Capa do Ebook gratuito Preparatório Caixa Econômica Federal - Técnico Bancário - Tecnologia da Informação

Preparatório Caixa Econômica Federal - Técnico Bancário - Tecnologia da Informação

Novo curso

20 páginas
Todos os cursos > Concursos > Caixa econômica ::

Preparatório Caixa TI: Ética, legislação e conformidade aplicada ao ambiente bancário

Capítulo 20

Tempo estimado de leitura: 12 minutos

+ Exercício

Ética no serviço e no ambiente corporativo bancário

No ambiente bancário, ética é o conjunto de princípios e padrões de conduta que orientam decisões e comportamentos, mesmo quando não há uma regra detalhada para cada situação. Para a área de TI, ética se traduz em agir com integridade ao lidar com dados, sistemas críticos, acessos privilegiados, fornecedores e demandas internas, evitando favorecimentos, atalhos inseguros e uso indevido de informações.

Princípios práticos de conduta (aplicação em TI)

  • Integridade: não manipular registros, evidências, logs, métricas ou relatórios para “melhorar números” ou encobrir falhas.
  • Imparcialidade: decisões técnicas e de priorização devem seguir critérios objetivos (risco, impacto, urgência, conformidade), não preferências pessoais.
  • Responsabilidade: assumir o que foi feito, registrar mudanças, comunicar incidentes e não “empurrar” problemas para outras áreas.
  • Respeito e profissionalismo: tratar usuários, colegas e terceiros com urbanidade; evitar assédio, discriminação e exposição indevida de pessoas em canais internos.
  • Legalidade e conformidade: cumprir políticas internas e leis aplicáveis (ex.: proteção de dados), inclusive quando isso aumenta esforço ou prazo.

Passo a passo: como decidir eticamente diante de uma demanda “cinzenta”

  1. Identifique o objetivo real da solicitação (o que se quer alcançar e por quê).
  2. Mapeie impactos: quem pode ser afetado (cliente, empregado, fornecedor, banco, regulador) e quais riscos (vazamento, fraude, indisponibilidade, reputação).
  3. Verifique regras aplicáveis: políticas internas, segregação de funções, normas de acesso, LGPD, contratos, requisitos de auditoria.
  4. Busque alternativa conforme: existe um caminho que atenda o objetivo sem violar regras? (ex.: acesso temporário e auditado, anonimização, aprovação formal).
  5. Registre e escale: se persistir dúvida ou pressão, documente e acione gestor/compliance/segurança.
  6. Recuse com base técnica e normativa quando necessário, oferecendo opções seguras.

Conflitos de interesse e independência

Conflito de interesse ocorre quando interesses pessoais, familiares ou financeiros podem influenciar (ou parecer influenciar) decisões profissionais. Em banco, isso é sensível porque decisões de TI podem afetar contratações, priorização de projetos, acesso a dados e estabilidade de serviços essenciais.

Situações comuns em TI bancária

  • Fornecedor “amigo”: pressionar para contratar ou renovar com empresa ligada a conhecido.
  • Brindes e hospitalidades: aceitar vantagens que possam comprometer imparcialidade (viagens, presentes caros, convites frequentes).
  • Dupla atuação: trabalhar por fora para empresa que presta serviço ao banco ou que concorre em licitações.
  • Uso de informação privilegiada: repassar dados internos sobre projetos, incidentes, estratégias ou vulnerabilidades.
  • Decisão sobre próprio trabalho: aprovar mudanças, pagamentos ou entregas sem revisão independente quando a política exige validação.

Passo a passo: como tratar um potencial conflito

  1. Reconheça o vínculo (financeiro, familiar, amizade, interesse futuro).
  2. Declare formalmente conforme o canal interno (gestor, compliance, formulário de conflito).
  3. Afaste-se da decisão (recusa de participação em comitê, avaliação técnica ou aprovação).
  4. Garanta rastreabilidade: registre a substituição e as justificativas.
  5. Evite “atalhos”: não influencie informalmente quem ficou responsável.

