Política de Segurança Cibernética

Bem-vindo à Política de Segurança Cibernética da WEpayments

Estamos empenhados em proteger a sua privacidade! Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos seus dados pessoais, bem como respeitamos seus direitos assegurados pela legislação aplicável, quando fornecidos seus dados no nosso site eletrônico

1. OBJETIVO

Esse documento tem o objetivo de estabelecer diretrizes que permitam a WEpayments, preservar e proteger as informações de seus clientes, funcionários, prestadores de serviços, partes interessadas e da própria empresa contra ameaças e riscos relacionados à segurança da informação e a segurança cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade da WEpayments a incidentes, e também dispõe sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

2. ABRANGÊNCIA

A Política se aplica a todos os administradores da WEpayments(“Alta Administração”), funcionários, empresas prestadoras de serviço, e parceiros de negócios.

A Política também poderá ser alterada, a qualquer momento, para contemplar quaisquer alterações regulatórias e outras obrigações legais.

3. RESPONSABILIDADES

São deveres e responsabilidades de implementação, execução e manutenção desta Política:

Diretor responsável pela execução e manutenção desta Política: responsável pela implementação, aprovação, atualização periódica, execução e manutenção desta Política, assim como, pela convocação das reuniões periódicas do comitê de segurança da informação e segurança cibernética;

Comitê de Segurança da Informação e Segurança Cibernética: comitê formado por Colaboradores indicados pelas áreas de WEpayments e aprovadas pela Alta Administração, com o objetivo de deliberar a respeito de assuntos relacionados à esta Política.

O Comitê de Segurança da Informação e Segurança Cibernética tem como principal objetivo direcionar ações para o fortalecimento de temas específicos, definidos como estratégicos para a organização. Formada por uma equipe multidisciplinar de colaboradores, que contribuam com diferentes competências, visões sobre o negócio e/ou projeto, e produzam resultados ágeis que resultem em propostas de valor para a empresa. O Comitê de Segurança da Informação e Segurança Cibernética é responsável pela implementação de melhorias, por meio de automação de processos, integração de sistemas e padronização das atividades, sempre pensando na Proteção dos dados e das informações.

Departamento de Segurança da Informação: o Departamento de Segurança da Informação é responsável por criar, aplicar e monitorar as políticas de segurança utilizadas. Vale a pena lembrar que apesar de serem definidas pela equipe de TI, segurança é responsabilidade de todos.

Usuários: A Alta Administração e os Colaboradores da WEpayments, que direta ou indiretamente utilizam ou suportam os sistemas, a infraestrutura ou as informações da instituição, e que devem, no que couber: (i) cumprir as normas e procedimentos relacionados ao uso de informações e sistemas associados, em conformidade com o estabelecido nesta Política; (ii) informar, imediatamente, às áreas responsáveis, qualquer falha em dispositivos, serviços ou processos relacionados à Segurança da Informação e Segurança Cibernética, para que sejam tomadas ações de forma tempestiva; (iii) utilizar as informações relacionadas à esta Política, como patrimônio da WEpayments, e mantê-las seguras, integras e disponíveis, conforme sua classificação e necessidade.

4. PRINCÍPIOS

A WEpayments tem o compromisso de garantir a segurança e o tratamento adequado das informações. Para tanto, nossas atividades se baseiam nos seguintes princípios:

  • Autenticidade: garantia de identificar e autenticar usuários, entidades, sistemas ou processos com acesso à informação;
  • Confidencialidade: garantia de que somente pessoas autorizadas terão acessos às informações e apenas quando houver necessidade;
  • Disponibilidade: garantia de que a informação estará disponível às pessoas autorizadas sempre que for necessário;
  • Integridade: garantia de que as informações permanecerão exatas e completas e não serão modificadas indevidamente.

5. DIRETRIZES GERAIS E BOAS PRÁTICAS

Com o objetivo de garantir os objetivos desta Política, os procedimentos de Segurança da Informação e Segurança Cibernética seguirão as seguintes diretrizes:

  • Assegurar que não haja acessos indevidos, modificações, destruições ou divulgações não autorizadas das informações. Para tanto, o acesso do Colaborador deve ser pessoal, intransferível e restrito aos recursos necessários para realizar suas atribuições na WEpayments.
  • Cada Colaborador, quando aplicável, receberá uma senha pessoal de acesso e ficará responsável por manter sua senha em sigilo para evitar acesso indevido às informações que estão sob sua responsabilidade.
  • Assegurar que todas as informações sejam tratadas de maneira ética e sigilosa e que sejam adotadas medidas capazes de evitar ou, ao menos, registrar acessos indevidos, modificações, destruições ou divulgações não autorizadas.
  • Assegurar que as informações sejam utilizadas somente para a finalidade para a qual foram coletadas e que o acesso esteja condicionado à autorização.
  • Assegurar o cumprimento dos procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de Segurança Cibernética, tais como, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
  • Assegurar o registro, análise da causa e o impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da WEpayments, como Instituição de Pagamento – Emissor de Moeda Eletrônica e Instituição de Pagamento – Iniciador de Transações de Pagamento; e
  • Assegurar a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados.

6. PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

A fim de assegurar que todas as diretrizes acima sejam cumpridas e que os princípios de Segurança da Informação e de Segurança Cibernética sejam devidamente seguidos, a WEpayments adotará políticas e procedimentos para os processos elencados a seguir.

7. GERAÇÃO DE SENHAS

Como prevenção de acesso indevidos:

  • Todas as senhas devem ter ao menos 12 caracteres;
  • Utilize a combinação de ao menos 5 palavras aleatórias, letras maiúsculas, minúsculas, números e símbolos;
  • Evite criar senhas previsíveis;
  • Senhas não podem ser reutilizadas; e
  • As senhas não podem conter ou serem idênticas ao nome do usuário.

8. ACESSO FÍSICO A DADOS

Como prevenção de vazamento de dados:

  • Utilize uma partição criptografada;
  • Utilize um protetor de tela com senha;
  • Nunca deixe seu computador sem bloquear a tela;
  • Deixe o antivírus fornecido pela empresa habilitado; e
  • Para evitar problemas legais de licenciamento, direitos de uso, incompatibilidade e falhas de segurança, as instalações de softwares necessários às atividades, deverão ser feitas exclusivamente pela área de suporte técnico através de abertura de chamado.

9. CLASSIFICAÇÃO DA INFORMAÇÃO

As informações devem ser classificadas segundo sua criticidade e sensibilidade para o negócio e seus clientes. Portanto, a WEpayments deve adotar a seguinte classificação:

  • Informação Pública: aquela que pode ser acessada por todos, sem restrição. São exemplos: dados divulgados ao mercado e dados promocionais;
  • Informação Interna: aquela que pode ser acessada somente por colaboradores da WEpayments. São exemplos: normas, procedimentos e formulários da WEpayments;
  • Informação Restrita: aquela que pode ser acessada somente por colaboradores que precisam dela para desempenhar suas atribuições. São exemplos: contratos e documentos estratégicos da WEpayments; e
  • Informação Confidencial: aquela que pode ser acessada somente por colaboradores que tenham permissão de acesso ou que necessitem dela para um propósito específico. São exemplos: plano estratégico e informações de clientes.

10. CONTROLE DE ACESSO

A WEpayments adota controles de acesso em toda infraestrutura para evitar que indivíduos não autorizados tenham acesso aos ambientes segregados, aos sistemas internos e as informações que não sejam de livre acesso e sem permissão prévia. Desta forma, a WEpayments implementa mecanismos para a autenticação de usuários, manutenção de segregação de funções, rastreabilidade de acesso e aprovação de acesso, quando aplicável, de forma a garantir procedimentos internos adequados e consistentes.

11. ACESSO REMOTO

Terá acesso remoto aos servidores da empresa apenas pessoas autorizadas que necessitem realizar manutenção nos sistemas. O acesso deverá ser controlado e logs de acesso deverão estar disponíveis no serviço de monitoramento da empresa.

12. GESTÃO DE RISCOS

A WEpayments possui processo para análise de vulnerabilidades, ameaças e impactos sobre os Ativos de informação para, diante de um incidente, adotar as medidas adequadas para minimizar os danos causados.

Os processos de gestão de riscos englobam os controles de mudanças no ambiente de tecnologia da WEpayments, que são estruturados e aplicados através de um conjunto de processos que vão atuar em todas as áreas potencialmente impactadas, bem como a capacitação e o engajamento dos colaboradores diretamente envolvidos nas ações mitigatórias dentro da WEpayments, com o objetivo da preparação para essas situações.

13. PLANO DE CONTINUIDADE

A WEpayments realiza plano de continuidade dos serviços prestados a partir da adoção de um conjunto preventivo de estratégias e planos de ação para garantir que os serviços essenciais da WEpayments sejam devidamente identificados e preservados após a ocorrência de uma contingência. Para tanto, a WEpayments realizará o mapeamento de processos críticos, análise de impacto nos negócios e inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança.

14. GESTÃO DE FORNECEDORES

A WEpayments verifica o grau de comprometimento com relação a controles de Segurança da Informação e Segurança Cibernética de todos os seus prestadores de serviços, fornecedores e parceiros que processam e armazenam dados da WEpayments, com a finalidade de verificar o nível de maturidade dos controles de segurança e o plano de tratamento de incidentes adotados.

