Proteger a informação como nossa prioridade

A equipe de segurança da informação da TransUnion opera globalmente em todas as nossas unidades de negócios e locais, garantindo cobertura e transparência 24 horas por dia, 7 dias por semana.

Compliance e Segurança da Informação

A TransUnion é uma empresa global de informações e insights de dados e prevenção à fraude que traz a confiança para que companhias e consumidores alcancem grandes realizações na economia moderna.

Com a aprovação e o registro para atuar como Gestora de Banco de Dados do Cadastro Positivo no Brasil, a TransUnion adiciona ofertas de soluções globais ao seu portfólio expandindo a sua atuação no mercado local e trazendo a sua expertise de operação em mais de 30 países, incluindo bureaus de crédito nos Estados Unidos, Colômbia, Índia e Reino Unido, que já atuam com dados positivos e complementares.


Nosso compromisso com a segurança de dados

Como fornecedor global de soluções de análise de risco e informações, coletamos, armazenamos e transmitimos uma grande quantidade de dados. Estamos cientes de que as pessoas consumidoras contam conosco para proteger suas informações, assim como nossos fornecedores de dados e clientes empresariais. É por isso que a segurança da informação é uma prioridade de toda a empresa em todos os níveis de nossa organização.

A equipe de segurança da informação da TransUnion opera globalmente em todas as nossas unidades de negócios e locais, garantindo cobertura e transparência 24 horas por dia, 7 dias por semana. As ameaças são monitoradas e avaliadas, e nossos controles internos são ajustados conforme necessário, à medida que nos esforçamos para permanecer eficazes em um ambiente de ameaças em rápida mudança. Esse time é composto por especialistas em ameaças cibernéticas e inteligência com formação e experiência de aplicação da lei, governo, forças armadas e indústria. Nosso programa de Segurança da Informação também inclui políticas robustas, treinamento de colaboradores e tecnologia avançada, com suporte e supervisão do conselho de administração, CEO e gerência executiva.

As políticas e controles globais de Compliance são administrados sob a direção de nosso time em parceria ativa com a Segurança da Informação e Investigações Corporativas para construir controles eficazes e eficientes de forma proativa.

Além de nossos próprios requisitos rigorosos, as instituições financeiras com as quais trabalhamos – que compartilham nosso interesse em proteger as informações compartilhadas conosco – também esperam que cumpramos seus altos padrões. Nosso programa de segurança é auditado regularmente por muitos de nossos clientes, incluindo algumas das instituições financeiras mais sofisticadas do mundo. Congratulamo-nos com o rigor dessas revisões, pois estamos confiantes de que nossos controles de segurança estão em conformidade com os mais altos padrões aos quais os bancos são mantidos.


Mitigação de Risco

Para atender às expectativas dos consumidores, clientes empresariais e reguladores, a TransUnion adota uma abordagem de segurança multicamadas e baseada em risco, que se baseia em vários controles sobrepostos e redundantes para reduzir o risco de um único ponto de falha. Essa abordagem foi desenvolvida para prevenir, detectar e responder — ou seja, diminuir a probabilidade de ocorrência de uma violação; reduzir a duração de qualquer violação que possa ocorrer, garantindo que seja rapidamente identificada; e minimizar o impacto de uma violação limitando rapidamente o alcance de qualquer comprometimento e fechando qualquer acesso adicional ao ambiente.

Exemplos dos tipos de ferramentas, controles e procedimentos que usamos incluem:

Ferramentas de segurança. A TransUnion avalia e implanta regularmente soluções de segurança líderes do setor para gerenciar, controlar e monitorar nosso ambiente. Implementamos nossas ferramentas de acordo com nossa estrutura de segurança em camadas para garantir que tenhamos camadas de proteção e transparência. Testamos a eficácia e a capacidade dessas ferramentas regularmente para garantir que estamos acompanhando a crescente sofisticação que vemos ocorrendo no ambiente de ameaças.

Auditorias e avaliações. Além de auditorias e revisões conduzidas por entidades terceiras e reguladores avaliamos continuamente nosso próprio programa, incluindo o envolvimento regular de empresas externas para testar nossa governança de segurança, ambiente e controles por meio de avaliações, testes de penetração e ataques simulados.

Planejamento e prontidão de resposta a incidentes. Reconhecemos a importância da preparação contínua, por isso atualizamos e testamos regularmente nossos planos de resposta, educamos nossa liderança e pessoas de nosso time em todo o mundo sobre o protocolo e organizamos exercícios para testar nossa capacidade.

Compartilhamento de informações e colaboração. Temos um compromisso em trabalhar com o governo, outros players de nosso setor e empresas de outros segmentos para enfrentar essas ameaças de frente.

