Política de Segurança Cibernética

1. OBJETIVO

A Política de Segurança Cibernética da Paymnt tem como objetivo estabelecer diretrizes, princípios e responsabilidades para proteger os ativos digitais, ambientes cloud, APIs e sistemas da organização contra ameaças cibernéticas. A segurança cibernética é tratada como uma prioridade estratégica, integrada aos processos e à governança da empresa.

Todas as fases do ciclo de segurança cibernética são contempladas de forma proativa pela Paymnt, refletindo o compromisso com a proteção de dados e a continuidade dos serviços. As fases incluem:

• Planejamento: definição de políticas, arquitetura de segurança e requisitos técnicos;
• Execução: implementação de controles e práticas seguras em todos os sistemas e APIs;
• Monitoramento: uso de ferramentas como AWS CloudTrail, CloudWatch e integrações com Cloudflare;
• Avaliação de Riscos: revisões periódicas conforme NRM007, incluindo testes de segurança e auditorias;
• Resposta e Aprendizado: análise de incidentes e aplicação de melhorias contínuas.

2. ABRANGÊNCIA

Esta política se aplica a todos os colaboradores, fornecedores, prestadores de serviços e parceiros que possuam acesso a sistemas críticos e dados sensíveis da Paymnt. Abrange todos os serviços e operações da Paymnt realizados em ambiente de computação em nuvem, como AWS, Azure, Cloudflare e MongoDB Atlas.

3. TERMOS E DEFINIÇÕES

Consultar o MNL - 001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais

4. PAPEIS E RESPONSABILIDADES

4.1.Chief Executive Officer (CEO)

O CEO é responsável por aprovar oficialmente todas as políticas e normas institucionais, garantindo que estejam alinhadas com os objetivos estratégicos da Paymnt. Também é responsável por validar e formalizar a nomeação de papéis críticos, como o Encarregado pelo Tratamento de Dados (DPO), CISO e CTEO. Deve supervisionar o cumprimento das políticas de segurança e assegurar que a organização mantenha um ambiente seguro e em conformidade com regulamentações vigentes.

4.2. Chief information security officer (CISO)

O CISO é o responsável pela implementação e gestão das estratégias de segurança da informação na Paymnt.

4.3. Gestor de TI/SI

É responsável por coordenar e supervisionar a conformidade da Paymnt com as políticas e os procedimentos relacionados à confidencialidade, integridade e segurança de seus ativos de informação, tais como:

• Tomar decisões de alto nível relativas às políticas, normas e procedimentos de Segurança da Informação e seu conteúdo, aprovando os documentos e as exceções a essas políticas com antecedência, se necessário;
• Coordenar (dentro da periodicidade estabelecida pelos normativos ou padrões de mercado) uma avaliação formal de riscos para identificar novas ameaças, vulnerabilidades e identificar os controles apropriados para mitigar novos riscos;
• Revisar, pelo menos uma vez por ano, as políticas, normas e procedimentos de Segurança da Informação para mantê-los adequados aos requisitos de negócios emergentes ou ameaças de segurança;
• Certificar-se de que terceiros, com quem as informações da Paymnt são compartilhadas, sejam contratualmente obrigados a aderir aos requisitos desta política e a reconhecer que são responsáveis pela segurança dos dados.
• Assegurar que as conexões com terceiros sejam gerenciadas e documentadas conforme os requisitos desta política;
• Divulgar as políticas, normas e procedimentos de segurança de informações da Paymnt para todos os colaboradores e prestadores de serviço envolvidos no suporte aos serviços do AWS;
• Garantir que em caso de transferência de função de um colaborador ou prestador de serviço envolvido no suporte aos serviços AWS seus acessos sejam readequados às novas atividades.

4.4. Diretor de Proteção de Dados (DPO) ou Encarregado de Proteção de Dados

O DPO (Data Protection Officer) ou Encarregado de Proteção de Dados é o responsável por garantir que as atividades da Paymnt estejam em conformidade com as leis de proteção de dados pessoais, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD), e pelas boas práticas de segurança da informação.

4.5. Equipe de TI/SI

É responsável por assegurar o correto cumprimento dos requisitos de segurança dos componentes de sistemas AWS frente aos requerimentos desta política, desta forma, este time deverá executar atividades que incluem o planejamento de segurança, a educação e a conscientização dos usuários, dentre outras, como:

• Apoiar a criação, manutenção e revisão das políticas, normas e procedimentos de Segurança da Informação;
• Implementar os padrões estabelecidos nas políticas, normas e procedimentos de Segurança da Informação;
• Manter e executar os procedimentos de resposta aos alertas e incidentes, incluindo o escalonamento quando necessário;
• Monitorar e analisar alertas de segurança;
• Revisar logs diariamente, reportar e acompanhar exceções identificadas;
• Restringir e monitorar o acesso a área sensível, assegurando que os controles lógicos apropriados estejam implementados onde as informações confidenciais estiverem presentes.

