Atualizado em Maio de 2023

Política Externa de Segurança Cibernética - Site RecargaPay

Informações do Documento

Termos e Abreviações

Termos	Definições
Aplicativo	Aplicações para celulares do Grupo RecargaPay.
Colaboradores	Acionistas, administradores e empregados das empresas do Grupo RecargaPay.
Confidencialidade	Garantia de que a informação somente possa ser acessada por pessoas autorizadas e pelo período necessário.
Conglomerado RecargaPay	RecargaPay Instituição de Pagamentos Ltda., inscrita no CNPJ sob nº 11.275.560/0001-75, RP Sociedade de Crédito S/A, inscrita no CNPJ sob o n˚ 44.431.743/0001-91 e qualquer outra empresa autorizada que componha o Conglomerado Prudencial da RecargaPay.
Conta	Conta de Pagamento de um Usuário nos aplicativos para Celular do Grupo RecargaPay.
Dados Pessoais	Informações pessoais que podem ser associadas a uma pessoa identificada ou identificável. Dados Pessoais podem ser identificados como: nome, endereço (incluindo endereços de cobrança e entrega), número de telefone, e-mail, número do cartão de pagamento, outras informações financeiras, número da conta, data de nascimento e credenciais emitidas pelo governo (por exemplo, número da carteira de motorista, RG, passaporte, CPF e CNPJ).
Disponibilidade	Garantia de informação disponível para as pessoas autorizadas quando se fizer necessária.
Grupo RecargaPay	RecargaPay e suas subsidiárias, afiliadas, controladas ou demais empresas do grupo econômico.
Incidente	Resultado de uma ameaça que explora uma ou mais vulnerabilidades, levando à perda dos requisitos da confidencialidade, integridade e disponibilidade da informação.
Informações Protegidas	Todo e qualquer dado ou informação que o Colaborador ou Prestador de serviços desenvolva ou venha a ter acesso, direta ou indiretamente, em qualquer formato (oral ou escrito, seja em suporte físico ou digital), em virtude do seu vínculo com o Grupo RecargaPay ou do desempenho de suas atividades contratadas pelo Grupo RecargaPay, incluindo dados pessoais e não-pessoais.
Integridade	Garantia de informação completa, exata, íntegra e não modificada ou destruída indevidamente, de maneira não autorizada ou acidental durante o seu ciclo de vida.
NDA	Acordo de não-divulgação
Monitoramento	Prerrogativa do Grupo RecargaPay de controlar, acessar, vistoriar e fiscalizar com a finalidade de acompanhar se todo seu ambiente físico e digital cumpre as diretrizes desta Política de Segurança Cibernética, bem como observa os demais requisitos legais.
Plano de Ação e de Resposta a Incidentes	Trata-se de plano que abrange: (i) a implementação da Política de Segurança Cibernética; e (ii) os procedimentos e tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da Política de Segurança Cibernética.
Prestadores de serviços	Qualquer pessoa física ou jurídica que preste serviços para as empresas do Grupo RecargaPay ou que estabeleçam relação comercial de parceria com as mesmas.
Site	Quaisquer produtos, serviços, conteúdo, recursos, tecnologias, funções, todos os sites, aplicativos e serviços relacionados oferecidos ao Usuário pelo Grupo RecargaPay em conexão a uma conta ou transação de convidado.
Usuário	Indivíduo que utiliza os serviços ou acessa o site e tenha estabelecido um relacionamento com a RecargaPay (por exemplo, ao abrir uma conta e concordar com os Termos & Condições da RecargaPay) ou de outra forma usa os serviços como comprador, vendedor ou outro tipo de participante de uma transação, incluindo o visitante.

1. Objetivo

A Política Externa de Segurança Cibernética tem o objetivo de descrever os procedimentos e controles do Grupo RecargaPay para prevenir, detectar e reduzir a vulnerabilidade à ocorrência de incidentes cibernéticos.

Para isso, o Grupo RecargaPay utiliza as mais avançadas tecnologias de proteção de dados existentes no mercado e seleciona criteriosamente os colaboradores e prestadores de serviços para prestação de serviços de processamento, armazenamento de dados e de computação em nuvem.