Sigilo, confidencialidade e responsabilidade sobre informações

Sigilo é o dever de proteger informações não públicas do banco, de clientes e de parceiros. Em TI, isso inclui dados pessoais, dados financeiros, credenciais, chaves, arquitetura, códigos, relatórios de auditoria, incidentes e qualquer informação que, se exposta, gere risco operacional, fraude ou dano reputacional.

Classificação e necessidade de saber

Uma prática recorrente é classificar informações (por exemplo: pública, interna, confidencial, restrita) e aplicar o princípio da necessidade de saber: acesso apenas para quem precisa para executar sua função. Isso reduz a superfície de exposição e facilita auditoria.

Condutas esperadas no dia a dia

  • Evitar compartilhamento indevido em e-mail, mensageria e ferramentas colaborativas; usar canais corporativos aprovados.
  • Não copiar bases para dispositivos pessoais ou ambientes não autorizados.
  • Redigir tickets e evidências sem expor dados sensíveis desnecessários (mascarar, truncar, anonimizar).
  • Não comentar incidentes fora dos canais de gestão de crise; comunicação externa deve ser autorizada.
  • Responsabilidade por acessos privilegiados: uso estritamente profissional, com registro e justificativa.

Passo a passo: como compartilhar dados com segurança (sem violar sigilo)

  1. Defina a finalidade: por que os dados são necessários?
  2. Minimize: envie apenas o mínimo necessário (campos, período, amostra).
  3. Proteja: use repositório/canal corporativo com controle de acesso; evite anexos com dados sensíveis.
  4. Mascaramento/anonimização: remova identificadores diretos quando possível.
  5. Registre: mantenha evidência do pedido, autorização e destinatários.
  6. Prazo e descarte: defina retenção e elimine cópias temporárias após uso.

LGPD aplicada ao contexto bancário (conceitos essenciais)

A Lei Geral de Proteção de Dados (LGPD) estabelece regras para tratamento de dados pessoais, buscando garantir direitos do titular e impor deveres de segurança, transparência e governança. Em banco, o tratamento é intenso (cadastro, transações, prevenção a fraudes, atendimento, canais digitais), o que exige controles consistentes e justificativas claras.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Conceitos e definições úteis para prova

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, CPF, e-mail, IP quando associado a pessoa).
  • Dado pessoal sensível: origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dado de saúde/vida sexual, dado genético/biométrico vinculado a pessoa.
  • Tratamento: qualquer operação com dados (coleta, uso, acesso, armazenamento, compartilhamento, eliminação).
  • Controlador: quem decide sobre o tratamento (finalidade e meios).
  • Operador: quem realiza o tratamento em nome do controlador (ex.: fornecedor que processa dados).
  • Encarregado (DPO): canal de comunicação entre controlador, titulares e autoridade.
  • Anonimização: técnica que torna o dado não identificável, considerando meios razoáveis disponíveis.

Bases legais (visão prática, sem transcrição)

Para tratar dados pessoais, é necessário enquadrar em uma base legal. No contexto bancário, são frequentes:

  • Cumprimento de obrigação legal/regulatória: retenções e reportes exigidos.
  • Execução de contrato ou procedimentos preliminares: abertura e manutenção de conta, prestação de serviços.
  • Exercício regular de direitos em processo: uso de dados para defesa e auditorias.
  • Proteção do crédito: análises relacionadas a concessão e gestão de crédito.
  • Legítimo interesse: quando necessário e proporcional, com avaliação de impacto e respeito a direitos.
  • Consentimento: quando aplicável, deve ser livre, informado e inequívoco; não é “coringa”.

Princípios da LGPD (como reconhecer em cenários)

  • Finalidade: propósito legítimo e específico.
  • Adequação: compatibilidade entre finalidade e tratamento.
  • Necessidade: mínimo de dados para atingir a finalidade.
  • Livre acesso e transparência: titular deve conseguir saber como e por que seus dados são usados.
  • Qualidade: dados corretos e atualizados.
  • Segurança e prevenção: medidas para evitar incidentes.
  • Não discriminação: vedação de uso abusivo que gere discriminação.
  • Responsabilização e prestação de contas: demonstrar conformidade (evidências, registros, políticas).

