1. OBJETIVO
O objetivo desta norma é fornecer as diretrizes do processo de gestão de riscos de Ativos de Informação da Organização para a identificação, análise, tratamento e monitoramento dos riscos associados aos ativos da informação da Paymnt, alinhadas à ISO/IEC 27001, LGPD e às exigências do Banco Central do Brasil (Bacen) para o arranjo Pix. Esta norma cobre, de forma segregada e auditável, o ambiente Pix indireto operado sobre infraestrutura do PSP e o ambiente de Analytics, garantindo confidencialidade, integridade e disponibilidade em nuvem.
1.1 PRINCÍPIOS
- A gestão de riscos deve ser contínua, dinâmica e adaptável ao cenário tecnológico e regulatório.
- A análise de risco deve contemplar riscos técnicos, operacionais, contratuais e regulatórios.
- Todo risco deve ser classificado, tratado ou aceito formalmente, com registro rastreável
2. ABRANGÊNCIA
Este documento aplica-se a área de Segurança da Informação orientando e fornecendo diretrizes para a Gestão da Segurança da Informação (GSI) da Paymnt bem como aos ativos de informação sob a sua responsabilidade.
Aplica-se a todos os ativos de informação sob responsabilidade da Paymnt, incluindo:
- Ambiente Pix (produção)
- Ambiente Analytics (insights)
- Portal Paymnt
- Dispositivos corporativos e BYOD autorizados (conforme PLT-002) com MDM, MFA e criptografia.
A Paymnt representa as informações processados em sistemas de sua propriedade e/ou sob sua utilização.
3. PAPEIS E RESPONSABILIDADES
3.1. Gestores
Os gestores são responsáveis pelo cumprimento das diretrizes desta norma por seus colaboradores.
Identificar processos que requerem DPIAs e assegurar a sua execução adequada.
3.2. Segurança da Informação (SI)
Área responsável por:
- Definir os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos de ativos da informação;
- Monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;
- Dar suporte a identificação, análise e avaliação dos riscos dos processos organizacionais selecionados para a implementação da Gestão de Riscos;
- Medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;
- Requisitar aos responsáveis pelo gerenciamento de riscos dos processos organizacionais as informações necessárias para a consolidação dos dados e a elaboração dos relatórios gerenciais.
- Identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define as normas da Organização;
- Propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;
- Disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade a todos os níveis e demais partes interessadas.
3.3. Data Protection Office (DPO)
Supervisionar e garantir conformidade com a LGPD
4. TERMOS E DEFINIÇÕES
Consultar o MNL-001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais.
5. DIRETRIZES DA GESTÃO DE RISCOS
A análise de riscos em ativos da informação tem como objetivo levantar todo e qualquer componente que sustente um ou mais processos ou área de negócio. Esses componentes/informações podem ser pessoas, processo ou tecnologia denominados ativos de informação.
Todo ativo de informação possui ameaças que podem ser exploradas através de vulnerabilidades que devem ser controladas até um nível aceitável definido pela corporação.
A metodologia adotada para a realização da análise de riscos da Organização, é realizada conforme o processo macro descrito abaixo com alguns subprocessos detalhando a identificação de ativos, identificação de ameaças, identificação de vulnerabilidades e execução do plano de tratamento de riscos.
5.1. Avaliação de Riscos
Uma avaliação de risco deve ser realizada anualmente ou após quaisquer alterações significativas no ambiente da organização. A equipe de Segurança da Informação é responsável pelo processo de avaliação de risco utilizando desta metodologia da Paymnt para identificar, monitorar e mitigar os riscos do ambiente.
A avaliação de risco é feita também quotidianamente pela equipe de TI/SI e Desenvolvimento de Sistemas da Paymnt em parceria com a área de SI, como parte do monitoramento diário.
O serviço de gestão de risco do provedor também é essencial para a avaliação de riscos.
Os eventos coletados pelo provedor em nuvem devem ser correlacionados ao mecanismo de análise de segurança para fornecer alertas de detecção de ameaças e recomendações (tarefas de proteção) sob medida para a Paymnt.
Riscos relacionados a ambientes em nuvem devem considerar dependência de terceiros, falhas em serviços como Cloudflare, AWS Lambda, e APIs externas.