2. Base Legal

A base normativa inclui, mas não se limita à:

• Política de Privacidade e Tratamento de Dados - Usuários;
• RecargaCOD - Código de Ética e Conduta;
• Resolução CMN nº 4.893/2021;
• Resolução BCB nº 85/2021;
• Lei Geral de Proteção de Dados nº 13.708/2018; e
• Marco Civil da Internet nº 12.965/2014

3. Propriedade Intelectual

Todo e qualquer dado ou informação que o colaborador ou prestador de serviço desenvolva ou venha a ter acesso, direta ou indiretamente, em qualquer formato, em virtude do seu vínculo com o Grupo RecargaPay, será considerada informação de exclusiva propriedade do próprio Grupo RecargaPay, sendo expressamente proibida a reprodução, divulgação, publicação, transmissão, cessão ou facilitação de seu acesso a quaisquer terceiros, direta ou indiretamente, total ou parcialmente, salvo se autorizado por escrito, de maneira prévia e expressa, pelos representantes do Conglomerado RecargaPay.

O colaborador ou prestador de serviços será o único e exclusivo responsável pelo uso que fizer das informações de propriedade intelectual da empresa. O Grupo RecargaPay reserva-se o direito de monitorar o uso destas informações pelo colaborador ou prestador de serviços e analisar todos dados e evidências relacionados, para fins de obtenção de provas que poderão ser eventualmente utilizadas nos processos investigatórios e na adoção das medidas legais cabíveis.

A qualquer momento, caso seja solicitado pelo Grupo RecargaPay ou, em finalização da relação contratual com o colaborador ou prestador de serviços, independentemente da causa, estes últimos deverão restituir ao Grupo RecargaPay todas as cópias, bancos de dados, reproduções e/ou adaptações que porventura tiverem realizado das informações de propriedade intelectual da empresa. O colaborador ou prestador de serviços reconhece ainda, que as obrigações e proibições previstas nesta Política permanecerão válidas mesmo após o término do vínculo com o Grupo RecargaPay, independentemente do motivo.

Qualquer informação de propriedade intelectual do Grupo RecargaPay cuja divulgação seja exigida por Lei, ordem judicial, determinação de autoridades administrativas competentes ou acordos celebrados pela empresa com terceiros, somente poderá ser divulgada por meio da área de Legal da RecargaPay.

4. Manuseio das Informações Protegidas

O colaborador ou prestador de serviços é responsável pelo uso que fizer das informações protegidas e deverá observar as diretrizes:

4.1 Cuidados com impressoras e copiadoras

Os colaboradores ou prestadores de serviços estão cientes que todo e qualquer uso dos equipamentos como copiadoras e impressoras, deve ser feito no âmbito das suas atividades profissionais. Deve-se evitar imprimir documentos contendo informações protegidas e, para todos os tipos de informação, os documentos impressos ou copiados devem ser retirados imediatamente dos equipamentos, sendo que o volume de cópias deve ser limitado à quantidade exata e necessária para cada tarefa, a fim de inviabilizar o acesso indevido à essas informações.

4.2 Uso de informações protegidas

O colaborador ou prestador de serviços deve tomar o máximo de cuidado com o uso que faz das informações protegidas, atentando-se para não deixar anotações que contenham esse tipo de informação em lugares com acesso ao público ou pessoas não autorizadas. É proibida a transmissão e compartilhamento de informações classificadas como protegidas por qualquer meio.

Ressalva apenas os casos onde envolvem a contratação de serviços de terceiros (parceiro, fornecedor, ente externo à companhia), que justifiquem a necessidade de compartilhamento de informações protegidas, sendo necessário a aprovação expressa do Grupo RecargaPay, a assinatura dos instrumentos contratuais pertinentes ou, ainda, do Acordo de Confidencialidade (NDA).

4.3 Comunicação verbal

Sempre que informações protegidas forem transmitidas por meio de comunicação verbal, o colaborador ou prestador de serviços deverá respeitar as regras dispostas abaixo, de acordo com o meio de transferência da informação:

1. Presencial: Informações Restritas, Privadas e Confidenciais somente podem ser discutidas em locais privados de acesso controlado, para impedir que terceiros não autorizados escutem a conversa e tenham acesso a tais informações. Quando não for possível trocar tais informações em ambiente privado, o colaborador ou prestador de serviços deverá tomar, no mínimo, as seguintes cautelas: (a) sempre verificar se alguém está escutando a conversa; e (b) nunca identificar o Grupo RecargaPay durante o diálogo;
2. Telefones, Celulares, Smartphones e Rádios: É vedada a transmissão de informações Privadas e Confidenciais por rádio ou telefone (fixo ou móvel). Caso o colaborador ou prestador de serviços não possa evitar que tais informações sejam transmitidas por ligações telefônicas ou outros meios de transmissão, deve redobrar o cuidado, sendo objetivo e discreto ao transmitir tais informações. Da mesma forma, não deve fornecer informações como senhas, telefones, endereços (físicos e eletrônicos), informações pessoais, outros dados de acessos restritos por telefone ou outros meios de transmissão e deve estar atento para não repetir em voz alta essas informações quando forem passar a terceiros. Ainda, o colaborador ou prestador de serviços entende e concorda que é vedada a gravação de informações Privadas e Confidenciais em equipamentos eletrônicos, como caixa postal, secretária eletrônica, áudios no WhatsApp ou aplicativos similares;
3. VoIP: Os colaboradores ou prestadores de serviços que tiverem acesso autorizado à ferramenta de VoIP do Grupo RecargaPay devem se atentar às mesmas regras do uso de telefones, celulares e rádio de comunicação. Ainda, devem estar cientes que tal ferramenta é de titularidade exclusiva do Grupo RecargaPay, podendo somente ser utilizada para realização das atividades relacionadas aos negócios e interesse do Grupo RecargaPay.

