Essa Política foi desenvolvida focando especialmente na proteção dos dados e operações de meios de pagamento, estabelece responsabilidades claras, além de oferecer orientações para garantir proteção dos sistemas empresariais, operacionais - bem como dos dados, informações sensíveis e ativos digitais - contra mau uso, perda ou interrupções, garantindo a operação contínua. Ela abrange os aspectos relacionados à proteção dos recursos de tecnologia da informação contra eventos como danos acidentais ou não autorizados ao hardware ou software utilizados nas redes ou nos dados armazenados.
Seguimos as boas práticas de segurança estabelecidas pelo PCI DSS (versão 4.0.1 acima), que padronizam os requisitos de segurança de dados, especialmente para o setor de meios de pagamentos.
1. CONCEITOS E BASE NORMATIVA
Dentre os principais Conceitos, Definições, Disposições, Normas disciplinadoras, Portarias, Instruções e Normativos de qualquer órgão regulador e disciplinador da legislação brasileira do mercado financeiro e de meios eletrônicos de pagamentos brasileiro, no contexto deste documento, vale mencionar que estão principalmente referenciadas Programa de Compliance centralizando a base legal normativa do nosso segmento de atuação. Além da base legal acima, podemos citar também:
• Lei nº 12.865/2013 e nº 13.709/2018;
• Circular BCB nº 3.909/2018 e nº 3.682/2013;
• Resolução BCB nº 368/2024;
• Resolução CMN nº 4.658/2018, nº 4.893/2021;
• Boas práticas como ISSO/IEC 27001:2022 e 27002:2022;
• PCI DSS v4.0.1 e boas práticas internacionais de cibersegurança como a NIST Cybersecurity Framework (CSF);
2. RESPONSABILIDADES, PÚBLICO-ALVO E ABRANGÊNCIA
Aplica-se a todos os colaboradores, terceiros, parceiros e fornecedores de sistemas que tenham acesso direto ou indireto aos ativos de informação e infraestrutura tecnológica da BRP PAY.
2.1. COMPROMETIMENTO DA ALTA ADMINISTRAÇÃO
• A Alta Direção é corresponsável pela segurança cibernética.
• Relatórios periódicos são enviados ao Comitê Gestor de Segurança da Informação e ao Conselho, quando existente.
• Aprovar essa política e revisar em nível estratégico.
2.2. GESTÃO DA SEGURANÇA E O DEPARTAMENTO DE TI
Esta política será gerenciada pelo Comitê Gestor de Segurança da Informação (CSI), que é formado pela Diretoria e Gestores. Dentre as suas competências:
• Difundir a cultura de Segurança da Informação;
• Propor programas de treinamento em Segurança da Informação;
• Propor projetos e iniciativas relacionados à melhoria da Segurança da Informação.
O Gerente de TI possui plena autonomia para decidir o que será feito e qual será a resposta perante situações imprevistas ou inesperadas. Suas ações em uma emergência devem contemplar as seguintes etapas:
a) Definir equipe responsável por executar cada uma das atividades previstas no Plano;
b) Analisar o impacto e a criticidade do incidente;
c) Identificar a(s) causa(s) do incidente;
d) Procedimentos a serem seguidos imediatamente após a ocorrência de um incidente que possui potencial de impactar a BRP PAY de maneira adversa;
e) Definir a instalação reserva, com especificação dos bens de informática nela disponíveis, na qual os sistemas passarão a funcionar;
f) Estabelecer a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da BRP PAY. Quanto maior a influência do aplicativo na capacidade de funcionamento da BRP PAY, na sua situação econômica e na sua imagem, mais crítico ele será;
g) Priorizar os arquivos, programas, para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente;
h) Identificar empresas responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração;
i) Procedimento necessário para restaurar os serviços computacionais na instalação reserva;
j) Notificar o Comitê de Segurança da Informação sobre o ocorrido e as ações adotadas;
k) Monitorar a situação até o retorno à normalidade das operações;
l) Definir condições para ativação do Plano de Continuidade.
2.3. DEPARTAMENTO DE RECURSOS HUMANOS
Graças à sua proximidade direta com os funcionários bem como à sua posição singular de ser o primeiro a entrar em contato com todos os colaboradores, o RH tem um papel crucial na garantia da segurança das informações dentro da organização, sendo responsáveis por:
• Auxiliar o Comitê de Segurança da Informação na divulgação das políticas de Segurança da Informação e oferecer orientações sobre o uso adequado aos usuários do sistema relevantes incluindo prestadores de serviço;
• Colaborar com o Comitê de Segurança da Informação na conscientização sobre segurança por meio de diferentes formas de comunicação enviadas aos funcionários, seja por mensagens internas, treinamentos online, reuniões presenciais etc.
• lidar com punições disciplinares relacionadas a infrações da Política de Segurança da Informação.
2.4. GERÊNCIA DE PROCESSOS E CONTROLES INTERNOS
Está incumbida de definir, implementar, monitorar e melhorar processos operacionais mais seguros e assertivos com menos esforço, atendendo a regras do PSCI, com auxílio de manuais e fluxogramas.
