Atualizado em Maio de 2023
Versão | Data | Elaboração | Revisão | Modificações |
---|---|---|---|---|
1 | 07/2021 | Compliance |
Segurança Cibernética DPO |
Versão inicial |
2 | 05/2023 | Cyber | Compliance |
Revisão e ajuste em todos os itens |
Termos | Definições |
---|---|
Aplicativo | Aplicações para celulares do Grupo RecargaPay. |
Colaboradores | Acionistas, administradores e empregados das empresas do Grupo RecargaPay. |
Confidencialidade | Garantia de que a informação somente possa ser acessada por pessoas autorizadas e pelo período necessário. |
Conglomerado RecargaPay | RecargaPay Instituição de Pagamentos Ltda., inscrita no CNPJ sob nº 11.275.560/0001-75, RP Sociedade de Crédito S/A, inscrita no CNPJ sob o n˚ 44.431.743/0001-91 e qualquer outra empresa autorizada que componha o Conglomerado Prudencial da RecargaPay. |
Conta | Conta de Pagamento de um Usuário nos aplicativos para Celular do Grupo RecargaPay. |
Dados Pessoais | Informações pessoais que podem ser associadas a uma pessoa identificada ou identificável. Dados Pessoais podem ser identificados como: nome, endereço (incluindo endereços de cobrança e entrega), número de telefone, e-mail, número do cartão de pagamento, outras informações financeiras, número da conta, data de nascimento e credenciais emitidas pelo governo (por exemplo, número da carteira de motorista, RG, passaporte, CPF e CNPJ). |
Disponibilidade | Garantia de informação disponível para as pessoas autorizadas quando se fizer necessária. |
Grupo RecargaPay | RecargaPay e suas subsidiárias, afiliadas, controladas ou demais empresas do grupo econômico. |
Incidente | Resultado de uma ameaça que explora uma ou mais vulnerabilidades, levando à perda dos requisitos da confidencialidade, integridade e disponibilidade da informação. |
Informações Protegidas |
Todo e qualquer dado ou informação que o Colaborador ou Prestador de serviços desenvolva ou venha a ter acesso, direta ou indiretamente, em qualquer formato (oral ou escrito, seja em suporte físico ou digital), em virtude do seu vínculo com o Grupo RecargaPay ou do desempenho de suas atividades contratadas pelo Grupo RecargaPay, incluindo dados pessoais e não-pessoais. |
Integridade | Garantia de informação completa, exata, íntegra e não modificada ou destruída indevidamente, de maneira não autorizada ou acidental durante o seu ciclo de vida. |
NDA | Acordo de não-divulgação |
Monitoramento | Prerrogativa do Grupo RecargaPay de controlar, acessar, vistoriar e fiscalizar com a finalidade de acompanhar se todo seu ambiente físico e digital cumpre as diretrizes desta Política de Segurança Cibernética, bem como observa os demais requisitos legais. |
Plano de Ação e de Resposta a Incidentes | Trata-se de plano que abrange: (i) a implementação da Política de Segurança Cibernética; e (ii) os procedimentos e tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da Política de Segurança Cibernética. |
Prestadores de serviços | Qualquer pessoa física ou jurídica que preste serviços para as empresas do Grupo RecargaPay ou que estabeleçam relação comercial de parceria com as mesmas. |
Site | Quaisquer produtos, serviços, conteúdo, recursos, tecnologias, funções, todos os sites, aplicativos e serviços relacionados oferecidos ao Usuário pelo Grupo RecargaPay em conexão a uma conta ou transação de convidado. |
Usuário | Indivíduo que utiliza os serviços ou acessa o site e tenha estabelecido um relacionamento com a RecargaPay (por exemplo, ao abrir uma conta e concordar com os Termos & Condições da RecargaPay) ou de outra forma usa os serviços como comprador, vendedor ou outro tipo de participante de uma transação, incluindo o visitante. |
A Política Externa de Segurança Cibernética tem o objetivo de descrever os procedimentos e controles do Grupo RecargaPay para prevenir, detectar e reduzir a vulnerabilidade à ocorrência de incidentes cibernéticos.
Para isso, o Grupo RecargaPay utiliza as mais avançadas tecnologias de proteção de dados existentes no mercado e seleciona criteriosamente os colaboradores e prestadores de serviços para prestação de serviços de processamento, armazenamento de dados e de computação em nuvem.