4.4 Recebimento, Envio e Compartilhamento de Arquivos

O colaborador ou prestador de serviços é responsável pelos arquivos que recebe, envia e compartilha por meio eletrônico, através da infraestrutura tecnológica do Grupo RecargaPay, seja por meio dos equipamentos de propriedade do Grupo RecargaPay disponibilizados para o uso do colaborador ou prestador de serviços, seja por meio dos equipamentos do próprio colaborador ou prestador de serviços, ou ainda, por meio de serviços de cloud (nuvem).

Para garantir níveis mínimos de segurança da infraestrutura tecnológica do Grupo RecargaPay é vedado ao colaborador ou prestador de serviços:

1. receber, enviar e compartilhar arquivos que: (a) contenham pornografia ou conteúdo de cunho racista, discriminatório ou qualquer outro que viole a legislação em vigor, a moral e os bons costumes; (b) viole direitos de terceiros, em especial direitos de propriedade intelectual, direitos autorais, direitos de imagem, entre outros; (c) caracterize uma infração civil ou penal e possam causar prejuízos ao Grupo RecargaPay e a terceiros; (d) configure concorrência desleal ou quebra de sigilo profissional; (e) viole o RecargaCOD - Código de Ética e Conduta do Grupo RecargaPay;
2. enviar e compartilhar: (a) arquivos que contenham vírus, malware ou outros códigos maliciosos; e (b) informações Restritas, Privadas ou Confidenciais em ambiente externo, incluindo, mas não se limitando a arquivos estratégicos para os negócios do Grupo RecargaPay sem a devida autorização desta.

4.5 Guarda e deslocamento de informações

Todas as informações protegidas que devam ser armazenadas em suporte físico ou digital, quando da sua guarda pelo colaborador ou prestador de serviços, devem respeitar os seguintes cuidados:

1. Suporte físico: Todos documentos contendo informações Restritas, Privadas e Confidenciais devem ser armazenados em arquivos físicos próprios indicados pelo Grupo RecargaPay, de acordo com os métodos de identificação do conteúdo, também indicados pelo Grupo RecargaPay;
2. Suporte digital: Todo e qualquer arquivo que contenha informação Restrita, Privada ou Confidencial deve ser salvo na rede corporativa do Grupo RecargaPay, em diretório específico, que inviabilize o acesso por colaboradores ou prestadores de serviços não autorizados. Tais arquivos devem ser salvos de forma a identificá-los quanto ao seu conteúdo e data de criação.

O deslocamento desses tipos de arquivos ou documentos só deve ocorrer se houver a possibilidade de recuperação ou análise dos registros para que, em caso de falhas de segurança que acarretem a perda ou o extravio, as informações permaneçam protegidas.

4.6 Descarte de Informações

O descarte de um documento físico e/ou a exclusão de um arquivo digital da rede do Grupo RecargaPay que contenha informações protegidas, deverá seguir as regras de descarte:

1. Suporte físico: os documentos que possuírem informações Públicas poderão ser descartados no lixo comum; já aqueles que possuírem informações Restritas, Privadas e Confidenciais devem ser destruídos manualmente ou, preferencialmente, por um aparelho fragmentador antes do descarte;
2. Suporte digital: arquivos que contenham informações Protegidas e estejam armazenados em suporte digital flexível, deverão ser destruídos por meio de aparelho fragmentador.

5. Perfil, Identificação e Credenciais de Acesso

Todos os colaboradores ou prestadores de serviços possuem perfis de acesso às informações protegidas, definidos pelo Grupo RecargaPay, de acordo com seu cargo e atribuições.

Na hipótese de o colaborador ou prestador de serviços necessitar de um acesso que não lhe esteja autorizado, deverá ser verificado e aprovado pela área de Cyber Security do Grupo RecargaPay.