3. PRINCÍPIOS
Confidencialidade: Garantir que somente pessoas autorizadas acessem as informações.
Integridade: Proteger a exatidão e completude das informações.
Disponibilidade: Assegurar que as informações estejam acessíveis sempre que necessário.
Resiliência: Estar preparado para detectar, responder e se recuperar de incidentes.
4. ANÁLISE DE RISCO
O Gerente de Tecnologia da Informação (TI) deve garantir que os riscos sejam adequadamente gerenciados por meio de identificação precisa das ameaças potenciais. Isso implica em categorizar esses riscos para implementar medidas de segurança efetivas visando o seu tratamento, seja minimizando ou eliminando definitivamente.
4.1. AVALIAÇÃO E CLASSIFICAÇÃO
A classificação dos incidentes combina a urgência para resolução do incidente e o impacto do incidente com o nível de criticidade, que pode ser:
Nível | Descrição
Crítico: situações que representam uma ameaça séria à segurança dos bens materiais da BRP PAY ou de suas informações sensíveis que requerem intervenção urgente.
Alto: situações que possam colocando em risco a segurança dos bens materiais da BRP PAY ou das informações a ela relacionadas; contudo com um potencial de impactos negativos consideravelmente menor se comparado aos eventos críticos.
Médio: situações com impactos moderados e sem urgência imediata.
Baixo: situações que não têm impactos consideráveis nas atividades da BRP PAY.
5. CONTROLE DE ACESSO
A gestão dos acessos é mais bem definida na Política de Controle de Acesso (PCA), que é parte integrante desta política e de todo o Programa de Compliance (PC) da BRP PAY.
6. GESTÃO DE SISTEMAS, SERVIÇOS E INFRAESTRUTURA DE TI
A gestão dos sistemas computacionais (ferramentas de backoffice e plataformas gestão como: ERP, CRM e outras plataformas de colaboração, serviços de TI diversos como: processamento, armazenamento, hospedagem (em servidores físicos ou virtuais), desenvolvimento de aplicações, seja como serviço ou on premise, em nuvem ou não, estrangeira ou nacional, visando garantir o SLA, a integridade, a disponibilidade, a capacidade operacional e outros requisitos necessários ao pleno funcionamento das atividades aos Clientes, nos serviços prestados, seja internamente pelo nosso time ou por empresas terceiras contratadas, são definidas na Política de Gestão de Sistemas, Serviços e Infraestrutura de TI (PGSTI).
7. GESTÃO DE ATIVOS E MÍDIAS
A gestão dos ativos digitais, incluindo as mídias, foi definido na Política de Gestão de Ativos e Mídias (PGAM), que é parte integrante desta política e de todo o Programa de Compliance (PC) da BRP PAY
8. GESTÃO DE COMUNICAÇÕES
Definimos as diretrizes, direitos, métodos e boas práticas nas comunicações, sejam internas ou com terceiros externos a BRP PAY, na Política de Comunicações (POC), que é parte integrante desta política e de todo o nosso Programa de Compliance (PC).
9. GESTÃO DA CONTINUIDADE
Com o intuito de preservar a integridade dos dados corporativos e garantir que os serviços estejam disponíveis em casos de eventos imprevistos que possam afetar as operações comerciais normais de forma negativa e visando restaurar o funcionamento dos sistemas rapidamente para minimizar os danos causados por circunstâncias não previstas, é estabelecido o Plano de Continuidade de Negócios (PCN), um dos principais documentos para orientação sobre esse assunto específico. Seguiremos os princípios do PDCA (Planejar, Executar, Verificar e Agir) para delinear as ações e planos sobre a segurança da informação.
9.1. PLANO DE AÇÃO E RESPOSTA A INCIDENTES
Além de ter um plano de resposta a incidentes atualizado e cumprir com os prazos de notificação aos órgãos reguladores, o Gerente de TI deve manter um repositório de todos os incidentes. Também deve ser apresentado ao CSI, anualmente, relatório sobre os Planos de Ação e Respostas a Incidentes, contemplando:
• A efetividade da implementação das ações relativas à Política de Gestão de Incidentes (PGI), a Política de Recuperação de Desastres (PRD);
• O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes;
• Os incidentes relevantes e/ou com maior grau de criticidade relacionados com o ambiente tecnológico ocorridos no período de apuração imediatamente anterior à produção do relatório;
• Os resultados dos testes/simulações de continuidade de negócios, considerando cenários críticos de indisponibilidade definitiva ou prolongada ocasionadas por incidentes de média ou alta criticidade.
9.2. MONITORAMENTO E DETECÇÃO DE AMEAÇAS
• Implantar ferramentas de SIEM (Sistema de gerenciamento e correlação de eventos de segurança), antimalware, antivírus, IDS/IPS (Ferramentas para detectar e prevenir intrusões em redes e sistemas), dentre outras.
• Monitoramento 24x7 com critérios definidos e alertas automatizados, conforme padrões de mercado e indicação de fornecedores especializados.