4.6. Colaboradores e Prestadores de Serviço Paymnt

Todos os usuários devem conhecer a importância dos ativos e reconhecer a sua responsabilidade sobre estes recursos. Os colaboradores e prestadores de serviço devem estar atentos a possíveis incidentes que ameacem os sistemas e as informações da Paymnt. Suas responsabilidades são:

• Entender quais são as consequências de suas ações em relação às práticas de segurança e agir em conformidade com as políticas, normas e procedimentos;
• Adotar a filosofia "Segurança é responsabilidade de todos" para apoiar a Paymnt a atingir seus objetivos de negócios;
• Manter o conhecimento atualizado sobre o conteúdo da Política de Segurança da Informação.

5. DIRETRIZES

A Paymnt implementa controles de segurança cibernética alinhados às melhores práticas do mercado (CIS, PCI DSS, ISO/IEC 27001) e diretrizes internas estabelecidas nas NRMs e PLTs. A abordagem inclui processos robustos de hardening, gestão de riscos e desenvolvimento seguro.

A política de segurança cibernética é composta por um conjunto de normas que abrangem diversas áreas críticas da segurança da informação exigidos pela Resolução 4.893. A seguir, detalham-se as principais diretrizes e o motivo da conformidade de cada uma:

• NRM-001 - Norma de Gestão de Documentos: Estabelece padrões e procedimentos para a gestão adequada de documentos sensíveis e críticos, garantindo integridade, disponibilidade e confidencialidade da informação documentada.
• NRM-002 - Norma de Segurança de Redes: Estabelece controles e procedimentos para proteger redes internas e externas contra ataques cibernéticos, garantindo a segurança e integridade. Inclui mecanismos avançados de firewall, segmentação de rede e monitoração contínua.
• NRM-003 - Norma de Gestão e Classificação da Informação: Define critérios para classificação e proteção das informações processadas, armazenadas ou transmitidas pela Paymnt, com base em seu nível de criticidade e sensibilidade.
• NRM-004 - Norma de Retenção e Proteção de Dados Pessoais e Transacionais: Estabelece diretrizes para armazenamento seguro, tratamento e proteção de dados pessoais e transacionais como o arranjo de pagamentos PIX.
• NRM-005 - Norma de Controles Criptográficos: Define procedimentos para a aplicação de criptografia em dados críticos e sensíveis, garantindo que a confidencialidade e integridade sejam preservadas durante o armazenamento e transmissão.
• NRM-006 - Norma de Proteção contra Malware: Define procedimentos para prevenção, detecção e mitigação de malware, ransomware e outras ameaças digitais. Inclui o uso de soluções antivírus e antimalware, além de medidas proativas para identificação de ameaças.
• NRM-007 - Norma de Gestão de Riscos: Estabelece um processo estruturado para identificação, análise, mitigação e monitoramento de riscos relacionados a ativos de informação da Paymnt, incluindo serviços de nuvem e aplicações críticas.
• NRM-008 - Norma de Desenvolvimento Seguro: Estabelece práticas e procedimentos para garantir que o desenvolvimento de sistemas e aplicações ocorra de maneira segura, prevenindo vulnerabilidades e alinhando-se aos requisitos de conformidade e melhores práticas de mercado.
• NRM-009 - Norma de Gestão de Mudanças: Define processos para controle e aprovação de mudanças em ambientes críticos, garantindo que alterações sejam planejadas, documentadas e avaliadas quanto aos seus impactos na segurança.
• NRM-010 - Norma de Gestão de Acessos e Usuários: Estabelece procedimentos para controle de acessos privilegiados e gestão de identidades, garantindo que apenas usuários autorizados possam acessar recursos críticos.
• NRM-012 - Norma de Monitoramento de Sistemas e Tratamento de Logs e Eventos: Define diretrizes para o monitoramento contínuo dos sistemas e aplicações da Paymnt, identificando atividades suspeitas e mitigando riscos em tempo real.
• NRM-013 - Norma de Testes de Segurança em TI e Sistemas: Estabelece procedimentos para a realização de testes periódicos de segurança, incluindo pentests e avaliações de vulnerabilidades em sistemas e aplicações críticas.
• NRM-014 - Norma de Gestão Admissão, Movimentação e Desligamento Pessoal: Define os procedimentos de segurança relacionados ao ciclo de vida dos colaboradores e prestadores de serviços, garantindo a gestão adequada de acessos e dados relacionados.
• NRM-015 - Norma de Gestão de Fornecedores: Define os critérios de seleção, contratação e monitoramento de fornecedores que possuam acesso a dados críticos ou sistemas da Paymnt.
• NRM-016 - Norma de Gestão de Incidentes: Estabelece procedimentos para resposta e mitigação de incidentes de segurança, garantindo que eventos relevantes sejam tratados de maneira eficiente e documentada.
• NRM-017 - Norma de Gestão de Backup e Restore: Garante a disponibilidade e recuperação dos dados críticos através de processos adequados de backup e restauração, em conformidade com os requisitos para continuidade de operações. Os backups são realizados regularmente e armazenados de forma segura.
• NRM-018 - Norma de Conscientização de Segurança da Informação: Define procedimentos para conscientização e treinamento dos colaboradores e prestadores de serviço, garantindo que todos compreendam e apliquem as políticas de segurança da Paymnt.
• NRM-019 - Norma de Uso Aceitável de Ativos de Informação: Estabelece diretrizes para o uso adequado de ativos de informação, prevenindo abusos e garantindo que os recursos sejam utilizados de forma responsável.
• NRM-020 - Norma de Hardening: Define procedimentos de endurecimento de sistemas e aplicações, garantindo que configurações seguras sejam aplicadas para mitigar riscos e prevenir ataques.
• NRM-021 - Norma de Sanção Disciplinar: Estabelece procedimentos para aplicação de sanções proporcionais ao descumprimento das diretrizes estabelecidas nas políticas e normas da Paymnt.
• Nrm-022 - Norma de Aplicação Segura do Processo Analytics