A base normativa inclui, mas não se limita à:
Todo e qualquer dado ou informação que o colaborador ou prestador de serviço desenvolva ou venha a ter acesso, direta ou indiretamente, em qualquer formato, em virtude do seu vínculo com o Grupo RecargaPay, será considerada informação de exclusiva propriedade do próprio Grupo RecargaPay, sendo expressamente proibida a reprodução, divulgação, publicação, transmissão, cessão ou facilitação de seu acesso a quaisquer terceiros, direta ou indiretamente, total ou parcialmente, salvo se autorizado por escrito, de maneira prévia e expressa, pelos representantes do Conglomerado RecargaPay.
O colaborador ou prestador de serviços será o único e exclusivo responsável pelo uso que fizer das informações de propriedade intelectual da empresa. O Grupo RecargaPay reserva-se o direito de monitorar o uso destas informações pelo colaborador ou prestador de serviços e analisar todos dados e evidências relacionados, para fins de obtenção de provas que poderão ser eventualmente utilizadas nos processos investigatórios e na adoção das medidas legais cabíveis.
A qualquer momento, caso seja solicitado pelo Grupo RecargaPay ou, em finalização da relação contratual com o colaborador ou prestador de serviços, independentemente da causa, estes últimos deverão restituir ao Grupo RecargaPay todas as cópias, bancos de dados, reproduções e/ou adaptações que porventura tiverem realizado das informações de propriedade intelectual da empresa. O colaborador ou prestador de serviços reconhece ainda, que as obrigações e proibições previstas nesta Política permanecerão válidas mesmo após o término do vínculo com o Grupo RecargaPay, independentemente do motivo.
Qualquer informação de propriedade intelectual do Grupo RecargaPay cuja divulgação seja exigida por Lei, ordem judicial, determinação de autoridades administrativas competentes ou acordos celebrados pela empresa com terceiros, somente poderá ser divulgada por meio da área de Legal da RecargaPay.
O colaborador ou prestador de serviços é responsável pelo uso que fizer das informações protegidas e deverá observar as diretrizes:
Os colaboradores ou prestadores de serviços estão cientes que todo e qualquer uso dos equipamentos como copiadoras e impressoras, deve ser feito no âmbito das suas atividades profissionais. Deve-se evitar imprimir documentos contendo informações protegidas e, para todos os tipos de informação, os documentos impressos ou copiados devem ser retirados imediatamente dos equipamentos, sendo que o volume de cópias deve ser limitado à quantidade exata e necessária para cada tarefa, a fim de inviabilizar o acesso indevido à essas informações.
O colaborador ou prestador de serviços deve tomar o máximo de cuidado com o uso que faz das informações protegidas, atentando-se para não deixar anotações que contenham esse tipo de informação em lugares com acesso ao público ou pessoas não autorizadas. É proibida a transmissão e compartilhamento de informações classificadas como protegidas por qualquer meio.
Ressalva apenas os casos onde envolvem a contratação de serviços de terceiros (parceiro, fornecedor, ente externo à companhia), que justifiquem a necessidade de compartilhamento de informações protegidas, sendo necessário a aprovação expressa do Grupo RecargaPay, a assinatura dos instrumentos contratuais pertinentes ou, ainda, do Acordo de Confidencialidade (NDA).
Sempre que informações protegidas forem transmitidas por meio de comunicação verbal, o colaborador ou prestador de serviços deverá respeitar as regras dispostas abaixo, de acordo com o meio de transferência da informação:
O colaborador ou prestador de serviços é responsável pelos arquivos que recebe, envia e compartilha por meio eletrônico, através da infraestrutura tecnológica do Grupo RecargaPay, seja por meio dos equipamentos de propriedade do Grupo RecargaPay disponibilizados para o uso do colaborador ou prestador de serviços, seja por meio dos equipamentos do próprio colaborador ou prestador de serviços, ou ainda, por meio de serviços de cloud (nuvem).
