POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA

Última atualização: 02 de Setembro de 2024

FOLHA DE CONTROLE

1. INTRODUÇÃO

A Política de Segurança da Informação e Segurança Cibernética (“Política”) tem como objetivo estabelecer as regras, procedimentos e controles de Segurança da Informação da TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA (“TRIBOPAY”), conforme as previsões regulatórias.

A Segurança da Informação pode ser entendida como a capacidade de prevenir, detectar, responder e de se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações.

Dessa forma, o objetivo desta política é descrever o uso aceitável de equipamentos de informática da TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA. Essas regras estão em vigor para proteger nossos parceiros, colaboradores e a própria empresa do uso inapropriado desses ativos, que possam expor a TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA a riscos, incluindo ataques de vírus, comprometimento de sistemas e serviços de rede, situações reputacionais e violações legais.

Por meio desta Política, buscamos manter os Princípios do Privacy by Design, mantendo a funcionalidade total das operações. Isso quer dizer que o documento não tem o objetivo de impor restrições que sejam contrárias à cultura estabelecida na TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA de abertura, confiança e integridade e sim ter uma abordagem “risk oriented”, contra ações ilegais ou prejudiciais por parte de indivíduos, conscientes ou não.

Ainda, esta Política visa viabilizar a identificação de possíveis violações de segurança da Informação, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais, a fim de mitigar, assim, os riscos de segurança da informação, garantindo, ainda, a continuidade de seus negócios, protegendo os processos críticos de interrupções causadas por falhas ou desastres.

Ressalta-se que esta Política é condizente com:

• O porte, o perfil de risco e o modelo de negócio da TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA.
• A natureza das suas atividades e a complexidade dos serviços e produtos por ela fornecidos.
• A sensibilidade dos dados e das informações sob responsabilidade da TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA.

2. NORMAS DE REFERÊNCIA

• Lei Geral de Proteção de Dados (Lei n.º 13.709/2018).
• Resolução CD/ANPD n.º 2 de janeiro de 2022.
• Resolução CMN nº 4.893 de 2021.
• Resolução BCB nº 85 de 2021.

3. ÂMBITO DE APLICAÇÃO

A Presente Política será aplicável a todos os Colaboradores, membros da Alta Administração, Terceiros e quaisquer outras pessoas, sejam físicas ou jurídicas, que tenham ou venham a ter acesso aos dados controlados e ao sistema de informação da TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA.

3.1. O não cumprimento desta Política

O não cumprimento desta Política acarretará sanções administrativas, podendo acarretar o desligamento do colaborador ou rescisão do contrato vigente e a reparação de danos, de acordo com a gravidade da ocorrência.

4. DEFINIÇÕES

• Alta Administração: se refere aos membros que compõem a diretoria executiva e o conselho da administração, caso esteja implementado.
• ANPD: se refere à Autoridade Nacional de Proteção de Dados.
• Cliente(s): usuários que adquirem ou utilizem de alguma forma os serviços da TRIBOPAY.
• Colaborador(es): empregados contratados sob regime CLT, estagiários e aprendizes.
• Controlador(es): empresas que contratam o sistema TRIBOPAY.
• Incidente de segurança com dados pessoais: evento adverso, confirmado ou sob suspeita, relacionado à violação de dados pessoais (acesso não autorizado, perda, alteração, vazamento, etc.).
• Terceiro(s): prestadores de serviços, parceiros comerciais ou pessoas que se relacionem com a TRIBOPAY.

5. GOVERNANÇA EM PROTEÇÃO DE DADOS

A Governança tem o objetivo de organizar e implementar políticas, procedimentos, estruturas, cultura de proteção de dados na empresa, bem como definir papéis e responsabilidades de cada agente de tratamento para atender às necessidades atuais e futuras das questões referentes à proteção de dados.

A TRIBOPAY SOLUÇÕES DE PAGAMENTOS LTDA, por intermédio de sua Governança em Privacidade, adotou a estrutura operacional híbrida, indicada nos itens a seguir.