O ambiente de nuvem é monitorado continuamente e em tempo real, utilizando sistemas dinâmicos que identificam e mitigam ameaças cibernéticas de forma proativa. A integridade dos sistemas e dados processados é assegurada por processos que seguem rigorosamente as diretrizes estabelecidas nas Normas, Políticas e Procedimentos da Paymnt.

Os dados pessoais e transacionais são protegidos de acordo com a LGPD e as normas do Banco Central do Brasil, incluindo o uso de criptografia, controles de acesso avançados e autenticação robusta.

A segurança cibernética está integrada nas principais políticas Paymnt:

• PLT-001 – Política de Segurança da Informação:
  Define os controles gerais de segurança adotados pela Paymnt (confidencialidade, integridade e disponibilidade da informação), com base nas normas ISO 27001, ISO 27017, LGPD e nas exigências do Bacen. Aplica-se aos ambientes cloud, ativos internos e integrações com instituições parceiras.
• PLT-002 – Política de BYOD (Dispositivos Pessoais):
  Estabelece diretrizes para o uso seguro de dispositivos pessoais por colaboradores e terceiros, especialmente em ambientes cloud e remotos. Define regras de acesso, segregação de dados, revogação e conformidade.
• PLT-003 – Política e Procedimentos de DPIA:
  Prevê o procedimento de Avaliação de Impacto à Proteção de Dados Pessoais (DPIA) conforme a LGPD e a Resolução Conjunta nº 6/2023. Embora atualmente não haja necessidade de realização do DPIA, a Paymnt mantém estrutura preparada para executá-lo sempre que operar dados de alto risco.
• PLT-004 – Política de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD/FT):
  Documenta os controles técnicos de rastreabilidade e segurança implementados pela Paymnt para apoiar instituições contratantes nas obrigações de PLD/FT. Não abrange KYC, que é de responsabilidade exclusiva da instituição contratante (ex: Celcoin).
• PLT-006 – Política de Aplicação Segura da Política de Privacidade: Estabelece diretrizes para proteção de dados pessoais e transacionais, garantindo sua integridade, disponibilidade e confidencialidade.
• PLT007 Política de Privacidade do Site Institucional Paymnt:
  Estabelece que a Paymnt não coleta nem trata dados pessoais de clientes finais. Aplica-se exclusivamente ao site institucional.

5.1. Segregação de Ambientes e Fluxos

A Paymnt deve manter segregação entre os fluxos de produção (Pix) e de Analytics (insights de consumo), de forma a garantir segurança, conformidade regulatória e redução de riscos.

Ambiente Pix (produção): processa exclusivamente os logs técnicos realizados via API no arranjo indireto do Pix, em parceria com o PSP autorizado e homologado pelo BACEN. Este ambiente é crítico, operado em infraestrutura AWS certificada, com logs auditáveis, criptografia forte e monitoramento contínuo.

Ambiente Analytics: processa apenas dados previamente tratados e extraídos somente para o relatório de insights dados não sensíveis, em instância segregada, com acesso restrito via RBAC e MFA. Nenhum dado pessoal ou identificador direto (ex.: CPF usado como chave Pix) pode ser utilizado.

Segurança e auditoria: ambos os ambientes contam com trilhas de auditoria via AWS CloudTrail, monitoramento em tempo real via AWS CloudWatch, políticas de backup e restore (NRM017) e testes de segurança periódicos (NRM013).

