Gestão de Continuidade de Negócios

Atualizado em 31 de março de 2022.

1. Introdução e Objetivos

Esta política visa apoiar as estratégias de todas as empresas do Grupo EBANX. Para garantir a entrega dos produtos e serviços oferecidos, é crucial colocar em prática uma estratégia eficiente de continuidade de negócios, para que os clientes do EBANX não sejam comprometidos em caso de interrupções de serviço devido a eventos inesperados, bem como o bem-estar dos ebankers considerando qualquer condição adversa, seja de ordem climática, regulatória ou operacional. 

O principal objetivo do Business Continuity Management, ou Gestão de Continuidade de Negócios, é identificar estrategicamente os processos críticos da empresa e desenvolver uma estratégia de recuperação e planos de ação para garantir que todos os serviços essenciais funcionem corretamente mesmo quando enfrentam situações não planejadas. 

Desta forma, esta política define procedimentos para garantir que o EBANX: 

● Esteja em conformidade com regulamentos, legislação e práticas de mercado bem recomendadas; 

● Esteja de acordo com os objetivos e a estratégia de negócios da organização; 

● Garanta que todos os funcionários do EBANX e quaisquer outras partes que atuam em nome da EBANX estejam cientes de suas responsabilidades em relação às estratégias de recuperação e continuidade dos negócios; 

● Estabeleça procedimentos adequados para a continuidade dos negócios, a fim de mitigar os riscos associados a interrupções de serviço não planejadas. 

● Tenha agilidade na avaliação e prevenção sobre os impactos econômicos e regulatório em seus produtos e serviços, nos mais diversos países em que atua; 

● Evite/reduza os danos causados por eventos inesperados que podem causar interrupções na prestação de nossos serviços aos nossos clientes; 

● Proteja as operações da EBANX contra violações de confidencialidade, integridade e disponibilidade; 

● Defina, estabeleça e mantenha controles de continuidade de negócios eficazes, sustentáveis e mensuráveis. 

Para isso, é essencial mantermos processos compatíveis com práticas de mercado bem recomendadas, como ISO 22301, ISO 27001 e Resolução 4557 da BACEN. Isso também garantirá a integridade das operações da EBANX e fortalecerá nossa confiabilidade e a confiança de nossos stakeholders. 

2. Escopo e usuários

Cada área de negócios deve desenvolver um Business Continuity Plan considerando riscos para os requisitos de negócios, análise de impacto e recursos, resultando na definição de uma estratégia de Continuidade de Negócios. 

Esta política é aplicável a todas as empresas do EBANX. No entanto, não é aplicável para lugares onde um espaço de coworking é usado. Neste caso, a Política de Gestão de Continuidade de Negócios da empresa que presta o serviço de coworking deve ser seguida. 

3. Termos e definições

● Business Continuity Plan (BCP): refere-se a uma coleção documentada de procedimentos e informações que são desenvolvidas, compiladas e mantidas em prontidão para uso em um incidente para permitir que uma organização continue a fornecer seus serviços críticos em um nível predefinido aceitável. 

● Business Impact Analysis (BIA): é o processo utilizado para avaliar a criticidade e o impacto dos serviços e processos realizados pelas áreas em caso de interrupção inesperada, além de identificar seu tempo ideal de recuperação. ● Business Continuity Management (BCM): é um processo que identifica potenciais ameaças a uma organização e os impactos às operações de negócios que essas ameaças, se realizadas, podem causar, e que fornece um quadro para a construção da resiliência organizacional com a capacidade de uma resposta eficaz que salvaguarda os interesses de suas principais partes interessadas, reputação, marca e atividades de criação de valor. 

● BCM Lifecycle: refere-se a uma série de atividades de continuidade de negócios que abrangem coletivamente todos os aspectos e fases do programa BCM, como conclusão/atualização dos documentos de BIA, BCP, Conscientização e Exercícios, que são realizados anualmente. 

● Disaster Recovery Plan (DRP): é um plano de continuidade de negócios em caso de desastre que comprometa parte ou todos os recursos da empresa, incluindo equipamentos de TI, registros de dados e o espaço físico de uma organização. IT Operations & Security é a área responsável no EBANX pela elaboração, teste e ativação do plano quando necessário, bem como enviar os resultados para a governança de Operational Risk. 

● Risk and Control Assessment (RCA): é um processo contínuo que visa mapear os principais processos dos negócios, identificar, avaliar e monitorar seus riscos e controles associados, identificar exposições de riscos e determinar ações corretivas. É realizado pelas áreas que executam os processos, com o apoio e governança da equipe de Operational Risk. 

● Recovery Time Objective (RTO): é basicamente quanto tempo este processo pode suportar sem ser performado. 

 Recovery Point Objective (RPO): considera os sistemas e a necessidade de backups (tempo real, intraday, último backup ou não necessário) considerando como é possível realizar o processo se tudo for perdido.

