| Versão | Data | Elaboração | Revisão | Modificações |
|---|---|---|---|---|
| 1 | 12/2023 | Segurança Cibernética (DPO e Red Team) | Compliance | Versão inicial |
| 2 | 02/2025 | Cyber Security | Compliance | Ajustes no item Termos e Abreviações; Ajustes dos itens: 4.8; 4.9; 4.10; 6.5 |
Política deverá ser revista e atualizada ao menos anualmente, com vistas a se manter em sintonia com as regras de negócio, com as melhores práticas do mercado, leis, regulamentos e demais aspectos.
| Termos | Definições |
|---|---|
| Incidente de Segurança da Informação | É um evento de segurança ou um conjunto deles, causado por indesejados ou inesperados incidentes, que têm uma significativa probabilidade de comprometer a operação da Companhia e ameaçando a segurança dos dados e informações do Grupo RecargaPay, de seus parceiros, clientes e colaboradores. |
| Informação | Todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. |
| Integridade | Garantir a salvaguarda da exatidão e completeza da informação e dos métodos de processamento. |
| Conglomerado RecargaPay | RecargaPay Instituição de Pagamentos Ltda., inscrita no CNPJ sob nº 11.275.560/0001-75, RP Financeira S.A., inscrita no CNPJ sob o n˚ 44.431.743/0001-91 e qualquer outra empresa autorizada que componha o Conglomerado Prudencial da RecargaPay. |
| Grupo RecargaPay | Conglomerado RecargaPay e suas subsidiárias, afiliadas, controladas ou demais empresas do grupo econômico, incluindo RP DEV LTDA., inscrita no CNPJ sob nº 56.148.867/0001-43. |
| Prestadores de Serviços | Qualquer pessoa física ou jurídica que preste serviços para o Grupo RecargaPay ou que estabeleçam relação comercial de parceria com a mesma. |
| Proprietário de ativos de informação | Pode ser qualquer pessoa de uma determinada área ou projeto, o qual será o responsável pela manutenção, revisão e cancelamento de autorização à determinada informação ou conjunto de informações pertencentes ao Grupo RecargaPay ou sob sua guarda. |
| Segurança da informação | É a preservação do sigilo, a integridade e a disponibilidade de informações. |
| Usuário | Todo colaborador interno ou externo, que contribui para a execução de atividades dentro da companhia, seja ele, funcionário, estagiário, aprendiz, consultor, ou prestador de serviços (terceirizado) e que tenha acesso aos recursos tecnológicos disponibilizados pelo Grupo RecargaPay. |
| Colaboradores | Sócios, administradores e empregados das empresas do Grupo RecargaPay. |
| RecargaPay | Trata-se da marca "RecargaPay", da aplicação disponível para download nas lojas de aplicativos “App Store”, da Apple Inc., e “Google Play”, da Google LLC e no site https://recargapay.com.br. |
A Política Interna de Divulgação Responsável de Segurança tem o objetivo estabelecer diretrizes claras e transparentes para a divulgação de vulnerabilidades de segurança e informações relacionadas, garantindo a segurança cibernética do Grupo RecargaPay e de terceiros.
A Política Interna de Divulgação Responsável deverá ser cumprida por todos os colaboradores da área de Segurança Cibernética e demais áreas envolvidas no tema, bem como, observada pelos demais colaboradores e prestadores de serviço do Grupo RecargaPay, independentemente de estarem na estrutura física ou em ambiente remoto.
O rol abaixo consiste na base normativa que não é exaustiva, mas referência as normas internas e legislações aplicáveis que fundamentam a presente Política:
O Grupo RecargaPay acredita que permitir que a comunidade de segurança trabalhe encontrando vulnerabilidades em nossos sistemas, de forma organizada e legal, nos auxiliará a manter nossos negócios e clientes mais seguros.
As vulnerabilidades não devem ser divulgadas publicamente até que a Companhia tenha tido a oportunidade de avaliar, mitigar e resolver o problema. Isso evita possíveis danos antes que as contramedidas sejam implementadas.
