Nubank

Política de Seguridad de Nu

Versão Português | English Version

Introducción 

En Nu, desarrollamos soluciones sencillas, seguras y 100 % digitales para que tengas el control de tu dinero, literalmente en tus manos. Valoramos a nuestros clientes y entendemos la importancia de la ciberseguridad para que disfruten de nuestros servicios con tranquilidad.

Adoptamos una estrategia de defensa en profundidad, implementando múltiples capas de seguridad, para mitigar el riesgo de compromiso de una capa individual..

La seguridad de tu información es fundamental para nosotros y está en nuestro ADN. Aquí te proporcionamos un resumen de nuestra Política de Ciberseguridad (‘Política’) para que puedas conocer un poco más sobre nuestros lineamientos para la protección de tus datos

Alcance

Las empresas del Grupo Nu ("Nu") y todos sus empleados, consultores, terceros, proveedores y socios están sujetos a la Política si acceden, almacenan, procesan o transmiten información perteneciente a, o bajo la custodia de, Nu.

Objetivo 

  1. Mantener la confidencialidad, integridad y disponibilidad de la información propiedad de o bajo la custodia de Nu;

2.Establecer medidas para proteger la infraestructura que sustenta los servicios y actividades empresariales;

3.Prevenir, detectar y reducir vulnerabilidades e incidentes relacionados con el entorno cibernético.

Principios de seguridad de la información

Confidencialidad:garantizar que la información se ponga a disposición y/o se divulgue únicamente a personas, entidades o procesos autorizados;

Integridad:garantizar que la información sea exacta, completa y esté protegida contra alteraciones indebidas, intencionales o accidentales;

Disponibilidad:garantizar que la información sea accesible y utilizable a demanda por personas, entidades o procesos autorizados.

Gobernanza y Responsabilidad

La seguridad en Nu está gestionada por una sólida estructura de gobernanza, dirigida por un ejecutivo y respaldada por equipos especializados. Este marco garantiza que las responsabilidades de seguridad estén claramente definidas, implementadas y monitoreadas en toda la organización, asegurando que todos los niveles de la empresa estén comprometidos con la seguridad de sus datos.