Para garantir níveis mínimos de segurança da infraestrutura tecnológica do Grupo RecargaPay é vedado ao colaborador ou prestador de serviços:
Todas as informações protegidas que devam ser armazenadas em suporte físico ou digital, quando da sua guarda pelo colaborador ou prestador de serviços, devem respeitar os seguintes cuidados:
O deslocamento desses tipos de arquivos ou documentos só deve ocorrer se houver a possibilidade de recuperação ou análise dos registros para que, em caso de falhas de segurança que acarretem a perda ou o extravio, as informações permaneçam protegidas.
O descarte de um documento físico e/ou a exclusão de um arquivo digital da rede do Grupo RecargaPay que contenha informações protegidas, deverá seguir as regras de descarte:
Todos os colaboradores ou prestadores de serviços possuem perfis de acesso às informações protegidas, definidos pelo Grupo RecargaPay, de acordo com seu cargo e atribuições.
Na hipótese de o colaborador ou prestador de serviços necessitar de um acesso que não lhe esteja autorizado, deverá ser verificado e aprovado pela área de Cyber Security do Grupo RecargaPay.
O Grupo RecargaPay reserva-se o direito de revisar, a qualquer momento e sem aviso prévio, os privilégios de qualquer colaborador ou prestador de serviços, a fim de resguardar os níveis de segurança da informação do Grupo RecargaPay.
As senhas de acesso aos dispositivos e servidores do Grupo RecargaPay permitem identificar o colaborador ou prestador de serviços como o responsável pelas atividades que pratica usando a infraestrutura do Grupo RecargaPay. Por esse motivo, cada colaborador ou prestador de serviços é exclusivamente responsável por todas as suas senhas de acesso, que são pessoais, intransferíveis e de uso exclusivo. Dessa forma, o colaborador ou prestador de serviços assume integral responsabilidade pelo uso indevido por terceiros e compromete-se a mantê-las em sigilo e guardá-las em segurança, sob pena de arcar com as sanções não só previstas nesta Política, mas também as penalidades civis, criminais e trabalhistas, respondendo, inclusive, por todo e qualquer dano que causar ao Grupo RecargaPay. Sempre que existir suspeita ou, o colaborador ou prestador de serviços, verificar qualquer situação de possível comprometimento de suas senhas, este deverá imediatamente trocar a senha, bem como comunicar à área de Cyber Security do Grupo RecargaPay.
A área de Cyber Security do Grupo RecargaPay pode definir critérios específicos para a elaboração de senhas e estabelecer também prazos para trocas e mecanismos de bloqueio em caso de tentativas com erros, devendo o colaborador ou prestador de serviços observá-las integralmente.
As senhas permanecerão válidas por 3 (três) meses, sendo que após esse prazo o colaborador ou prestador de serviços receberá uma solicitação automática para alterá-las. Não é permitido, quando solicitado alteração de senha, cadastrar uma senha que já tenha sido utilizada anteriormente.
Os sistemas e equipamentos do Grupo RecargaPay possuem controle de autenticação. O objetivo da autenticação de um usuário nos sistemas digitais é impedir o acesso não autorizado em determinadas contas ou ambientes digitais. O processo de autenticação garante o acesso apenas aos usuários legítimos por meio do reconhecimento das credenciais individuais previamente registradas. A autenticação do usuário acontece quando as credenciais fornecidas correspondem ao que está armazenado.
Colaboradores ou prestadores de serviços devem classificar as informações respeitando os critérios de Restrita, Privadas ou Confidenciais e estas devem ser protegidas contra acesso não autorizado por criptografia.
O Grupo RecargaPay possui mecanismos para prevenção e detecção de falhas de segurança, que conta com ferramentas para monitoramento diário de falhas de segurança e relatórios detalhados sobre a tentativa de intrusão.
O Grupo RecargaPay adota medidas para prevenir o vazamento de informações, tanto pelos colaboradores ou prestadores de serviços, quanto por invasões externas, através de um conjunto de ferramentas tecnológicas que gera melhoria contínua na prevenção de vazamentos por invasões externas.
O Grupo RecargaPay monitora e avalia constantemente os sistemas, ambientes e serviços de tecnologia da informação para identificação de melhorias e mitigações de riscos.
O conjunto de ferramentas utilizado pelo Grupo RecargaPay realiza escaneamentos gerais, específicos, e testes de penetração personalizados para detectar vulnerabilidades.
O Grupo RecargaPay possui ferramentas de segurança nos equipamentos para a detecção e a eliminação de vírus de computadores e programas.