Embora estejamos tomando medidas abrangentes para enfrentar as ameaças cada vez maiores de segurança cibernética e fraude, os desafios relacionados à segurança não são um problema exclusivo do setor de serviços de informação. São uma séria ameaça para todos os setores e organizações, e não vão desaparecer. Em função disso, colaboramos continuamente com organizações dentro e fora do nosso setor para atuar de acordo com as melhores práticas.


Compliance: Mantendo a conformidade

A TransUnion é regida por restrita supervisão regulatória. Estamos sujeitos a várias leis de proteção ao consumidor nos mercados que atendemos, que abrangem precisão, segurança, privacidade de dados, acesso a relatórios de crédito e um processo que garante ao cadastrado o livre acesso aos seus dados e a possibilidade de solicitar a atualização ou a modificação dos seus dados porventura inexatos ou incorretos, entre outros regulamentos e requisitos. 


Certificações

 

ISO/IEC 22301:2019

A TransUnion Brasil possui a certificação ISO/IEC 22301:2019, que especifica a estrutura e os requisitos necessários para implementar e manter um Sistema de Gestão e Continuidade de Negócios (BCMS), cujo propósito é desenvolver a continuidade de negócios apropriada à quantidade e tipo de impacto que a organização pode ou não aceitar após uma interrupção. 

Essa conquista reforça o compromisso da TransUnion em construir um negócio robusto e resiliente, de modo à estar pronta para se recuperar em caso de disrupturas que possam afetar a continuidade das operações. 

ISO/IEC 27001:2013 

A TransUnion Brasil possui a certificação ISO/IEC 27001:2013, emitida pela ABS Quality Evaluations. Inc, cujo propósito é especificar os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação no contexto de uma organização. A ISO/IEC 27001:2013 também inclui requisitos para a avaliação e tratamento dos riscos de segurança da informação adaptados às necessidades de uma organização. (Fonte: https://www.iso.org/standard/54534.html)

ISO/IEC 27701:2019

 

A TransUnion Brasil possui, ainda, a certificação ISO/IEC 27701:2019, o que reforça o compromisso global da companhia com a Privacidade e a Proteção de Dados e também com a Segurança da Informação, em conformidade com a legislação aplicável e as boas práticas de governança.

Este documento especifica os requisitos e fornece orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de privacidade no contexto da organização.

A certificação é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladoras de PII e/ou processadores de PII que processam PII em um SGSI. (Fonte: https://www.iso.org/standard/71670.html)

Essa certificação com padrão internacional atesta que a TransUnion Brasil atua de acordo com os requisitos necessários para assegurar a segurança da informação, segurança cibernética e proteção da privacidade, atendendo aos seguintes aspectos técnico-operacionais:

  • Plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados;
  • Melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados das pessoas cadastradas, das autorizações e das solicitações de cancelamento e de reabertura de cadastro;
  • Política de segurança da informação sobre a criação, a guarda, a utilização e o descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou à utilização de informações por outras empresas prestadoras de serviço contratadas;
  • Política de estabelecimento da responsabilidade, principalmente quanto aos quesitos de sigilo e proteção das informações, de privacidade de dados dos clientes e de prevenção e tratamento contra fraudes;
  • Programa de gestão de vulnerabilidades, programa de prevenção de vazamentos de dados e controles de acesso privilegiado;
  • Procedimentos de segurança e realização de testes periódicos de firewalls, de vulnerabilidade e penetração, por entidade independente;
  • Programa de gestão de fornecedores com a adoção de regras de verificações de acordo com sua relevância, de modo a assegurar o cumprimento dos requisitos estabelecidos na política de segurança da TransUnion.

Mais uma conquista que reforça o compromisso global da TransUnion com a Privacidade e Proteção de Dados, a fim de assegurar o tratamento de dados pessoais em conformidade com a legislação aplicável e boas práticas de governança.

SOC 2 Type 2

A TransUnion Brasil possui relatório SOC 2 type 2, sobre controles em uma organização de serviços relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade ou privacidade. Esses documentos destinam-se a atender às necessidades de uma ampla gama de pessoas usuárias que precisam de informações detalhadas e garantia sobre os controles em uma organização de serviços relevantes para segurança, disponibilidade e integridade de processamento dos sistemas que a organização de serviços usa para processar os dados das pessoas usuárias e a confidencialidade e privacidade das informações processadas por esses sistemas.

Política de Transparência de uso de coleta de dados

Relatório de asseguração limitada dos auditores independentes sobre a existência, publicação e aderência do conteúdo da política de transparência de uso e coleta de dados com os processos internos da TransUnion, conforme previsto na Lei e Decreto do Cadastro Positivo.

Acesse também nosso Programa de Privacidade e Proteção de Dados que foi implementado para o atendimento aos requisitos da Lei nº 13.709/2018, Lei Geral de Proteção de Dados no Brasil, “LGPD” - transunion.com.br/legal/lgpd