Pautas

  • El acceso a los sistemas, recursos y otros activos de información debe concederse mediante una autenticación válida y con base en:
    • Necesidad de negocio;
    • El principio del mínimo privilegio; y
    • Segregación de funciones;
  • Los accesos deben gestionarse a lo largo de un ciclo de vida desde la creación hasta la desactivación, incluidas revisiones periódicas de su precisión y adecuación;
  • Las contraseñas deben cumplir con los requisitos mínimos de complejidad y ser únicas. No deben reutilizarse, compartirse, almacenarse en archivos ni escribirse en ningún lugar.
  • Los registros y las pistas de auditoría deben estar habilitados en entornos de producción, protegidos contra accesos y cambios no autorizados, y registrar:
    • ¿Qué actividad se realizó?
    • ¿Quién realizó la actividad?
    • Cuando se realizó la actividad;
    • En qué se realizó la actividad;
  • Los algoritmos criptográficos deben aplicarse según sea necesario a los datos en reposo, en tránsito y/o en uso;
  • Se deben implementar herramientas y procesos para monitorear y evitar que información sensible salga del ambiente interno de una organización sin autorización;
  • Las prácticas de seguridad deben integrarse en todas las fases del ciclo de vida del desarrollo del producto, desde el diseño hasta la implementación. Esto incluye revisiones de arquitectura, revisiones de código y pruebas de seguridad continuas para garantizar la seguridad de nuestros productos desde el principio y asegurar la confidencialidad, integridad y disponibilidad de la información.
  • Debe existir un proceso de gestión del ciclo de vida de las vulnerabilidades, desde la identificación hasta la remediación, que incluya directrices para la documentación, la elaboración de informes y la divulgación;
  • Se deben implementar soluciones de software de detección, prevención y recuperación antimalware o controles equivalentes para proteger el entorno de Nu.
  • Los activos de información considerados críticos, que almacenan y/o procesan información sensible, deben restringirse a áreas segregadas de la red, con un control de acceso adecuado;
  • Las bases de datos de producción deben tener copias de seguridad suficientes para restaurar los sistemas a su funcionamiento en caso de pérdida de datos o interrupción del servicio;
  • Se debe realizar una evaluación de seguridad antes de implementar cualquier nueva tecnología, herramienta o solución en producción;
  • Se deben realizar evaluaciones de seguridad de nuestros socios y proveedores críticos para garantizar que mantengan un nivel de seguridad consistente con nuestros estándares, extendiendo la seguridad a toda nuestra cadena de suministro;
  • Se deben implementar procedimientos y controles destinados a prevenir, tratar y reducir las vulnerabilidades e incidentes de ciberseguridad, además de pautas para registrar, analizar la causa y el impacto, y evaluar la relevancia de estos eventos;
  • La información debe clasificarse para ayudar a realizar un mapeo consistente de los activos de información y establecer el nivel apropiado de protección en su almacenamiento, transmisión y uso;
  • El Plan de Continuidad de Negocio (PCN) tiene como objetivo garantizar que, en una situación de crisis, los procesos esenciales y críticos se mantengan adecuadamente, preservando así la continuidad de las funciones, operaciones y servicios críticos del negocio. El PCN debe probarse anualmente.
  • La capacitación en concienciación debe ser obligatoria y realizarse anualmente, presentando los principios de seguridad de la información para ayudar a los empleados a reconocer situaciones de riesgo y actuar correctamente;
  • Se debe mantener un proceso de monitoreo continuo para identificar y responder a posibles ciberamenazas, documentándolo en un plan de respuesta a incidentes estructurado para contener, mitigar y remediar cualquier evento adverso de forma ágil. En caso que un incidente pueda afectar significativamente a nuestros clientes, nos comprometemos a comunicarnos con transparencia y brindar la orientación necesaria.
  • El consumo y el intercambio de información sobre incidentes y amenazas con otras instituciones locales y globales debe realizarse a través de canales seguros;
  • La Política de Ciberseguridad de Nu debe revisarse al menos anualmente.

Recomendaciones de seguridad para clientes

Para su seguridad, le recomendamos:

  • Cree contraseñas complejas y no utilice sus datos personales ni información personal al crearlas (p. ej., fecha de nacimiento o nombres de familiares). Prefiera contraseñas compuestas por al menos cuatro palabras aleatorias.
  • Cambie su contraseña siempre que haya cualquier indicio o sospecha de una fuga o compromiso de sus credenciales;
  • Evite utilizar la misma contraseña en más de un servicio, si es posible utilice un administrador de contraseñas para almacenar y administrar las credenciales;
  • Su contraseña es personal e intransferible, por lo que no la comparta ni la escriba en lugares donde otras personas tengan fácil acceso (por ejemplo, cuadernos y blocs de notas);
  • Si es posible, habilite un segundo factor de autenticación (por ejemplo, biometría o SMS);
  • Evite acceder a sitios web y aplicaciones bancarias, o realizar transacciones en dispositivos de terceros, públicos (ej., en los café internet) o en sitios o dispositivos no confiables como computadoras, celulares y tabletas. Evite también el uso de redes inalámbricas públicas (Wi-Fi) para estas actividades;
  • Mantenga sus dispositivos con sistemas operativos y aplicaciones actualizados;
  • Instale y mantenga actualizada una solución antivirus en su computadora.;
  • Evite abrir correos electrónicos cuyo remitente o contenido sea desconocido;
  • No haga clic en enlaces proporcionados en correos electrónicos o mensajes SMS sospechosos y/o desconocidos;
  • No descargue ni ejecute archivos adjuntos a correos electrónicos sospechosos (por ejemplo, con errores gramaticales o un tono urgente);
  • Nunca proporcione información personal, corporativa ni financiera en llamadas o mensajes de desconocidos. Lo mismo aplica a sitios web sospechosos: verifique siempre si el sitio web al que accede es el real.
  • Bloquee el dispositivo que utiliza para acceder a sitios web y aplicaciones bancarias cuando no lo esté utilizando;
  • Evite prestar su teléfono celular a desconocidos;
  • Mantenga siempre al menos una copia de seguridad de los datos importantes.