Governança: a segregação está em conformidade com a NRM022 (Norma de Aplicação Segura do Processo Analytics), com integração às políticas PLT001 (Segurança da Informação), PLT003 (DPIA) e PLT004 (PLD/FT).

Essa segregação assegura que os ambientes não compartilham dados diretamente, preservando a confidencialidade, integridade e conformidade com LGPD, Bacen e normas ISO 27001/27701.

6. SOBRE A RESPONSABILIDADE DE COLABORADORES, PRESTADORES DE SERVIÇO, FORNECEDORES E CLIENTES DA PAYMNT COM A SEGURANÇA CIBERNÉTICA

6.1. Responsabilidades dos Colaboradores e Prestadores de Serviço

Com base no TRM-003 – Termo de Responsabilidade e Compromisso com a Segurança da Informação, os colaboradores e prestadores assumem sigilo e proteção da informação, devendo garantir a confidencialidade, integridade e disponibilidade das informações acessadas através das condutas:

• Uso de autenticação multifator (MFA);
• Proteção de telas e dados sensíveis em ambientes compartilhados;
• Utilização apenas de redes seguras e autorizadas;
• Proibição de compartilhamento de senhas ou acessos;
• Obrigação de reportar incidentes de segurança imediatamente;
• Acessos a sistemas críticos (AWS, MongoDB, etc.) exigem maior responsabilidade, e são auditáveis.

Sanções previstas: Violação das normas pode acarretar advertência, desligamento, ou medidas legais (conforme NRM-021).

6.2. Uso de Dispositivos Pessoais (BYOD)

O colaborador deve ter ciência da política de BYOD (PLT002) durante o onboarding.

Com base no TRM-001 – Termo de Adesão à Política de Dispositivos Individuais (BYOD) o uso de notebook, smartphone ou tablet pessoal é permitido somente com autorização formal da Paymnt. O colaborador se compromete a:

• Manter os dispositivos atualizados, com antivírus e senhas fortes;
• Não armazenar dados da empresa localmente nem os compartilhar com terceiros;
• Comunicar incidentes de perda, extravio ou acesso indevido imediatamente;
• Autorizar, quando necessário, a remoção remota de dados corporativos;
• Consentir com monitoramento restrito ao ambiente corporativo, conforme a LGPD.

6.3. Devolução de Acessos e Encerramento de Vínculo

Com base no TRM-002 – Termo de Devolução de Acessos, ao encerrar o vínculo com a Paymnt, o profissional declara que:

• Todos os acessos e credenciais foram entregues ou revogados;
• Não possui mais nenhum dado, backup ou cópia de informações da empresa;
• Todos os dados corporativos foram removidos de dispositivos pessoais;
• Está ciente de que o uso ou retenção indevida pode acarretar medidas administrativas e legais.

6.4. Responsabilidades de Fornecedores

Conforme a NRM-015 – Norma de Gestão de Fornecedores e PLT-004 – Política de PLD/FT, fornecedores que tenham acesso a dados, sistemas ou ambientes da Paymnt devem:

• Estar em conformidade com normas como LGPD, ISO/IEC 27001,
• Ser avaliados e monitorados periodicamente quanto à segurança de seus serviços;
• Atender aos requisitos de acesso controlado, monitoramento e mitigação de riscos.

6.5. Responsabilidades de Clientes (visão contratual)

A Paymnt não interage diretamente com clientes finais nem realiza o tratamento de seus dados pessoais. Toda a coleta, tratamento e proteção de dados relacionados a transações Pix são de responsabilidade exclusiva da instituição contratante da API.
A Paymnt assegura que:

• A infraestrutura disponibilizada atende aos requisitos técnicos e normativos de segurança, rastreabilidade e disponibilidade;
• Os dados técnicos operacionais são protegidos conforme a LGPD e normas do Banco Central, como a Resolução nº 4.893.

7. SERVIÇOS PERMITIDOS

São permitidos todos os serviços de tecnologia que se alinhem com os requisitos de segurança cibernética da Paymnt, incluindo infraestrutura de nuvem AWS, Azure, Cloudflare, MongoDB Atlas, e serviços compatíveis com as diretrizes internas e regulamentações aplicáveis.

8. APROVAÇÃO

Esta política foi aprovada pelo CEO e pelo Departamento de Segurança da Informação da Paymnt.

9. REVISÃO E MANUTENÇÃO

A presente política será revisada anualmente ou sempre que ocorrerem mudanças significativas nos processos ou no ambiente tecnológico da Paymnt. A revisão será conduzida pelo Departamento de Segurança da Informação e submetida à aprovação do CEO.

10. REVISÃO E MANUTENÇÃO

Este documento deverá ser revisado anualmente ou quando uma mudança significativa ocorrer na organização.

11. INFORMAÇÕES DO DOCUMENTO

12. REFERÊNCIAS

13. HISTÓRICO DE VERSÕES