5.1. Responsáveis pelo programa de privacidade

A gestão e a aplicação do programa de privacidade e proteção de dados pessoais deverão ser conduzidas, gerenciadas e controladas pelo Responsável de Privacidade, para que possa facilitar o controle de conteúdo, datas de publicação, prazos para revisão e demais medidas e procedimentos envolvendo as Políticas.

5.2. Grupo de Trabalho

Os principais objetivos do Grupo de Trabalho são gerenciar e garantir a aplicação do programa de privacidade e proteção de dados pessoais, devendo-se reunir trimestralmente ou sempre que necessário.

O Grupo de Trabalho será composto por:

• Responsável de Privacidade;
• Jurídico Externo, NDM Advogados;
• Líderes de cada time macro (RH, Financeiro, Comercial, Marketing, etc.);
• Departamento de tecnologia da informação.

O Grupo de Trabalho poderá deliberar e tomar decisões de maneira autônoma a respeito de atividades de tratamento que envolvem riscos baixos e médios. Para riscos altos ou muito altos, a decisão deverá ser escalada ao diretor responsável da TRIBOPAY.

6. DIRETRIZES GERAIS DE RESPONSABILIDADE E CONFORMIDADE

Esta Política tem o intuito de assegurar a proteção dos ativos de informação contra ameaças, reduzir a exposição a perdas ou danos decorrentes de falhas de segurança da informação e garantir que os recursos adequados estarão disponíveis, mantendo um programa de segurança efetivo.

Os processos devem assegurar:

• Confidencialidade: acesso somente a pessoas autorizadas.
• Integridade: garantia de que a informação não sofrerá modificação não autorizada.
• Disponibilidade: acesso sempre que necessário.
• Autenticidade: origem segura da informação.
• Não repúdio: rastreabilidade e monitoramento de uso.

A TRIBOPAY garante conformidade com a LGPD, análises periódicas de risco, classificação das informações, controles baseados em normas reconhecidas e capacitação contínua de colaboradores.

6.1. Diretrizes Gerais

• Auditorias e monitoramento periódicos.
• Aprovação explícita para inclusão de novos dispositivos.
• Autenticação obrigatória com ID/senha ou token.
• Listagem de pessoal autorizado para uso de dispositivos.
• Rotulagem de equipamentos com proprietário e finalidade.
• Classificação e restrição de acesso à informação.
• Uso controlado de laptops, antivírus e e-mails.
• Proibição de usos ilícitos ou contrários à missão da empresa.

6.1.9. Usos Proibidos

• Acesso ou distribuição de informações confidenciais sem autorização.
• Violação de direitos autorais ou uso de software pirata.
• Exportação de software/tecnologia sem autorização legal.
• Introdução de programas maliciosos (vírus, worms, trojans etc.).
• Compartilhamento de senhas ou uso de contas de terceiros.
• Uso para assédio, fraude ou esquemas ilícitos.
• Monitoramento ou invasão de redes sem autorização.
• Envio de spam, phishing, correntes ou golpes.

6.1.10. Wireless

O Wi-Fi corporativo só poderá ser usado para finalidades profissionais, mediante autorização da TRIBOPAY. Visitantes devem ter permissão expressa.

7. PROCEDIMENTOS E CONTROLES

7.1. Política de Classificação de Dados

• Nível 01: Públicos (relatórios anuais, comunicados à imprensa).
• Nível 02: Uso interno (memorandos, atas, relatórios internos).
• Nível 03: Confidenciais (planos estratégicos, dados de clientes, contabilidade).
• Nível 04: Sensíveis (dados pessoais sensíveis, sigilo bancário, dados críticos).

7.1.1. Política de Restrição de Acessos

O acesso será concedido apenas a quem realmente precisar. Colaboradores que mudarem de cargo terão suas credenciais revistas.