A política de BYOD deve ser incorporada à análise de risco, com foco em vazamento de dados, perda de dispositivos e ausência de controle de rede.
5.2. Metodologia de gestão de riscos
A Metodologia de Gestão de Riscos da Paymnt objetiva estabelecer e estruturar as etapas necessárias para a operacionalização da Gestão de Riscos na Organização, por meio da definição de um processo de gerenciamento de riscos contendo, no mínimo, as seguintes etapas:
- Entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;
- Identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;
- Análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
- Avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
- Priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa anterior;
- Definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite a riscos (grau de exposição a perdas estabelecido como parâmetro de comparação entre os riscos em consonância com os objetivos almejados) dos processos organizacionais, além da escolha das medidas de controle associadas a essas respostas;
- Comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento dos riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria Gestão de Riscos, com vistas a sua melhoria.
5.3. Avaliação dos Riscos
Nesta etapa, são calculados os níveis dos riscos identificados pela equipe técnica designada, a partir de critérios de probabilidade e impacto.
- Registro da matriz de riscos atualizada.
- Formulários de avaliação de risco por ativo ou projeto.
- Planos de tratamento com responsáveis e prazos.
- Termo de aceite de risco assinado quando aplicável.
- Logs de revisão e reavaliação.
5.3.1. Atribuir Valores de Probabilidade
| Rating | Probabilidade | Descrição da probabilidade, desconsiderando os controles |
|---|---|---|
| 1 | Muito baixa | Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas nada nas circunstâncias indica essa possibilidade. |
| 2 | Baixa | Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as circunstâncias pouco indicam essa possibilidade. |
| 3 | Média | Possível. De alguma forma, o evento poderá ocorrer, pois as circunstâncias indicam moderadamente essa possibilidade. |
| 4 | Alta | Provável. De forma até esperada, o evento poderá ocorrer, pois as circunstâncias indicam fortemente essa possibilidade. |
| 5 | Muito alta | Praticamente certa. De forma inequívoca, o evento ocorrerá, as circunstâncias indicam claramente essa possibilidade. |
5.3.2. Atribuir valores de impacto
| Rating | Impacto | Descrição do impacto nos objetivos, caso o evento ocorra |
|---|---|---|
| 1 | Muito baixo | Mínimo impacto nos objetivos (estratégicos, operacionais, de informação/comunicação/ divulgação ou de conformidade). |
| 2 | Baixo | Pequeno impacto nos objetivos (idem). |
| 3 | Médio | Moderado impacto nos objetivos (idem), porém recuperável. |
| 4 | Alto | Significativo impacto nos objetivos (idem), de difícil reversão. |
| 5 | Muito Alto | Catastrófico impacto nos objetivos (idem), de forma irreversível. |
5.3.3. Cálculo do nível de risco
A multiplicação entre os valores de probabilidade e impacto define o nível do risco inerente, ou seja, o nível ou a classificação do risco, podendo ou não considerar controle(s) que reduze(m) ou pode(m) reduzir a probabilidade da sua ocorrência ou do seu impacto.