A divulgação pública de vulnerabilidades ocorrerá após a resolução total do problema e a implementação das correções necessárias. A data de divulgação será coordenada entre as partes envolvidas.
O Grupo RecargaPay encoraja a divulgação responsável de vulnerabilidades de segurança por parte de pesquisadores de segurança externos. Valorizamos a contribuição da comunidade de segurança para melhorar nossos sistemas e produtos.
Sempre que possível, fornecedores e pesquisadores de segurança são incentivados a relatar vulnerabilidades à nossa equipe de segurança de maneira privada e confidencial, permitindo que medidas corretivas sejam tomadas antes da divulgação pública.
O Grupo RecargaPay se compromete a avaliar todas as vulnerabilidades reportadas de forma oportuna e a tomar as medidas necessárias para mitigar os riscos associados. O tempo estimado de resposta será comunicado aos envolvidos no momento da confirmação da vulnerabilidade.
Os pesquisadores de segurança que reportarem vulnerabilidades de maneira responsável serão reconhecidos e creditados, a menos que expressem o desejo de permanecer anônimos. As formas de reconhecimento serão definidas em conjunto com o pesquisador, sendo necessária a aprovação interna das condições alinhadas pela área responsável.
A comunicação transparente e eficaz com os pesquisadores de segurança envolvidos durante todo o processo de identificação, mitigação e resolução de vulnerabilidades.
O Grupo RecargaPay permite apenas testes em produção. Para realizar testes em ambiente de produção de forma autenticada, é necessário que você crie uma conta informando diversos dados pessoais como qualquer outro cliente:
I. Em caso de localização de falha no sistema de cadastro e validação de dados conhecido como onboarding, os dados da conta criada devem ser informados imediatamente no e-mail: cyber_responsible_disclosure@recargapay.com;
II. As contas de testes são exclusivas de uso interno. No caso das externas, os dados das contas devem ser reais; e
III. Não oferecemos contas categorizadas como de testes.
I. Em caso de vulnerabilidade que modifique uma informação ou parte do sistema que não deveria ser modificada, o pesquisador de segurança deve retornar os valores originais após retirar suas evidências e imediatamente informar à companhia pelo e-mail: cyber_responsible_disclosure@recargapay.com para que possamos verificar a prioridade e tratá-la;
II. Dados do Grupo RecargaPay não devem ser vazados, adulterados ou destruídos; e
III. Usuários e o Grupo RecargaPay não devem ser defraudados em nenhuma hipótese, seja por ação ou permissividade na transação fraudulenta.
I. Contas de usuários comprometidas não devem ser utilizadas para transações financeiras (transferências de dinheiro, negociações de ações, etc);
II. O teste deverá ser interrompido imediatamente caso detecte lentidão ou indisponibilidade em nossos sistemas. O pesquisador de segurança deverá enviar um e-mail para cyber_responsible_disclosure@recargapay.com informando sobre a lentidão ou indisponibilidade e aguardar nosso retorno antes de continuar os seus testes;
III. Devem ser evitadas violações de privacidade, destruição, exclusão de dados, interrupção ou degradação de nosso serviço. O pesquisador deve apenas interagir com as contas que possui ou com a permissão explícita do titular da conta;
IV. Não se deve abusar da vulnerabilidade encontrada como, por exemplo, baixando os dados comprometidos, mesmo que seja para demonstrar o problema. As evidências das explorações devem constar apenas no documento de comunicação com a RecargaPay, devendo qualquer informação acessada ser descartada imediatamente;
V. Ataques à nossa segurança física, engenharia social, ataques de negação de serviço (DDoS), spam, phishing, vishing, smishing ou aplicativos/APIs de terceiros não devem ser realizados;
VI. Testes não devem ser realizados em nenhum de nossos parceiros (bancos, empresas de cartão de crédito, empresas de crédito, etc.);
VII. Informações suficientes devem ser fornecidas para que a Companhia possa reproduzir a falha e assim corrigi-la o mais rápido possível. Normalmente, o endereço IP ou URL/Path/Parâmetros do sistema afetado, uma descrição da vulnerabilidade em formato de passo a passo com evidências são suficientes, mas vulnerabilidades mais complexas podem necessitar de mais informações;
VIII. Backdoors para comprovar uma vulnerabilidade não devem ser utilizados;
IX. Informações confidenciais como printscreen, relatórios e documentos obtidos depois de evidenciar a vulnerabilidade devem ser apagadas de forma definitiva; e
X. Em caso de detecção de ocorrência de tentativas de realização de operações fraudulentas, o reporte deve ser feito pelo link: http://recargapay.com.br/contato.