7.2. Política de Utilização de Informações Físicas

• Controle de acesso físico com chaves/cartões/biometria.
• Armários e áreas de armazenamento trancadas.
• Destruição adequada de documentos sensíveis.
• Backups físicos em locais seguros.
• Auditorias e treinamentos periódicos.

7.3. Política de Sistemas Antivírus

• Softwares antivírus devem estar atualizados.
• Manter logs por no mínimo 1 ano.
• Máquinas infectadas devem ser removidas da rede até limpeza.
• Firewall pessoal obrigatório em dispositivos móveis.

7.4. Política de Auditoria

A TRIBOPAY poderá auditar dispositivos, informações e acessos (usuários, rede, tráfego, áreas físicas) sempre respeitando a LGPD.

7.5. Política de Dispositivos Desktop e Laptop

Uso permitido apenas com responsabilidade compartilhada. Não é permitido software pirata ou instalações não autorizadas. Senhas obrigatórias, bloqueio automático, antivírus ativo e atualizações regulares.

Laptops não devem ser deixados sem vigilância em veículos ou locais públicos, devem utilizar criptografia e medidas de transporte seguro.

7.6. Política de E-mail

E-mails devem ser enviados com cautela, conter aviso de confidencialidade e nunca encaminhar informações sensíveis sem criptografia. Colaboradores devem ter cuidado com anexos suspeitos.

7.7. Política de Criptografia

• Uso obrigatório de algoritmos padrão como AES.
• Chaves simétricas ≥ 128 bits.
• Chaves assimétricas de força equivalente.
• Proibido uso de algoritmos proprietários sem revisão externa.

7.8. Prevenção a Incidentes por Colaboradores ou Terceiros

• Assinatura de termos de confidencialidade.
• Monitoramento 24h em ambientes críticos.
• Logs de acessos de colaboradores e terceiros.
• Canais de denúncia anônimos e auditorias internas.

7.9. Prevenção à Indisponibilidade do Sistema

A TRIBOPAY adota redundância, balanceamento de carga, monitoramento e backups regulares para garantir continuidade.

7.10. Segurança das Comunicações

• Uso de conexões cifradas (TLS/HTTPS).
• Firewall e Web Application Firewall (WAF).
• Proteção com filtros AntiSpam e antivírus integrado.

7.11. Serviços de Armazenamento e Nuvem

Contratações passam por due diligence, exigem certificações (PCI DSS, ISO 27001), contratos com SLAs e responsabilidades de segurança de dados. Exclusão de dados ao fim do contrato é obrigatória.

7.12. Política de Senha Segura

• Senhas trocadas a cada 90 dias.
• Proibido compartilhar senhas.
• Mínimo de 8 caracteres (maiúsculas, minúsculas, números e especiais).
• Não usar últimas 4 senhas.
• Senhas não devem ser anotadas ou compartilhadas.

7.13. Política de Análises de Riscos

Avaliações devem ocorrer em grandes mudanças, novos sistemas e pedidos críticos, com níveis de risco de mínimo a máximo, atribuindo impacto e probabilidade.

7.14. Política de Desenvolvimento Seguro de Software

Projetos internos ou terceirizados devem seguir práticas de desenvolvimento seguro.

8. POLÍTICA DE RETENÇÃO DE DADOS

Dados devem ser mantidos apenas pelo prazo necessário, respeitando normas aplicáveis, especialmente relacionadas a dados pessoais.

9. PLANO DE RESPOSTAS A INCIDENTES

A TRIBOPAY deve manter plano de resposta a incidentes, incluindo cenários de continuidade de negócios e prazo máximo de 2h para comunicação interna.

10. CAPACITAÇÃO DE COLABORADORES E TERCEIROS

Treinamentos periódicos obrigatórios em segurança da informação, proteção de dados pessoais, política de consequências, uso correto de logins e backups seguros.

11. VIGÊNCIA

A presente Política foi aprovada em 02/09/2024 e será revisada no máximo a cada 12 meses. Dúvidas: lgpd@tribopay.com.br.