RI = P x I
em que:
RI = nível do risco inerente
P = nível de probabilidade do risco
I = nível de impacto do risco
A partir do resultado do cálculo, o risco pode ser classificado dentro das seguintes faixas:
| Classificação | Faixa | Ação necessária | Exceção |
|---|---|---|---|
| Risco Baixo RB | 1 a 4 | Nível dentro do apetite a risco, mas é possível que existam oportunidades de maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando a relação custo x benefício, como diminuir o nível de controles. | Caso o risco seja priorizado para implementação de medidas de tratamento, essa priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Médio RM | 5 a 10 | Nível dentro do apetite a risco. Geralmente nenhuma medida especial é necessária, porém requer atividades de monitoramento específicas e atenção da unidade na manutenção de respostas e controles para manter o risco nesse nível, ou reduzi-lo sem custos adicionais. | Caso o risco seja priorizado para implementação de medidas de tratamento, essa priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Alto RA | 11 a 16 | Nível além do apetite a risco. Qualquer risco nesse nível deve ser comunicado ao dirigente máximo da unidade e ter uma ação tomada em período determinado. Postergação de medidas só com autorização do dirigente máximo da unidade. | Caso o risco não seja priorizado para implementação de medidas de tratamento, a não priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Extremo RE | 17 a 25 | Nível muito além do apetite a risco. Qualquer risco nesse nível deve ser objeto de Avaliação Estratégica. | Caso o risco não seja priorizado para implementação de medidas de tratamento, a não priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo e pelo Comitê de Gestão Estratégica. |
Para melhor apresentar o nível do risco, a fórmula acima é aplicada para gerar uma matriz do nível do risco que vai de 1 (Menor Risco) até 25 (Maior Risco)
| Impacto | |||||
|---|---|---|---|---|---|
| 5 | RM 5 | RM 10 | RA 15 | RE 20 | RE 25 |
| 4 | RB 4 | RM 8 | RA 12 | RA 16 | RE 20 |
| 3 | RB 3 | RM 6 | RM 9 | RA 12 | RA 15 |
| 2 | RB 2 | RB 4 | RM 6 | RM 8 | RM 10 |
| 1 | RB 1 | RB 2 | RB 3 | RB 4 | RM 5 |
| Probabilidade | 1 | 2 | 3 | 4 | 5 |
5.3.4. Definir o Nível Aceitável do Risco
| Risco | Cor | Decisão |
|---|---|---|
| 1 a 4 | Verde | Risco aceitável. |
| 5 a 10 | Amarelo | Risco aceitável, porém, com recomendações de revisão dos controles para atingir a escala de 01 a 04 (Verde) |
| 11 a 16 | Laranja | Risco alto com necessidade de tratamento até atingir no mínimo a escala de 05 a 10 (Amarelo) |
| 17 a 25 | Vermelho | Risco altíssimo com necessidade urgente de tratamento até atingir no mínimo a escala de 11 a 16 (Laranja) |
5.3.5. Definir Responsáveis pela Implantação
Após os controles aplicados serem definidos um responsável pela implantação de cada controle será determinado. O responsável terá o apoio da alta direção para que o controle seja aplicado conforme planejado.
5.3.6. Custos da Implantação dos Controles
Os custos dos controles aplicados devem ser administrados pelo responsável pela implementação. Caso os custos estejam fora da alçada do gestor de Segurança da Informação, um fluxo de aprovação deve ser iniciado. Esse fluxo deve seguir até que uma decisão seja tomada e um plano de ação seja definido.
5.3.7. Definir e Executar o Plano de Ação
Deve ser definido um plano de ação para cada controle aplicado. O plano de ação determinará como os riscos serão tratados conforme ações abaixo:
| Opção de Tratamento | Descrição |
|---|---|
| Mitigar | Um risco normalmente é mitigado quando é classificado como “Alto” ou “Extremo”. A implementação de controles, neste caso, apresenta um custo/benefício adequado. Na Organização, mitigar o risco significa implementar controles que possam diminuir as causas ou as consequências dos riscos, identificadas na etapa de Identificação e Análise de Riscos. |
| Transferir / Compartilhar | Um risco normalmente é compartilhado quando é classificado como “Alto” ou “Extremo”, mas a implementação de controles não apresenta um custo/benefício adequado. Na Organização, pode-se compartilhar o risco por meio de terceirização ou apólice de seguro, por exemplo. |
| Evitar | Um risco normalmente é evitado quando é classificado como “Alto” ou “Extremo”, e a implementação de controles apresenta um custo muito elevado, inviabilizando sua mitigação, ou não há entidades dispostas a compartilhar o risco com a Organização. Na Organização, evitar o risco significa encerrar o processo organizacional. |
| Aceitar | Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco. |
Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento para esse risco. Essas medidas devem ser capazes de diminuir os níveis de probabilidade e/ou de impacto do risco a um nível dentro ou mais próximo possível das faixas de apetite a risco (risco “Baixo” ou “Médio”).