As ferramentas de segurança nos equipamentos são configuradas de forma que automatizam a sua proteção, além de realizar varreduras periódicas.
O Grupo RecargaPay possui mecanismos para rastreabilidade dos acessos ao seu site, aplicativo, rede e plataformas.
A Companhia armazena os logs de acessos de usuários que utilizam seu site e aplicativo e os logs de acessos de todos os colaboradores ou prestadores de serviços em seus sistemas, plataformas, ferramentas e banco de dados.
Os acessos às informações e a segmentação de rede dos ambientes tecnológicos do Grupo RecargaPay são controlados de acordo com os níveis de permissão dos colaboradores ou prestadores de serviços.
Os níveis de permissão dos colaboradores ou prestadores de serviços são revisados periodicamente para que apenas pessoas autorizadas e com os privilégios necessários para o desempenho de suas atividades tenham acesso a determinadas informações.
Para os incidentes considerados como nível alto (relevantes), onde a organização não é mais capaz de fornecer serviços essenciais a qualquer usuário e parceiros de negócios, será avaliado o dano e impacto aos clientes e serviços do Conglomerado RecargaPay, devendo respeitar todos os processos e regulamentações vigentes, considerando o processo de identificação, análise de impacto, priorização, categorização e tratamento das ações de resposta documentadas no plano.
O Grupo RecargaPay realiza, periodicamente, testes para avaliar a efetividade e a funcionalidade de seus planos e do ambiente de tecnologia. A natureza, o escopo e a frequência dos testes são determinados de acordo com a criticidade dos negócios envolvidos.
Os contratos com o Grupo RecargaPay e as prestadoras de serviços que possuem acesso às informações, aos sistemas e/ou ao ambiente do Conglomerado RecargaPay contêm cláusulas que dispõem sobre o cumprimento desta Política, legislação e normas do Banco Central aplicáveis e penalidades em caso de descumprimentos.
Os prestadores de serviços do Grupo RecargaPay também devem:
Todos os colaboradores ou prestadores de serviços, integrantes das equipes técnicas de engenharia responsáveis pelo desenvolvimento do Grupo RecargaPay, possuem diretrizes de desenvolvimento seguro. Todos os códigos de desenvolvimento devem se manter em ambientes de desenvolvimento até que sejam testados e autorizadas a homologação pelas equipes responsáveis.
Cláusulas firmando acordos de propriedade intelectual e práticas seguras de desenvolvimento serão inseridas pelo Grupo RecargaPay em todos os termos de confidencialidade firmados com os colaboradores ou prestadores de serviços.
Ao término da prestação de serviços com o Grupo RecargaPay, o seu acesso à infraestrutura tecnológica do Grupo RecargaPay será revogado de forma imediata.
O prestador de serviços deverá devolver todos e quaisquer dispositivos de propriedade do Grupo RecargaPay que estejam em sua posse, em perfeitas condições de uso, juntamente com eventuais acessórios recebidos. Em caso de não devolução do equipamento, no prazo e local determinado, o prestador de serviços será responsável por restituir os custos de tal equipamento ao Grupo RecargaPay.
A indústria de cartões de pagamento possui regras específicas de segurança da informação para situações que envolvam o processamento de pagamentos ou a transmissão de dados pessoais relacionados a estes. Nesse sentido, a Payment Card Industry (PCI) estabelece padrões mínimos de segurança que são considerados adequados por esse setor, para que as empresas operadoras de cartão de crédito possam contratar com empresas que forneçam tecnologia para pagamento, que é o caso do Grupo RecargaPay. O Grupo RecargaPay possui a certificação do PCI DSS v3.2.1, que comprova que possui padrões adequados de segurança da informação.
Os prestadores de serviços do Grupo RecargaPay que trabalharem utilizando os sistemas relacionados ao PCI estão sujeitos às regras de padrões de segurança previstos no PCI DSS v.3.2.1. Em caso de dúvidas ou caso o prestador de serviços note alguma desconformidade com os deveres e padrões indicados pelo PCI, este deve informar imediatamente a área de Cyber Security do Grupo RecargaPay, para que esta possa tomar em tempo hábil as providências adequadas.
O Grupo RecargaPay promove periodicamente a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos por meio dos canais digitais existentes da marca, tais como mídias digitais e também através de notificações diretamente em seu aplicativo.