É proibido compartilhar as vulnerabilidades encontradas no ambiente da RecargaPay. O report é tratado de forma confidencial e não compartilharemos suas informações pessoais com terceiros sem sua permissão, a menos que seja necessário cumprir uma obrigação legal.
A divulgação de vulnerabilidades deve incluir detalhes suficientes para permitir à equipe de segurança entender e replicar o problema. Isso pode incluir descrição, evidências, contexto e etapas para reprodução.
Delimitação de domínios, subdomínios, aplicativos e outros.
| Escopo | Tipo |
|---|---|
| api.recarga.com/* | API |
| secure.recarga.com/* | API |
| *.recargapay.com/ | Web |
| *.recargapay.com.br/* | Web |
| App mobile Android: https://play.google.com/store/apps/details?id=com.recarga.recarga | Mobile |
| App mobile Ios: https://itunes.apple.com/us/app/recharge-bill-payment-wallet/id815221913 | Mobile |
No processo de divulgação responsável temos responsabilidades distribuídas para as áreas,
conforme descrição abaixo:
I. Devem seguir os princípios de divulgação responsável;
II. Relatar vulnerabilidades de maneira privada; e
III. Colaborar com a equipe de segurança durante o processo de resolução.
I. Deve avaliar e responder a relatórios de vulnerabilidades de forma oportuna;
II. Coordenar a mitigação e a resolução das vulnerabilidades; e
III. Garantir a comunicação eficaz com os pesquisadores de segurança.
I. Deve apoiar a implementação e o cumprimento desta Política;
II. Alocar recursos necessários para a resolução de vulnerabilidades; e
III. Garantir que a cultura de segurança seja promovida em toda a organização.
Todos os colaboradores ou prestadores de serviços possuem perfis de acesso às informações protegidas, definidos pelo Grupo RecargaPay, de acordo com seu cargo e atribuições.
Identificado uma vulnerabilidade de segurança em qualquer produto RecargaPay, informar imediatamente de acordo com as diretrizes dispostas no item 5.
Os pesquisadores de segurança, grupos do setor, fornecedores e outros usuários que não têm acesso ao suporte técnico devem enviar relatórios de vulnerabilidade diretamente ao Grupo RecargaPay pelo e-mail cyber_responsible_disclosure@recargapay.com. A identificação oportuna de vulnerabilidades de segurança é fundamental para mitigar riscos potenciais para nossos usuários.
Os usuários e parceiros de produtos do Grupo RecargaPay devem entrar em contato com suas respectivas equipes de suporte técnico para relatar quaisquer problemas de segurança descobertos nos produtos do Grupo RecargaPay. A equipe de suporte técnico, a equipe de produto apropriada e o Grupo RecargaPay trabalharão juntos para resolver o problema relatado e fornecer aos clientes as próximas etapas.
