| Versão | Data | Elaboração | Revisão | Modificações |
|---|---|---|---|---|
| 1 | 10/2024 | Continuidade de Negócio | Compliance | Versão inicial |
Esta Política deverá ser revista e atualizada ao menos anualmente, com vistas a se manter em sintonia com as regras de negócio, com as melhores práticas do mercado, leis, regulamentos e demais aspectos.
| Termos | Definições |
|---|---|
| Análise de Impacto no Negócio | Análise dos processos de negócio, incluindo todos os recursos necessários, com o objetivo de compreender os impactos qualitativos e quantitativos em caso de interrupção dos mesmos, proporcionando uma visão executiva sobre os processos mais críticos, sendo insumo para o estabelecimento de objetivos de recuperação e priorização das ações. |
| Ativo | Bens da empresa que tem valor econômico, incluída a informação e todo o recurso utilizado para o seu tratamento, tráfego e armazenamento. |
| BIA | Business Impact Analysis - Avaliação de impacto no negócio, considerando todas áreas, processos e prestadores de serviços críticos. |
| BCB | Banco Central do Brasil é uma autarquia federal integrante do Sistema Financeiro Nacional e uma das principais autoridades monetárias do país. |
| Clientes | Pessoa física que utiliza os serviços ou acessa o site ou aplicativo e tenha estabelecido um relacionamento com a RecargaPay (por exemplo, ao abrir uma conta e concordar com o contrato do usuário da RecargaPay) ou de outra forma usa os serviços como comprador, vendedor ou outro tipo de participante de uma transação. |
| Colaboradores | Sócios, administradores e empregados das empresas do Conglomerado RecargaPay. |
| Confidencialidade | Garantir que a informação não esteja revelada ou esteja disponível para indivíduos, entidades e processos não autorizados. |
| Conglomerado RecargaPay ou "RecargaPay" | RecargaPay Instituição de Pagamentos Ltda., inscrita no CNPJ sob nº 11.275.560/0001-75, RP Sociedade de Crédito S/A, inscrita no CNPJ sob o n˚ 44.431.743/0001-91 e qualquer outra empresa autorizada que componha o Conglomerado Prudencial da RecargaPay. |
| Grupo RecargaPay | RecargaPay e suas subsidiárias, afiliadas, controladas ou demais empresas do grupo econômico. |
| GCN | Gestão da Continuidade de Negócios. |
| Continuidade de Negócios | Capacidade da organização em continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. |
| Incidente | Único ou uma série de eventos indesejados ou inesperados, que têm probabilidade significativa de comprometer as operações e a segurança das informações. |
| Informação | Todo e qualquer conteúdo ou dado que tenha valor para a organização, restrito ou disponível ao público. |
| Plano de Continuidade de Negócios | Processos e procedimentos documentados que fornecem a orientação sobre como a organização deve responder, recuperar, retomar e restaurar a um nível pré-definido suas operações após qualquer incidente que provoque a interrupção das atividades. |
| Prestadores de Serviços | Qualquer pessoa física ou jurídica que preste serviços para o Grupo RecargaPay ou que estabeleçam relação comercial de parceria com a mesma. |
| Recovery Point Objective (RPO) | Mensuração do nível de tolerância em relação a perda de informação, em caso de parada nas operações. |
| Recovery Time Objective (RTO) | Mensuração do tempo em que as operações devem levar para voltar ao normal após uma parada. |
| Usuário | Todo colaborador interno ou externo, que contribui para a execução de atividades dentro da companhia, ou prestador de serviços que tenha acesso aos recursos tecnológicos disponibilizados pelo Conglomerado RecargaPay. |
Esta Política tem por objetivo estabelecer a sustentabilidade dos negócios do Conglomerado RecargaPay e proteger a sua reputação. A partir dos conceitos, princípios e diretrizes estabelecidos nesta Política, a RecargaPay fortalece suas estruturas de gerenciamento de riscos e sua governança corporativa de continuidade de negócios buscando assegurar o nível adequado de estabilidade organizacional, oferecendo maior segurança aos seus stakeholders.
A Política Externa de Gestão de Continuidade de Negócios deverá ser cumprida por todos os colaboradores e prestadores de serviços do Grupo RecargaPay, independentemente de estarem na estrutura física ou em ambiente remoto (home office).
São diretrizes de continuidade de negócios:
Fica convencionado que é de responsabilidade da área de Business Continuity, pertencente à estrutura de Cyber Security, a Gestão da Continuidade de Negócios do Conglomerado RecargaPay.
A Política Externa de Gestão de Continuidade de Negócios tem caráter estratégico para as áreas cujos processos de negócio são considerados críticos e que se forem interrompidos, ocasionam impactos relevantes para a organização.
O programa de GCN deve ser composto pelas seguintes etapas:
6.1.Planejamento
Esta etapa é realizada com o objetivo de estabelecer o planejamento anual do ciclo operacional de GCN, incluindo atividades e a atuação das áreas de negócio.
6.2.Análise de Impactos no Negócio (*BIA)
A etapa de Análise de Impacto nos Negócios (BIA) é a avaliação do impacto sobre o negócio em caso de eventos significativos que podem afetar as operações e a prestação de serviços.
O BIA trata principalmente da análise dos processos/produtos da RecargaPay e a identificação das atividades críticas que suportam estes serviços, considerando impactos diante de uma paralisação (perdas financeiras, impacto negativo na imagem, transtorno operacional e impacto legal, tempos de recuperação (RTO e RPO) e requisitos que suportam os produtos e serviços.
