Política de Segurança Cibernética e da Informação

Apresentação

A BR PAY SOLUÇÕES DE PAGAMENTOS DIGITAIS LTDA, inscrita no CNPJ sob o nº 61.272.227/0001-80, com sede à Rua Dom Pedro II, nº 262, Capoeiras, Florianópolis/SC, CEP 88.090-840 ("BrazilPay"), encontra-se em conformidade com a LGPD, conforme se observa em sua Política de Privacidade e Proteção de Dados Pessoais.

A Política de Segurança Cibernética e da Informação estabelece conceitos, diretrizes e responsabilidades sobre os principais aspectos relacionados à segurança cibernética e segurança da informação, preservando a confidencialidade, integridade, disponibilidade e conformidade de todas as informações sob gestão da BrazilPay.

Define também os princípios fundamentais que formam a base da política, norteando a elaboração de normas, processos, padrões e procedimentos, conforme previsões regulatórias, com o objetivo de proteger parceiros, colaboradores e a própria empresa da utilização indevida de dados que possa comprometer os serviços de rede, sistemas e a reputação da BrazilPay.

1. Abrangência

Esta Política tem abrangência corporativa, afetando todas as áreas de negócio, escritórios e demais operações da BrazilPay no que se refere à ocorrência de incidentes de segurança da informação.

2. Conceitos e Definições

Recursos

Qualquer ativo, tangível ou intangível, que possua valor para a empresa (pessoas, tecnologias, sistemas, etc.).

Ameaça

Qualquer causa potencial de um incidente indesejado que possa resultar em impacto nos objetivos do negócio.

Controle

Qualquer recurso ou medida que assegure formas de tratamento de riscos (políticas, processos, software, hardware, etc.).

Gestor

Colaborador que exerce cargo de liderança.

Informação

Qualquer conjunto organizado de dados que possua algum propósito e valor para o sistema da empresa.

Least Privilege & Need to Know

Princípios que regem qualquer autorização de acesso: nível mínimo de acesso (Least Privilege) somente a quem realmente tenha necessidade (Need to Know).

Segurança da Informação (SI)

Proteção das informações pela preservação de Confidencialidade, Integridade, Disponibilidade e Conformidade.

Segurança Cibernética

Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado.

Recursos Críticos

Recursos essenciais para o funcionamento da operação do sistema da empresa.

2.1 Pilares da Segurança da Informação

• Confidencialidade: garantia de que a informação somente será acessada por pessoas autorizadas;
• Integridade: garantia de que o conteúdo não será alterado ou violado indevidamente;
• Disponibilidade: garantia de que os Colaboradores autorizados obtenham acesso à informação sempre que necessário;
• Conformidade: garantia de que os controles de segurança estão sendo executados conforme esperado.

3. Diretrizes Gerais

A informação é um ativo essencial para os negócios da BrazilPay e, sendo assim, deve ser adequadamente protegida. A segurança cibernética e da informação visa proteger as informações contra diversos tipos de ameaças, minimizando a exposição da empresa a riscos e garantindo que as características fundamentais da informação sejam preservadas.

A BrazilPay, alinhada com os objetivos e requisitos do negócio, estabelece regras e direcionamentos a serem aplicados a pessoas, processos e tecnologia, de forma a proteger as informações da empresa, de seus clientes, fornecedores e parceiros.

Seguir as diretrizes desta Política significa proteger a empresa contra vazamento de informações, contra fraudes, zelar pela privacidade, garantir que sistemas e informações estejam disponíveis quando necessário e zelar pela proteção da imagem e das marcas da BrazilPay.

4. Papéis e Responsabilidades

Todo colaborador, independente do cargo, função ou local de trabalho, é responsável pela segurança das informações da BrazilPay e deve cumprir as determinações da política, normas e padrões de segurança da informação.

5. Tratamento das Informações

5.1 Diretrizes

• Toda informação deve ter regras claramente definidas pelo seu proprietário para proteção contra perda, alteração e acesso;
• Toda informação deve ter usuários explicitamente definidos e os tipos de direitos que cada um terá para acessá-la;
• Toda informação deverá ter procedimentos para protegê-la do acesso de pessoas não autorizadas;
• Toda informação que garanta a continuidade das atividades deverá ter cópia de segurança;
• As informações contidas em material para descarte deverão ser destruídas ou protegidas;
• Todo colaborador é responsável pela segurança da informação a que tem acesso;
• Toda informação encontrada extraviada deverá ser, imediatamente, devolvida à sua origem.

5.2 Recomendações

Os colaboradores não devem efetuar tentativas de obter acesso às informações que não lhe são permitidas, devendo solicitá-las ao respectivo proprietário.

A elaboração das normas e procedimentos de acesso deverá levar em consideração os riscos do acesso e alteração não autorizados, divulgação indevida e indisponibilidade dos dados.