O Plano de Tratamento gerado pelo processo de gerenciamento de riscos do processo organizacional é um plano de ação para a implementação das medidas de tratamento dos riscos desse processo organizacional. Por isso, deve conter, pelo menos, quando aplicável:
- Iniciativa, com a proposta de projeto ou ação que implementará um conjunto de medidas de tratamento;
- Medida(s) de tratamento contemplada(s) na iniciativa e o risco relacionado que deseja tratar;
- Objetivos/benefícios esperados por medida de tratamento;
- Unidade organizacional responsável pela implementação da iniciativa;
- Unidades organizacionais corresponsáveis pela implementação da iniciativa, ou seja, unidades envolvidas na implementação da medida de tratamento;
- Responsável ou cargo responsável pela implementação;
- Breve descrição sobre a implementação;
- Data prevista para início da implementação;
- Data prevista para o término da implementação;
- Situação da iniciativa.
5.3.8. Gestão de Custos dos Controles
Caso os custos de implementação de controles ultrapassem a alçada do Gestor de TI/SI ou CISO, o tema deve ser submetido ao CEO para decisão de priorização, aceite ou transferência do risco. Nenhum risco classificado como Alto ou Extremo poderá ser aceito sem ciência e aprovação da Diretoria Executiva.
5.3.9. Escalonamento de Riscos Críticos
- Riscos classificados como Alto (11–16) devem ser comunicados ao CISO e CEO, com prazo definido para tratamento.
- Riscos classificados como Extremo (17–25) devem ser reportados imediatamente ao CEO e tratados como decisão estratégica, com registro formal de ação ou aceite.
5.3.10. Calcular Risco Residual
- Revisar o grau de exposição do ativo após a conclusão do plano de tratamento de riscos.
- Gerar novo plano de tratamento de riscos se mantiver acima do nível aceitável.
- Obter o aceite formal do responsável do ativo, tendo a ciência do risco residual apresentado.
- Compartilhar com o grupo executivo os riscos residuais identificados.
A reavaliação dos riscos deve ser realizada periodicamente pelas áreas envolvidas, no mínimo anualmente, ou sempre que necessário, devido a novas ameaças existentes e em caso de mudanças significativas serem propostas ou ocorrerem de forma não prevista ou necessidades de negócio.
Para a reavaliação dos riscos identificados e analisados são levados em consideração os níveis de aceitação de risco descritos neste documento no item “Definir o Nível Aceitável do Risco”.
5.4. Resultados
Após obtidos os resultados através da conclusão da avaliação de risco realizado pela Segurança da Informação, é elaborado um plano de tratamento de risco e compartilhado e assinado com o dono do ativo (proprietário/custodiante predefinido em “NRM003- Norma de Gestão e Classificação da Informação”.
A área de Segurança da Informação é responsável pelo controle, acompanhamento da conclusão das correções acordadas e reavaliar os riscos identificados.
5.4.1. Plano de Tratamento de Risco
Um plano de tratamento de risco é elaborado ao final da análise de risco realizada, identificando e controlando:
- Ativo
- Risco
- Por quê?
- Controle
- Como?
- Quem?
- Onde?
- Quando?
- Impacto do Risco
- Justificativa (no caso em que se decida pela não implementação de ações de mitigação)
É realizado um plano para cada área/dono do ativo, que tem a responsabilidade de promover a tratativa e a implementação dos controles compensatórios ou definitivos. Os riscos priorizados durante a avaliação de riscos devem ter seu tratamento priorizado.
A Segurança da Informação tem a responsabilidade de promover a ciência dos riscos com o dono do ativo, realizar a gestão e o controle da implementação da solução e revalidar o item apontado.
5.4.2. Risco Residual
Com as ações de tratamento do risco identificadas, uma nova reavaliação de risco é realizada. Caso seja identificado um risco residual, ele é documentado através do Formulário de Aceitação de Risco, compartilhado e assinado pelo dono do ativo.
5.4.3. Análise Crítica
Deve ser realizada a comparação dos resultados da análise dos riscos com os critérios de riscos estabelecidos nesta norma.
O resultado da análise crítica dos riscos deve ser compartilhado com os Diretores, no mínimo anualmente, ou quando identificado algum risco crítico que possa comprometer a disponibilidade, a confidencialidade e a integridade das informações da solução de relacionamento com os clientes da Paymnt ou qualquer outra solução sob à gestão da área de infraestrutura cloud.