Direitos do titular (o que pode ser solicitado)

  • Confirmação da existência de tratamento e acesso aos dados.
  • Correção de dados incompletos/inexatos.
  • Anonimização, bloqueio ou eliminação em hipóteses cabíveis.
  • Portabilidade (quando aplicável).
  • Informação sobre compartilhamentos.
  • Revogação do consentimento (quando essa for a base).

Relação entre LGPD, segurança e governança (visão integrada)

LGPD não é apenas “segurança”, mas segurança é um pilar para cumprir a lei. Na prática, governança e segurança sustentam a conformidade por meio de processos, papéis e evidências.

  • Governança: inventário de dados, definição de responsáveis, políticas de retenção, gestão de terceiros, registro de operações e avaliações de risco.
  • Segurança: controles de acesso, trilhas de auditoria, criptografia quando aplicável, segregação de ambientes, gestão de vulnerabilidades e resposta a incidentes.
  • Privacidade desde a concepção: considerar minimização e proteção de dados já no desenho de sistemas e processos.

Passo a passo: checklist rápido de LGPD para uma nova funcionalidade

  1. Mapeie dados: quais dados pessoais entram, saem e onde ficam armazenados.
  2. Defina finalidade e base legal: documente o porquê do tratamento.
  3. Minimize: remova campos não essenciais e reduza retenção.
  4. Controle acessos: perfis, trilhas e revisões periódicas.
  5. Transparência: alinhe textos e comunicações ao titular (quando aplicável).
  6. Terceiros: verifique contratos, responsabilidades e medidas de segurança.
  7. Teste e evidencie: registre decisões, aprovações e validações.

Transparência, prestação de contas e controles internos

Transparência, no contexto corporativo, significa comunicar de forma clara e rastreável o que foi feito, por quem, quando e com qual justificativa. Em banco, isso se conecta a auditoria, gestão de riscos e controles internos. Controles internos são mecanismos para reduzir probabilidade e impacto de erros, fraudes e não conformidades.

Exemplos de controles internos relevantes para TI

  • Segregação de funções: quem desenvolve não aprova sozinho a mudança em produção; quem solicita não executa sem validação.
  • Gestão de mudanças: registro, avaliação de risco, aprovação, janela de implantação e plano de rollback.
  • Gestão de acessos: concessão por perfil, revisão periódica, revogação ao desligamento/mudança de função.
  • Trilhas de auditoria: logs íntegros e monitorados para rastrear ações críticas.
  • Gestão de incidentes: classificação, comunicação interna, contenção, lições aprendidas e evidências.
  • Gestão de terceiros: due diligence, cláusulas de confidencialidade, requisitos de segurança e acompanhamento.

Passo a passo: como documentar uma decisão para “prestar contas”

  1. Contexto: qual problema/demanda originou a decisão.
  2. Alternativas avaliadas: opções e por que foram descartadas.
  3. Riscos e controles: riscos identificados e como serão mitigados.
  4. Aprovações: quem aprovou e em qual instância.
  5. Evidências: anexos, tickets, atas, logs e testes.
  6. Revisão: quando reavaliar (ex.: após 30 dias, após auditoria, após incidente).

Casos práticos (conduta e conformidade)

Caso 1: pedido de acesso “urgente” a dados de clientes

Um gestor de outra área pede acesso direto a uma base com dados de clientes para “resolver rápido” uma demanda, sem ticket formal e sem justificativa detalhada.

  • Riscos: violação de necessidade de saber, exposição de dados pessoais, ausência de rastreabilidade.
  • Conduta adequada: exigir formalização (ticket), finalidade, base legal/justificativa, e oferecer alternativa (relatório com dados minimizados, acesso temporário e auditado, ou atendimento via equipe responsável).

Caso 2: fornecedor oferece benefício para “acelerar” homologação

Um fornecedor sugere um “agrado” em troca de priorização e aprovação mais rápida.

  • Riscos: corrupção, quebra de imparcialidade, dano reputacional e sanções internas.
  • Conduta adequada: recusar, registrar a ocorrência conforme canal interno e manter o processo de avaliação com critérios objetivos e rastreáveis.

