades de cada área implicada y de sus respectivos responsables de negocio, con la debida priorización en función del riesgo y el impacto en el negocio, reduciendo así las debilidades en el entorno de la Organización.
7) Informar a los clientes y usuarios sobre las precauciones de seguridad de la información y cibernética necesarias para el uso de productos y servicios financieros.
8) Garantizar que los riesgos derivados de la relación con proveedores de servicios y socios contratados sean identificados, evaluados, clasificados, mitigados y supervisados de acuerdo con la criticidad del servicio, los requisitos normativos y contractuales.
9) Garantizar el cumplimiento de esta Política, así como de las Normas y Estándares Corporativos de Seguridad de la Información de la Organización.
10) Asegurar el compromiso de la alta dirección con la mejora continua de los procesos y recursos necesarios para la Seguridad de la Información y Cibernética.
Declaramos que el presente documento es una copia fiel de la Política Corporativa de Seguridad de la Información y Cibernética, aprobada en la Reunión Extraordinaria del Consejo de Administración (RECA) n.º 1.762, de 9 de mayo de 2011, cuya última revisión, con modificaciones, quedó registrada en la Reunión Ordinaria del Consejo de Administración (ROCA), celebrada el 29.01.2026.