6.3.Análise de Riscos de Continuidade
Essa análise é realizada com o objetivo de identificar os riscos e/ou vulnerabilidades as quais o Conglomerado RecargaPay esteja exposto ou que possam propiciar ou materializar eventos que paralisem parcialmente ou por completo as operações.
6.4.Estratégia de Continuidade
A estratégia para implantação do Plano de Continuidade para as áreas de negócios se baseia no resultado da Análise de Impactos no Negócio (BIA) juntamente com as análises dos Riscos de Continuidade, que norteia a seleção da estratégia de continuidade, em função dos requisitos dos produtos/processos e do custo e viabilidade das alternativas disponíveis.
6.5.Planos
Os planos são desenvolvidos para auxiliar a retomada das operações à normalidade após uma descontinuidade, devido a interrupções parciais ou totais. Estes planos estão estruturados da seguinte forma:
6.5.1.Plano de Gerenciamento de Crise – PGC
É o plano que descreve os processos/procedimentos que uma organização usará para responder a uma situação crítica que afetaria negativamente sua reputação, lucratividade ou capacidade de operar. Este plano é suportado por vários outros planos, de forma alinhada e escalonada, entre eles: Plano de Comunicação na Crise (PCom), Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD) e outros documentos que podem variar de acordo com o tipo de negócio.
6.5.2.Plano de Comunicação na Crise – PCom
Plano contendo as diretrizes de Comunicação durante uma Crise, que abrange desde como será comunicado o evento não programado, a quem e como gerenciar os impactos no mercado e na mídia. O objetivo por meio de uma comunicação adequada é transparecer confiança, estabilidade, alta disponibilidade e controle sobre a situação de crise.
6.5.3.Plano de Continuidade Operacional – PCO
Plano contendo procedimentos previamente definidos, destinados a manter a continuidade dos processos e produtos críticos do Conglomerado RecargaPay. Por meio do PCO, os Gestores dos processos de negócios saberão como agir na falta e/ou falha de algum componente, garantindo a continuidade do processo e reduzindo o impacto nas operações.
6.5.4.Plano de Recuperação de Desastre – PRD
Plano contendo procedimentos detalhados para a recuperação de ativos de TI que suportam os produtos/processos críticos do Conglomerado RecargaPay.
6.6.Treinamento
Os treinamentos de técnicos e usuários envolvidos com os planos de continuidade de negócios serão ministrados pela área de Business Continuity, que fica na estrutura de Cyber Security, conforme programação contida no planejamento anual da área.
6.7.Teste
O Conglomerado RecargaPay realiza, periodicamente, testes para avaliar a efetividade e a funcionalidade de seus planos e do ambiente de tecnologia. A natureza, o escopo e a frequência dos testes são determinados de acordo com a criticidade dos negócios envolvidos. Durante a realização de um teste, para cada procedimento avaliado, deverá ser preenchido um Formulário de Acompanhamento de Testes contendo os resultados identificados.
6.8.Conscientização
A área de Business Continuity, que fica na estrutura de Cyber Security, é responsável por desenvolver e manter um programa de conscientização em continuidade de negócios para os colaboradores por meio de comunicações internas, informativos e outros meios de comunicação disponibilizados pelo Conglomerado RecargaPay.
7.1.Diretoria Executiva
Avaliar a relação custo-benefício do Plano de Continuidade de Negócios, aprovar a Política Corporativa e suas alterações, aprovar estratégias de continuidade, prover recursos, comprometer-se com a melhoria contínua do GCN, avaliar decisões da Comissão de Continuidade de Negócios, definir alçadas decisórias e instituir o processo de aculturamento sobre GCN na organização.
7.2.Comissão de Gerenciamento de Crises
Acompanhar e avaliar os resultados dos testes de continuidade de negócios desenvolvidos no Conglomerado RecargaPay.
7.3.Head de Cyber Security
Propor o planejamento e a alocação de recursos financeiros, humanos e tecnológicos para a Continuidade de Negócios, supervisionar o desenvolvimento e a implementação da estrutura de GCN, e garantir que todos os processos críticos sejam mapeados para identificação, avaliação, mitigação, controle e reporte de riscos.
7.4.Diretor Responsável
Assegurar recursos suficientes para as atividades de GCN, aprovar o Plano de Continuidade de Negócios, tomar decisões estratégicas em cenários de contingência, apoiar os C-Levels no processo decisório e garantir a disseminação da cultura de GCN em toda a organização.
7.5.Cyber Security
Proteger informações contra ameaças e vulnerabilidades, garantir a disponibilidade de dados por meio de backups, gerenciar prestadores de serviços com acesso a informações e conduzir a gestão de incidentes de segurança da informação, incluindo investigações e comunicação dos eventos.
7.5.1.Business Continuity
Controlar a elaboração, desenvolvimento, implementação e manutenção da BIA e dos planos da GCN junto com as áreas, disseminar conhecimento e assessorar a implementação de procedimentos de controle e processos que garantam a aderência às políticas e regulamentações de GCN, recomendar ações para o aperfeiçoamento da GCN, buscando alinhamento às boas práticas existentes, acompanhar e emitir parecer sobre os testes de continuidade realizados e planejar a execução de testes de continuidade, conduzindo o processo e implementando melhorias para correção e aprimoramento da GCN.
7.6.Gestores de Produtos/Processos
Elaborar e manter atualizado o Plano de Continuidade de Negócios para produtos/processos críticos, garantir a participação da equipe nos processos de GCN, auxiliar na análise de impactos, coordenar a execução de Planos de Contingência, reportar incidentes à área de Business Continuity, monitorar a continuidade de serviços de terceiros, cumprir diretrizes e procedimentos dispostas pelo Grupo RecargaPay, e participar ativamente de testes e planejamentos quando solicitado.