4. Diretrizes (obrigatório)

A Continuidade de Negócios deve ser uma atividade de propriedade das áreas, pois é apenas a área responsável por seus processos que pode determinar exatamente suas prioridades e nível de envolvimento interno e externo. O C-Level bem como todos os demais níveis de liderança devem estar envolvidos com a Gestão de Continuidade de Negócios para suas respectivas áreas e devem estar cientes sobre o status do "BCM Lifecycle" para a sua estrutura. 

Além das operações ou processos existentes, a Continuidade de Negócios precisa considerar os sistemas e suas informações relevantes e realizar uma análise de impacto de negócios realista e confiável. Esta informação irá orientar o time de IT Operations & Security na construção do IT Disaster Recovery Plan (DRP), através do compartilhamento das informações levantadas na Business Impact Analysis (BIA) quanto a processos críticos versus sistemas para garantir que todos os sistemas críticos estão sendo cobertos pelo DRP. 

A equipe de Operational Risk, em conjunto com as equipes de Facilities, IT Corporate e IT GRC, deve estar envolvida em todas as decisões relacionadas ao risco concentrado nos escritórios do EBANX. 

Na ocorrência de uma ameaça de crise, a área de Operational Risk deverá ser comunicada para análise do possível impacto da crise ao EBANX. Todas as informações disponíveis serão levadas ao conhecimento de um ou mais membros do C-Level para que seja feito o acionamento do Comitê de Crise se decisões estratégicas forem necessárias. As reuniões poderão ocorrer presencialmente em qualquer uma das unidades do EBANX em que os membros do Comitê estejam presentes ou ainda remotamente através da ferramenta Zoom. 

Deve existir integração ativa por parte do time de Operational Risk para capacitar todos os ebankers e Líderes para que estes estejam preparados para atuar com prevenção a risco em suas áreas. Os Líderes devem ser ativos em seu papel, sendo responsáveis por acompanhar a ativação do Call Tree e outros exercícios, bem como informar a área de Operational Risk de todos e quaisquer incidentes relacionados a riscos. 

O BCM LifeCycle consiste na revisão anual da Análise de Impacto ao Negócio (BIA) baseado no resultado do mapeamento do Risk and Control Assessment (RCA), o Plano de Continuidade de Negócios (BCP), Treinamentos e Exercícios de BCM realizados para todas as áreas de negócios do EBANX. 

Para medir o cumprimento do objetivo desta política, o EBANX verificará anualmente se todas as áreas estão em conformidade com o Plano de Continuidade de Negócios formalmente estabelecido. Na área de Global Risk & Compliance, a equipe de Operational Risk é responsável por definir o método de medição da observação da política, que será realizada pelo menos uma vez por ano.

O time de Operational Risk deve informar os resultados do BCM Lifecycle para o M-Level, incluindo planos de ação resultantes das necessidades de melhoria nas estratégias de contingência. 

O resultado final de todos os testes realizados para garantir o cumprimento da estratégia de BCM estabelecida para cada equipe será formalizado através de um Certificado Anual de Compliance, assinado pelo C-Level e Diretoria de GR&C, que deve cobrir os planos de recuperação de grandes incidentes e negócios confirmando para cada área que planos estão atualizados e foram testados.

4.1 Comitê de Crise

Como parte do BCM, é crucial garantir que a EBANX tenha uma estrutura de governança de continuidade de negócios adequada para lidar com quaisquer riscos atuais ou emergentes. Esta estrutura deve estar preparada para responder aos mais diferentes tipos de eventos inesperados. 

O Comitê de Crise é um comitê interdisciplinar que está em vigor na sede do EBANX e é composto por líderes de diversas áreas (D and SM Levels). Outras pessoas poderão ser convidadas a participar se houver necessidade de conhecimento específico para aquela situação. 

O principal objetivo deste comitê é lidar com as implicações estratégicas mais amplas, incluindo questões de risco de concentração. Em um cenário de crise, este grupo também é responsável por tomar decisões sobre priorização, alocação de recursos, entrega e implantação de processos críticos EBANX. 

5. Retenção de Documentos

Toda a documentação relacionada ao BCM pode ser armazenada por pelo menos 5 anos, seguindo regras gerais de auditoria e melhores práticas. 

Após esse período, os documentos poderão ser descartados. 

6. Referências normativas

● ISO 22301:2012 - https://www.iso.org/standard/50038.html 

● ISO 27001:2013 - https://www.iso.org/standard/54534.html 

● Resolução 4557 do BACEN - 

https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50344/Res_4557_v1_O.pdf 

7. Publicação e distribuição de políticas 

Esta política e as políticas de apoio, independentemente de se ser uma nova versão de um documento existente, devem ser revistas pelo time Global Risk & Compliance. 

Quaisquer novas políticas ou modificações nos documentos existentes devem ser disponibilizadas a todas as partes interessadas do EBANX. 

Políticas estão disponíveis para consulta, pelos ebankers, no MyEBANXLife, na seção “Políticas”. 

Documentos públicos podem ser encontrados nos websites do EBANX.