O Grupo RecargaPay reserva-se o direito de revisar, a qualquer momento e sem aviso prévio, os privilégios de qualquer colaborador ou prestador de serviços, a fim de resguardar os níveis de segurança da informação do Grupo RecargaPay.

6. Senhas

As senhas de acesso aos dispositivos e servidores do Grupo RecargaPay permitem identificar o colaborador ou prestador de serviços como o responsável pelas atividades que pratica usando a infraestrutura do Grupo RecargaPay. Por esse motivo, cada colaborador ou prestador de serviços é exclusivamente responsável por todas as suas senhas de acesso, que são pessoais, intransferíveis e de uso exclusivo. Dessa forma, o colaborador ou prestador de serviços assume integral responsabilidade pelo uso indevido por terceiros e compromete-se a mantê-las em sigilo e guardá-las em segurança, sob pena de arcar com as sanções não só previstas nesta Política, mas também as penalidades civis, criminais e trabalhistas, respondendo, inclusive, por todo e qualquer dano que causar ao Grupo RecargaPay. Sempre que existir suspeita ou, o colaborador ou prestador de serviços, verificar qualquer situação de possível comprometimento de suas senhas, este deverá imediatamente trocar a senha, bem como comunicar à área de Cyber Security do Grupo RecargaPay.

A área de Cyber Security do Grupo RecargaPay pode definir critérios específicos para a elaboração de senhas e estabelecer também prazos para trocas e mecanismos de bloqueio em caso de tentativas com erros, devendo o colaborador ou prestador de serviços observá-las integralmente.

As senhas permanecerão válidas por 3 (três) meses, sendo que após esse prazo o colaborador ou prestador de serviços receberá uma solicitação automática para alterá-las. Não é permitido, quando solicitado alteração de senha, cadastrar uma senha que já tenha sido utilizada anteriormente.

7. Procedimentos e Controles

7.1 Autenticação

Os sistemas e equipamentos do Grupo RecargaPay possuem controle de autenticação. O objetivo da autenticação de um usuário nos sistemas digitais é impedir o acesso não autorizado em determinadas contas ou ambientes digitais. O processo de autenticação garante o acesso apenas aos usuários legítimos por meio do reconhecimento das credenciais individuais previamente registradas. A autenticação do usuário acontece quando as credenciais fornecidas correspondem ao que está armazenado.

7.2 Criptografia

Colaboradores ou prestadores de serviços devem classificar as informações respeitando os critérios de Restrita, Privadas ou Confidenciais e estas devem ser protegidas contra acesso não autorizado por criptografia.

7.3 Prevenção e Detecção de Intrusão

O Grupo RecargaPay possui mecanismos para prevenção e detecção de falhas de segurança, que conta com ferramentas para monitoramento diário de falhas de segurança e relatórios detalhados sobre a tentativa de intrusão.

7.4 Prevenção de Vazamento de Informações

O Grupo RecargaPay adota medidas para prevenir o vazamento de informações, tanto pelos colaboradores ou prestadores de serviços, quanto por invasões externas, através de um conjunto de ferramentas tecnológicas que gera melhoria contínua na prevenção de vazamentos por invasões externas.

7.5 Testes e Varreduras para Vulnerabilidades

O Grupo RecargaPay monitora e avalia constantemente os sistemas, ambientes e serviços de tecnologia da informação para identificação de melhorias e mitigações de riscos.

O conjunto de ferramentas utilizado pelo Grupo RecargaPay realiza escaneamentos gerais, específicos, e testes de penetração personalizados para detectar vulnerabilidades.

7.6 Proteção contra Softwares Maliciosos

O Grupo RecargaPay possui ferramentas de segurança nos equipamentos para a detecção e a eliminação de vírus de computadores e programas.

As ferramentas de segurança nos equipamentos são configuradas de forma que automatizam a sua proteção, além de realizar varreduras periódicas.

7.7 Proteção contra Softwares Maliciosos

O Grupo RecargaPay possui mecanismos para rastreabilidade dos acessos ao seu site, aplicativo, rede e plataformas.

A Companhia armazena os logs de acessos de usuários que utilizam seu site e aplicativo e os logs de acessos de todos os colaboradores ou prestadores de serviços em seus sistemas, plataformas, ferramentas e banco de dados.

7.8 Segmentação da Rede

Os acessos às informações e a segmentação de rede dos ambientes tecnológicos do Grupo RecargaPay são controlados de acordo com os níveis de permissão dos colaboradores ou prestadores de serviços.

Os níveis de permissão dos colaboradores ou prestadores de serviços são revisados periodicamente para que apenas pessoas autorizadas e com os privilégios necessários para o desempenho de suas atividades tenham acesso a determinadas informações.