6. MONITORAMENTO CONTÍNUO
- Integração com ferramentas de segurança da nuvem (ex: CloudWatch, Azure Monitor, Cloudflare Logs).
- Correlação com alertas e recomendações de segurança para revisão de riscos ativos.
- Inclusão automática de novos ativos na matriz de risco por meio de integração com pipeline DevSecOps.
7. PROCEDIMENTOS DE DPIA (DATA PROTECTION IMPACT ASSESSMENT)
A Paymnt realiza DPIA (Avaliação de Impacto à Proteção de Dados) de forma obrigatória sempre que houver tratamento de dados pessoais em seus fluxos, em especial no Pix indireto, e de forma preventiva e contínua no Analytics, conforme exigências da LGPD, da ANPD e da Resolução Conjunta nº 6/2023 do Bacen.
O DPIA é parte integrante do processo de gestão de riscos e deve ser conduzido sempre que:
- Novos sistemas, integrações ou funcionalidades forem desenvolvidos envolvendo dados pessoais (ex.: payload Pix contendo CPF como chave).
- Houver mudanças significativas em processos ou fluxos que envolvam tratamento de dados pessoais ou pseudonimizados.
- Novos fornecedores, parceiros ou serviços forem contratados com potencial acesso a dados pessoais.
- Houver uso ou proposta de uso de Inteligência Artificial sobre payload Pix ou datasets de Analytics.
7.1. Etapas do DPIA
- Identificação de riscos potenciais à privacidade, confidencialidade e reidentificação de dados pessoais.
- Avaliação de impactos e probabilidade de ocorrência de cada risco identificado.
- Definição de medidas mitigatórias, controles técnicos e organizacionais adequados (ex.: mascaramento, anonimização, criptografia, RBAC).
- Registro e documentação completa do DPIA, garantindo rastreabilidade e conformidade regulatória.
- Revisão periódica dos riscos identificados e monitoramento da eficácia dos controles implementados.
7.2. Revisão de Riscos DPIA
- Realizar análise crítica dos resultados do DPIA pelo menos uma vez por ano.
- Reavaliar sempre que houver alterações significativas em integrações Pix, no ambiente de Analytics ou em fornecedores/parceiros.
- Garantir que medidas mitigatórias e controles definidos sejam devidamente aplicados, monitorados e revisados.
- Documentar todas as revisões e atualizações realizadas, vinculando-as ao repositório de GRC e à PLT-003 (Política de DPIA).
8. INTEGRAÇÃO COM OUTRAS NORMAS
Deve estar alinhada às diretrizes da NRM-003 (Classificação da Informação), NRM-009 (Gestão de Mudanças), NRM-010 (Gestão de Acessos) e PLT-002 (BYOD).
9. REVISÃO E MANUTENÇÃO
Revisão anual obrigatória ou a qualquer tempo diante de alteração técnica, regulatória ou contratual.
Toda atualização deve ser registrada e aprovada pelo departamento de Segurança da Informação.
10. APROVAÇÃO
Todo o conteúdo elaborado, antes de ser divulgado aos colaboradores, deve ser aprovado pelo CEO.
11. NFORMAÇÕES DO DOCUMENTO
RESPONSÁVEL
Gestor TI/SI
CLASSIFICAÇÃO
Interna
12. REFERÊNCIAS
| Documentos |
|---|
| ABNT NBR ISO/IEC 27001:2013 - Sistema de Gestão de Segurança da Informação |
| MNL-001 Manual de Organização de Conceitos |
| NRM-009 – Norma de Gestão de Mudanças |
| PLT-001 - Política de Segurança da Informação – PSI |
| LGPD – Lei Geral de Proteção de Dados (Lei 13.709/2018) |
| PLT-002 – Política de BYOD Paymnt |
| NRM-010 – Gestão de Acessos |
| NRM-003- Norma de Gestão e Classificação da Informação. |
13. HISTÓRICO DE VERSÕES
| VERSÃO | DATA | AUTOR | COMENTÁRIOS |
|---|---|---|---|
| 1.0 | 05/09/2025 | Deise Di Martini Ronn | Criação do Documento |
14. APROVAÇÃO DO DOCUMENTO
| NOME | CARGO/ÁREA |
|---|---|
| Reinaldo Almeida | CEO |