10. POLÍTICA PARA COMPARTILHAMENTO DE DADOS COM PROVEDORES DE SERVIÇOS
Para seguir as melhores práticas do setor de forma adequada é essencial realizar uma análise minuciosa antes de estabelecer relações com novos prestadores de serviços. Além disso é fundamental monitorar aqueles que já estão em ação armazenando ou processando os dados dos titulares dos cartões, em nome da BRP PAY.
Esses prestadores de serviços que têm potencial para impactar a segurança das informações sigilosas dos titulares dos cartões e devem ser considerados dentro do escopo desta política empresarial.
Um contrato com todos os prestadores de serviços é essencial para garantir que eles assumam a responsabilidade de proteger os dados do titular do cartão recebidos em nome da BRP PAY ou que possam afetar a segurança do ambiente de dados do titular do cartão. Além disso, os prestadores de serviços devem se comprometer a apresentar evidências anuais de conformidade validada.
Antes de fechar negócio com um prestador de serviços relevante, um processo completo de diligência deve ser seguido. As avaliações devem ser feitas uma vez por ano e os prestadores de serviços devem fornecer evidências demonstrando sua conformidade contínua com o PCI DSS, sempre que interagirem com qualquer dado de transação de cartão.
11. DENÚNCIA E CONSEQUÊNCIAS POR DESCUMPRIMENTO
Todos os colaboradores deveram anuir, juntamente com o Contrato de Trabalho sobre suas funções e responsabilidades. O não cumprimento desta Política, que é parte relacionada ao Contrato de Trabalho, constitui falta grave junto as regras de relacionamento trabalhista e sua legislação, passível de punição.
Juntamente ao Contrato de Trabalho, também deverão ser cumpridas as diretrizes do Código de Ética e Conduta, bem como do Programa de Integridade.
Os colaboradores que eventualmente receberem pedidos para desrespeitar e infringir as diretrizes previstas nestes documentos, devem imediatamente reportar a sua Diretoria e ao Compliance, pois tais atos serão punidos conforme a Política de Consequências e Sanções (PCS).
Os colaboradores que forem considerados inadimplentes com o cumprimento de suas responsabilidades ou culpados de procedimentos inadequados sofrerão as consequências de acordo com a legislação trabalhista vigente.
12. CANAL DE SUGESTAO E DENÚNCIAS
Nós recomendamos e incentivamos que a ocorrência de ações, comportamentos inadequados, sinais de alerta de infringências e outras situações contrárias as definições, orientações e diretrizes aqui deste documento (e suas referências), bem como procedimentos internos e legislação brasileira de conhecimento geral, que seja de conhecimento de qualquer parte envolvida, sejam imediatamente comunicadas para averiguação através do Canal de Denúncia disponível em https://brp-pay.com.br/canal-de-denuncias, onde todas serão investigadas com transparência, ética e imparcialidade, garantindo o sigilo no processo como um todo e apuração adequada, resultado em possíveis sansões e punições das partes envolvidas, conforme definidos no Programa de Compliance.
13. TERMO DE CONFIDENCIALIDADE
Todos os funcionários devem assinar o documento Termo de Adesão, Ciência e Compromisso com o Programa de Compliance, como um todo, fornecido pelo RH no processo de onboarding.
Todos os contratos firmados, seja com clientes ou fornecedores da BRP PAY, devem, obrigatoriamente, possuir cláusula de Confidencialidade, respeitos as leis anticorrupção e demais previstas em nosso PC.
14. GOVERNANÇA, TREINAMENTOS E CULTURA ORGANIZACIONAL
O conteúdo aqui disposto deve ser revisado periodicamente (mínimo anualmente ou sempre que houver incidentes relevantes) para garantir sua atualização e conformidade regulatória, seguindo as melhores práticas do mercado.
Será promovido a contínua capacitação periódica por meio de treinamentos, na forma de lives, webinars, estudos de caso, cursos online especializados e/ou campanhas de divulgação, onde ficarão registrados, bem como quando aplicadas avaliações de aprendizado para o público-alvo ao qual este se destina. Os principais temas são phishing, engenharia social e segurança no uso de sistemas e proteção de ativos digitais.
A contínua fomentação da “cultura de controle” relativo ao monitoramento, controle e denúncia de qualquer suspeita de violação das regras e normas deste, e da coleta de feedbacks sobre os treinamentos, comunicação e facilidade acesso à informação sobre o todo o Programa de Compliance (PC).
15. DISPOSIÇÕES GERAIS
É de responsabilidade de todos os envolvidos, o conhecimento amplo de suas responsabilidades e a compreensão deste documento. O conteúdo deste não exime o cumprimento de qualquer outra regra interna ou legal estabelecida.
Em casos de dúvidas ou esclarecimentos sobre o conteúdo desse documento ou em relação a algum assunto específico, a parte interessada deverá entrar em contato com o Compliance ou Ouvidora, disponível em https://brp-pay.com.br/ouvidoria.
16. CONTROLE DE VERSÕES E HISTÓRICO
Versão: 1.1
Criação: maio/2025
Alteração: setembro/2025
Aprovação: setembro/2025
Vigência: setembro/2025
Responsável: Jurídico, Controles Internos, Risco e Compliance.
Revisada e aprovada pela Diretoria Executiva.