8. Resolução de Incidentes e Continuidade de Negócio

Para os incidentes considerados como nível alto (relevantes), onde a organização não é mais capaz de fornecer serviços essenciais a qualquer usuário e parceiros de negócios, será avaliado o dano e impacto aos clientes e serviços do Conglomerado RecargaPay, devendo respeitar todos os processos e regulamentações vigentes, considerando o processo de identificação, análise de impacto, priorização, categorização e tratamento das ações de resposta documentadas no plano.

O Grupo RecargaPay realiza, periodicamente, testes para avaliar a efetividade e a funcionalidade de seus planos e do ambiente de tecnologia. A natureza, o escopo e a frequência dos testes são determinados de acordo com a criticidade dos negócios envolvidos.

9. Terceirização de serviços de processamento, armazenamento de dados e de computação em nuvem

Os contratos com o Grupo RecargaPay e as prestadoras de serviços que possuem acesso às informações, aos sistemas e/ou ao ambiente do Conglomerado RecargaPay contêm cláusulas que dispõem sobre o cumprimento desta Política, legislação e normas do Banco Central aplicáveis e penalidades em caso de descumprimentos.

Os prestadores de serviços do Grupo RecargaPay também devem:

1. cumprir a legislação e regulamentação em vigor aplicável a seus negócios;
2. permitir o acesso do Grupo RecargaPay aos dados e às informações processados;
3. possibilitar a recuperação dos dados e das informações processados ou armazenados;
4. assegurar a identificação e a segregação dos dados dos clientes do Conglomerado RecargaPay por meio de controles físicos ou lógicos;
5. garantir a qualidade dos controles de monitoramento e de acesso para proteção dos dados e das informações;
6. garantir a aderência a certificações exigidas em contrato pelo Grupo RecargaPay para a prestação do serviço a ser contratado;
7. assegurar, quando solicitado e previsto em contrato, o acesso do Grupo RecargaPay aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;
8. prover informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados; e
9. ter processos e controles para resposta a incidentes relacionados a prestação de serviço para o Grupo RecargaPay.

10. Desenvolvimento Seguro

Todos os colaboradores ou prestadores de serviços, integrantes das equipes técnicas de engenharia responsáveis pelo desenvolvimento do Grupo RecargaPay, possuem diretrizes de desenvolvimento seguro. Todos os códigos de desenvolvimento devem se manter em ambientes de desenvolvimento até que sejam testados e autorizadas a homologação pelas equipes responsáveis.

Cláusulas firmando acordos de propriedade intelectual e práticas seguras de desenvolvimento serão inseridas pelo Grupo RecargaPay em todos os termos de confidencialidade firmados com os colaboradores ou prestadores de serviços.

11. Encerramento de contrato com prestador de serviços

Ao término da prestação de serviços com o Grupo RecargaPay, o seu acesso à infraestrutura tecnológica do Grupo RecargaPay será revogado de forma imediata.

O prestador de serviços deverá devolver todos e quaisquer dispositivos de propriedade do Grupo RecargaPay que estejam em sua posse, em perfeitas condições de uso, juntamente com eventuais acessórios recebidos. Em caso de não devolução do equipamento, no prazo e local determinado, o prestador de serviços será responsável por restituir os custos de tal equipamento ao Grupo RecargaPay.

12. Padrões de Segurança da Informação da Payment Card Industry (PCI)

A indústria de cartões de pagamento possui regras específicas de segurança da informação para situações que envolvam o processamento de pagamentos ou a transmissão de dados pessoais relacionados a estes. Nesse sentido, a Payment Card Industry (PCI) estabelece padrões mínimos de segurança que são considerados adequados por esse setor, para que as empresas operadoras de cartão de crédito possam contratar com empresas que forneçam tecnologia para pagamento, que é o caso do Grupo RecargaPay. O Grupo RecargaPay possui a certificação do PCI DSS v3.2.1, que comprova que possui padrões adequados de segurança da informação.

Os prestadores de serviços do Grupo RecargaPay que trabalharem utilizando os sistemas relacionados ao PCI estão sujeitos às regras de padrões de segurança previstos no PCI DSS v.3.2.1. Em caso de dúvidas ou caso o prestador de serviços note alguma desconformidade com os deveres e padrões indicados pelo PCI, este deve informar imediatamente a área de Cyber Security do Grupo RecargaPay, para que esta possa tomar em tempo hábil as providências adequadas.

13. Comunicação e Conscientização

O Grupo RecargaPay promove periodicamente a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos por meio dos canais digitais existentes da marca, tais como mídias digitais e também através de notificações diretamente em seu aplicativo.