Política de Segurança da Informação e Cibernética – Creditt Meios de Pagamentos LTDA
1. Apresentação
A Creditt Meios de Pagamentos LTDA (“Creditt” ou “Companhia”) estabelece a presente Política de Segurança da Informação e Cibernética com o objetivo de definir princípios, diretrizes, papéis e responsabilidades voltados à proteção das informações, dos dados pessoais e dos ativos tecnológicos utilizados em suas operações.
Esta Política está alinhada às boas práticas de mercado, às normas regulatórias aplicáveis ao setor de meios de pagamento, à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e às diretrizes do Banco Central do Brasil.
2. Objetivo
Garantir a proteção das informações sob responsabilidade da Creditt, assegurando os princípios de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio, bem como a capacidade de prevenir, detectar, responder e mitigar incidentes de segurança da informação e cibernética.
3. Escopo
Esta Política aplica-se a:
Colaboradores, administradores e diretores da Creditt;
Prestadores de serviços, parceiros e fornecedores (Terceiros);
Sistemas, ambientes tecnológicos, dados e informações processados, armazenados ou transmitidos pela Companhia.
4. Termos e Definições (resumo)
Ativo: qualquer recurso que possua valor para a Creditt, incluindo informações, sistemas, equipamentos e pessoas.
Dados Pessoais: informações relacionadas a pessoa natural identificada ou identificável.
Incidente de Segurança: evento que comprometa ou possa comprometer a confidencialidade, integridade, disponibilidade ou autenticidade das informações.
Acesso Privilegiado: acesso com permissões elevadas a sistemas ou ativos críticos.
5. Princípios de Segurança da Informação
A Creditt adota como princípios fundamentais:
Confidencialidade: acesso restrito às informações apenas a pessoas autorizadas;
Integridade: garantia de exatidão e completude das informações;
Disponibilidade: acesso às informações e sistemas sempre que necessário;
Autenticidade: confirmação da identidade das partes envolvidas;
Não Repúdio: capacidade de comprovar a autoria e a realização de ações.
6. Diretrizes Gerais
A Creditt compromete-se a:
Manter uma estrutura de governança adequada em Segurança da Informação;
Disponibilizar recursos humanos e tecnológicos compatíveis com os riscos do negócio;
Promover a cultura de segurança da informação entre colaboradores e terceiros;
Proteger seus ambientes físicos, lógicos e em nuvem contra acessos não autorizados;
Assegurar que todas as informações sejam tratadas conforme seu nível de criticidade.
7. Gestão de Riscos
A Creditt adota processos contínuos de identificação, avaliação, tratamento e monitoramento de riscos relacionados à segurança da informação e à segurança cibernética, alinhados ao seu apetite a risco e às normas internas de gestão de riscos.
8. Continuidade de Negócios
São mantidos Planos de Continuidade de Negócios (PCN) e Planos de Recuperação de Desastres (DRP), periodicamente testados e revisados, com o objetivo de assegurar a continuidade dos serviços essenciais em cenários de falhas operacionais ou incidentes de segurança.
9. Proteção de Dados Pessoais
A Creditt assegura que o tratamento de Dados Pessoais observe os princípios e bases legais previstos na LGPD, adotando controles técnicos e administrativos para proteger tais dados contra acessos não autorizados, vazamentos ou usos indevidos.
10. Gestão de Incidentes de Segurança
Os incidentes de segurança da informação devem ser:
Registrados;
Classificados;
Investigados;
Tratados;
Documentados.
Quando aplicável, incidentes relevantes poderão ser comunicados às autoridades competentes e aos titulares de dados, conforme exigência legal.
11. Controle de Acessos
Os acessos físicos e lógicos são concedidos com base no princípio do menor privilégio;
Acessos são revisados periodicamente;
Em desligamentos ou mudanças de função, os acessos são imediatamente ajustados ou revogados.
Acessos privilegiados devem ser monitorados, registrados e protegidos por mecanismos adicionais de segurança.
12. Senhas e Autenticação
As credenciais de acesso devem ser pessoais, intransferíveis e atender a requisitos mínimos de complexidade e segurança. É proibido o compartilhamento de senhas.
13. Uso Aceitável dos Ativos
Os ativos de tecnologia da informação devem ser utilizados exclusivamente para fins profissionais e de acordo com as normas internas da Creditt, sendo vedado o uso não autorizado ou que comprometa a segurança das informações.
14. Backup e Recuperação
As informações críticas são protegidas por rotinas de backup periódico, armazenadas de forma segura e testadas regularmente para garantir a possibilidade de restauração.
15. Criptografia e Proteção de Dados
A Creditt utiliza mecanismos de criptografia para proteção de dados em trânsito e em repouso, assegurando a confidencialidade e integridade das informações.
16. Segurança de Redes e Ambientes
São adotados controles de segurança como firewalls, segmentação de redes, monitoramento contínuo e proteção contra softwares maliciosos, tanto em ambientes locais quanto em nuvem.
17. Relacionamento com Terceiros
Terceiros que tenham acesso a informações ou sistemas da Creditt devem cumprir requisitos mínimos de segurança da informação, formalizados contratualmente.
18. Desenvolvimento Seguro
Os sistemas desenvolvidos ou mantidos pela Creditt seguem práticas de desenvolvimento seguro, com avaliações periódicas de vulnerabilidades e testes de segurança.
19. Auditoria e Monitoramento
A Creditt realiza monitoramento contínuo e auditorias periódicas para verificar a conformidade com esta Política e com a legislação aplicável.
20. Conscientização e Treinamento
Todos os colaboradores e, quando aplicável, terceiros, devem participar de programas de conscientização e treinamento em Segurança da Informação.
21. Penalidades
O descumprimento desta Política poderá resultar em medidas disciplinares, sanções contratuais e demais penalidades previstas em lei.
22. Disposições Finais
Esta Política será revisada periodicamente e poderá ser atualizada a qualquer tempo, visando sua adequação às mudanças legais, regulatórias ou tecnológicas.
Um resumo desta Política poderá ser disponibilizado no site institucional da Creditt.