Ao relatar uma possível vulnerabilidade, inclua o máximo possível das informações para ajudar a entender melhor a natureza e o escopo do problema relatado:
I. Informações do ambiente ou do sistema sob as quais o problema foi reproduzido (por exemplo: endpoint, método utilizado, request completa e etc.);
II. Tipo e/ou classe de vulnerabilidade e qual o CVE associado;
III. Instruções passo a passo para reproduzir a vulnerabilidade;
IV. Prova de conceito ou código de exploração; e
V. Impacto potencial da vulnerabilidade.
O Grupo RecargaPay preza por um bom relacionamento com os pesquisadores de segurança e, com a concordância deles, pode reconhecer o pesquisador por encontrar uma vulnerabilidade de produto válida e relatar o problema em particular. Em contrapartida, solicitamos que os pesquisadores nos dêem a oportunidade de corrigir a vulnerabilidade antes de divulgá-la publicamente. O Grupo RecargaPay acredita que coordenar a divulgação pública de uma vulnerabilidade é fundamental para proteger nossos usuários.
De acordo com esta Política, todas as informações divulgadas sobre vulnerabilidades devem permanecer entre o Grupo RecargaPay e a parte que relata — se as informações ainda não forem de conhecimento público — até que uma solução esteja disponível e as atividades de divulgação sejam coordenadas.
Depois de investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar a solução apropriada para produtos com suporte ativo do Grupo RecargaPay. Um recurso pode assumir uma ou mais das seguintes formas:
I. Devem haver instruções e o que mais for necessário para mitigar a vulnerabilidade; e
II. Deve ser realizada a publicação de procedimento corretivo ou solução alternativa pelo Grupo RecargaPay para instruir os usuários sobre como proceder para eliminar a vulnerabilidade.
O Grupo RecargaPay deve proceder com todos os esforços para fornecer o remédio ou ação corretiva no menor tempo razoável. Os prazos de resposta dependem de muitos fatores, como gravidade, impacto, complexidade do remédio, componente afetado (por exemplo, algumas atualizações exigem ciclos de validação mais longos ou só podem ser atualizadas em uma versão principal) e status das operações comerciais, entre outros.
O Grupo RecargaPay atualmente usa a pontuação CVSS do MITRE para classificar as vulnerabilidades. Muitos fatores, incluindo o nível de esforço necessário para explorar uma vulnerabilidade, bem como o impacto potencial nos dados ou nas atividades de negócios de uma exploração bem-sucedida, são levados em consideração.
O impacto geral de um comunicado de segurança é uma representação textual da gravidade (isto é, critica, alta, média e baixa) que segue a Escala de Classificação de Gravidade Qualitativa de Gravidade CVSS para a Pontuação Base CVSS mais alta de todas as vulnerabilidades identificadas.
Quando e onde aplicável, o Grupo RecargaPay fornecerá um impacto geral para o comunicado e para cada vulnerabilidade identificada a pontuação básica do CVSS v3.1 e o vetor CVSS v3.1 correspondente.
O Grupo RecargaPay recomenda que todos os usuários levem em consideração a pontuação básica e quaisquer métricas temporais e/ou ambientais que possam ser relevantes para seu ambiente para avaliar seu risco geral.
Normalmente, se aplicável, as soluções são comunicadas aos usuários por meio do e-mail: cyber_responsible_disclosure@recargapay.com. Para proteger nossos usuários, o Grupo RecargaPay se esforça para lançar um comunicado de segurança assim que a solução para os produtos afetados estiver disponível.
O Grupo RecargaPay pode lançar avisos de segurança mais cedo para responder adequadamente a divulgações públicas ou vulnerabilidades amplamente conhecidas nos componentes usados em nossos produtos.
O informe sobre o tratamento das vulnerabilidades reportadas depende de informações solicitadas pela Companhia, como nome, e-mail e, se necessário, telefone, com a exceção de registros anônimos, em que a identidade será preservada.
As informações de contato serão usadas apenas para mantê-lo informado sobre o processo de divulgação de vulnerabilidades e não serão repassadas a terceiros sem sua permissão explícita, em compartilhando seu PII (Personally Identifiable Information, Informação Pessoal Identificável, em tradução livre) com terceiros; e compartilhar sua pesquisa sem permissão.
Ao se submeter às regras dessa Política, deve-se concordar em não divulgar publicamente descobertas ou o conteúdo da vulnerabilidade encontrada em terceiros, sem o expresso consentimento do Grupo RecargaPay.