Caso 3: uso de dados reais em ambiente de teste

Para reproduzir um erro, alguém copia dados de produção para teste, incluindo CPF e informações financeiras.

  • Riscos: exposição indevida, ampliação de superfície de ataque, descumprimento de minimização e segurança.
  • Conduta adequada: usar dados anonimizados/mascarados, amostras mínimas, controles de acesso e justificativa formal quando excepcional.

Caso 4: conflito de interesse em contratação

Você participa de uma comissão técnica e percebe que um candidato/empresa tem vínculo com um colega do time, que está influenciando a decisão.

  • Riscos: direcionamento, questionamento de auditoria, contratação inadequada.
  • Conduta adequada: solicitar declaração de conflito, afastamento do envolvido da decisão e registro formal do processo.

Questões situacionais (estilo prova)

1) Acesso e necessidade de saber

Um analista solicita acesso permanente a dados sensíveis “para facilitar futuras análises”, sem demanda específica. Qual a conduta mais adequada?

  • A) Conceder, pois aumenta produtividade.
  • B) Conceder por 24 horas e depois tornar permanente se não houver incidente.
  • C) Negar o acesso permanente e solicitar justificativa vinculada a finalidade, concedendo apenas o mínimo necessário e por tempo determinado, com registro e aprovação.
  • D) Conceder se o analista assinar termo informal de responsabilidade.

2) Transparência e controles internos

Uma mudança em sistema crítico foi aplicada fora do processo para “evitar atraso”, e o serviço voltou ao normal. O que fazer?

  • A) Não registrar para evitar problemas, já que funcionou.
  • B) Registrar a mudança retroativamente, comunicar o desvio, avaliar riscos e implementar ações para evitar recorrência.
  • C) Apenas avisar informalmente o time e seguir.
  • D) Apagar evidências para reduzir exposição.

3) LGPD e minimização

Um relatório mensal inclui nome completo, CPF e endereço, mas a área consumidora usa apenas faixa etária e UF. Qual ajuste é mais aderente à LGPD?

  • A) Manter como está, pois já é rotina.
  • B) Remover campos não necessários, agregando/anonimizando quando possível e documentando a finalidade.
  • C) Enviar tudo e pedir para a área “não usar”.
  • D) Trocar o canal de envio, mantendo os mesmos campos.

4) Conflito de interesse

Você descobre que um colega avalia tecnicamente uma solução de empresa na qual ele pretende trabalhar futuramente. Qual a medida mais adequada?

  • A) Ignorar, pois ainda não há vínculo formal.
  • B) Orientar a declaração do conflito e afastamento do colega da avaliação, com registro e substituição.
  • C) Pedir para ele “ser imparcial” e continuar.
  • D) Compartilhar a informação em grupo aberto para pressionar.

5) Sigilo e comunicação de incidentes

Após um incidente, um membro do time comenta detalhes em rede social sem citar o nome do banco. Qual avaliação é mais adequada?

  • A) Aceitável, pois não citou o nome.
  • B) Inadequado, pois pode expor informações internas e facilitar ataques; deve ser tratado como violação de confidencialidade e comunicado pelos canais internos.
  • C) Aceitável se o perfil for privado.
  • D) Aceitável se não houver dados pessoais.

Agora responda o exercício sobre o conteúdo:

Ao receber um pedido "urgente" de acesso direto a uma base com dados de clientes, sem ticket formal e sem justificativa detalhada, qual conduta é mais alinhada à ética, ao sigilo e à conformidade no ambiente bancário?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A conduta adequada preserva necessidade de saber, rastreabilidade e minimização de dados. Formalizar o pedido, verificar políticas e requisitos legais, e propor alternativas seguras (acesso temporário/auditado ou dados minimizados) reduz riscos de exposição e garante prestação de contas.

Aprenda Caixa econômica

AprendaCaixa econômica

Material preparatório gratuito para concurso público da Caixa Econômica Federal. Dicas, conhecimentos bancários e muito mais, o melhor, totalmente de graça.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store