6. Classificação da Informação

A classificação tem o objetivo de proporcionar ao usuário a possibilidade de analisar suas informações, facilitando a definição do seu nível de acesso e condições de armazenamento.

• Todas as informações devem ser classificadas;
• Toda informação deverá ser considerada sigilosa e de alto risco até que se tenha estabelecido sua classificação;
• A proteção deve estar de acordo com sua classificação;
• Quando em um mesmo meio físico existirem informações de classificações diferentes, deve-se adotar a mais restrita.

6.1 Quanto à Confidencialidade

6.2 Quanto à Integridade e Disponibilidade

7. Administração de Acesso

A área responsável pelo controle de acesso aos sistemas deverá manter procedimentos formais para registro, administração de privilégios e senhas, e cancelamento de autorizações.

O controle de acesso deverá assegurar que usuários não comprometam a segurança dos sistemas. Todos os computadores e notebooks devem estar com antivírus corporativo devidamente instalado.

A inserção de qualquer nova informação via dispositivos removíveis só será liberada mediante autorização do gerente ou gestor. O acesso a serviços computacionais deverá sempre ocorrer através de um procedimento seguro de login.

8. Segurança Física

A estrutura para manter a segurança física dos equipamentos de rede e computadores deve obedecer aos padrões de segurança, garantindo espaço, ventilação e organização de cabos adequados.

9. Retenção de Dados

A BrazilPay deverá manter políticas de Retenção de Dados, considerando as normas aplicáveis, relacionadas aos dados pessoais.

10. Conscientização

Os recursos e informações devem ser utilizados de acordo com os interesses da organização. A política de segurança deve ser amplamente divulgada na admissão de novos colaboradores e por meio de programas de conscientização e reciclagem regulares.

11. Incidentes de Segurança

11.1 Dever de Reportar

Violações ou tentativas de violação desta Política, intencionais ou não, são consideradas incidentes de segurança. Todo colaborador ou terceiro tem o dever de notificar o Departamento de Tecnologia o mais rápido possível para que as medidas cabíveis sejam tomadas.

São considerados incidentes de segurança quaisquer eventos adversos, confirmados ou sob suspeita, que comprometam a confidencialidade, integridade, disponibilidade ou conformidade das informações.

11.2 Prevenção e Detecção de Intrusão

Todos os recursos do sistema de informação expostos à Internet devem ser acompanhados e protegidos por um IDS / IPS (Sistema de Detecção e Prevenção de Intrusão).

11.3 Plano de Resposta a Incidentes

A empresa deverá elaborar cenários de incidentes para identificar eventos que possam dificultar a operação e promover falhas na execução de processos.

11.4 Proteção Contra Códigos Maliciosos

Deverão ser implementados controles tecnológicos para prevenção, detecção e erradicação de códigos maliciosos nos equipamentos.

12. Auditoria

A BrazilPay se reserva o direito de auditar qualquer dispositivo utilizado durante o desempenho das atividades comerciais ou funções. Para este fim, serão solicitados acessos que podem incluir:

• Acesso em nível de sistema a qualquer dispositivo de computação ou comunicação;
• Acesso às informações (eletrônicas, impressas, etc.);
• Acesso às áreas de trabalho (escritórios, data centers, etc.);
• Acesso para monitorar e registrar interativamente o tráfego nas redes da empresa.

Esta auditoria deve observar as regras da Lei Geral de Proteção de Dados (LGPD).

13. Atualização e Vigência

A atualização desta Política ocorrerá sempre que alterações legislativas ou regulatórias relevantes ocorrerem, sendo de responsabilidade da Alta Administração ou do setor de compliance realizar as alterações e submetê-la à aprovação.

A presente Política foi aprovada pelos membros componentes da Alta Administração, entrando em vigência na data de sua aprovação. A vigência é indeterminada, podendo ser substituída apenas por uma versão atualizada.

Aprovada em 12 de junho de 2025.

Prestação de Serviços Financeiros

Os serviços financeiros e de pagamentos disponibilizados por meio da presente plataforma, incluindo abertura e manutenção de conta de pagamento, processamento de transações, emissão de boletos, transferências, pagamentos e demais movimentações de valores, são prestados pelo ASAAS GESTÃO FINANCEIRA S.A., instituição de pagamento autorizada a funcionar pelo Banco Central do Brasil.

A BR PAY SOLUÇÕES DE PAGAMENTOS DIGITAIS LTDA atua exclusivamente como integradora tecnológica e distribuidora da experiência do produto, não sendo instituição financeira ou de pagamento, nem realizando intermediação financeira em nome próprio.

Os controles de segurança da informação aplicados pela BrazilPay são compatíveis e complementares aos procedimentos próprios do ASAAS GESTÃO FINANCEIRA S.A., nos termos da regulamentação vigente.