15. SEGURANÇA FÍSICA DO AMBIENTE

A WEpayments deve implementar sistema para controle de acesso dos colaboradores, prestadores de serviços, fornecedores, provedores e parceiros aos locais restritos, como armários. Os equipamentos e instalações de processamento de informação crítica ou sensível devem ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.

16. DESCARTE E REAPROVEITAMENTO DE EQUIPAMENTOS

Qualquer equipamento da empresa, antes de ser descartado ou reaproveitado, deve ser formatado garantindo que qualquer informação restrita esteja deletada. Se possível deve-se remover o hard drive do equipamento e entregá-lo para que seja executada a formatação adequada.

17. GERENCIAMENTO DE CAPACIDADE

Possuímos controles para garantir a capacidade e o planejamento é realizado conforme necessidade e uso dos sistemas.

Preferencialmente todos os serviços da empresa devem estar em ambientes auto escaláveis que garantam a persistência e segurança dos dados.

18. BACKUP E RESTAURAÇÃO DE DADOS

A WEpayments adota uma rotina de backup e restauração de dados que assegura a disponibilidade das informações relevantes para o pleno funcionamento de suas atividades.

19. PROTEÇÃO CONTRA VÍRUS, ARQUIVOS E SOFTWARES MALICIOSOS

A WEpayments deve adotar mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a WEpayments a vulnerabilidades. Para tanto, os softwares de segurança, como o antivírus, devem estar instalados e atualizados em toda a rede interna da instituição.

20. TESTES DE VARREDURA PARA DETECÇÃO DE VULNERABILIDADE

A WEpayments se preocupa em identificar e eliminar as vulnerabilidades de seus sistemas e servidores para assegurar a integridade do ambiente dos processos de negócio. Para tanto, deve promover monitoramento constante e condução de testes e varredura para detecção de vulnerabilidades, avaliação de riscos e determinação de medidas de correção adequadas.

A WEpayments adota processo de atualização periódica de segurança no parque tecnológico, de forma a prevenir vulnerabilidades que possam ocasionar brechas de segurança para ataque de vírus e outros tipos de software, que se propaguem nos computadores, sistemas e servidores da WEpayments.

21. CRIPTOGRAFIA

Os Ativos de informação da WEpayments devem possuir criptografia adequada, conforme a classificação da informação, em todo tráfego que ocorrer em rede pública, a fim de se garantir proteção em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores.

22. INCIDENTES DE SEGURANÇA

Incidentes de segurança não podem ser publicados e devem ser notificados imediatamente para o e-mail security@wepayout.co

Ao tomar ciência do incidente fica sob responsabilidade do diretor de Segurança da Informação e Segurança Cibernética elaborar plano de ação para corrigir a falha ou mitigar danos.

A gestão sobre a ameaça deve seguir os seguintes passos:

  1. Observação: validar e garantir que a ameaça existe
  2. Orientação: checar histórico de ameaças e analisar impactos da ameaça
  3. Decisão: elaboração do plano de ação
  4. Ação: Criação do comitê para elaborar a correção e testar se a falha foi corrigida.

23. MECANISMOS DE RASTREABILIDADE

A WEpayments deve adotar controles específicos para promover a rastreabilidade da informação, principalmente que busquem garantir a segurança das informações sensíveis.

24. REGISTRO DE IMPACTO

A WEpayments deve realizar registro, e análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da WEpayments, que devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

25. TREINAMENTOS E CONSCIENTIZAÇÃO

A WEpayments preza por uma cultura de Segurança da Informação e Segurança Cibernética. Dessa forma, devem ser adotados políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, garantindo-se a capacitação e conscientização para toda a Alta Administração e todos os seus colaboradores.

26. CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E COMPUTAÇÃO EM NUVEM

A WEpayments preza por uma cultura de Segurança da Informação e Segurança Cibernética. Dessa forma, devem ser adotados políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, garantindo-se a capacitação e conscientização para toda a Alta Administração e todos os seus colaboradores.

26.1. SELEÇÃO DE TERCEIROS

O processamento e armazenamento de dados e computação em nuvem será realizado por meio de terceiros localizados no Brasil ou no exterior. A contratação de terceiros deve ser realizada por meio da aferição da capacidade do prestador de serviço para realizar as atividades em cumprimento com a legislação e regulamentação aplicável.

27. EXECUÇÃO DE APLICATIVOS PELA INTERNET

No caso da execução de aplicativos por meio da internet, a WEpayments deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

28. SERVIÇOS DE COMPUTAÇÃO EM NUVEM

Os serviços de computação em nuvem disponibilizados à WEpayments, sob demanda e de maneira virtual, deverão incluir um ou mais serviços conforme descritos abaixo:

  • Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à WEpayments implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela WEpayments ou por ela adquiridos;
  • Implantação ou execução de aplicativos desenvolvidos pela WEpayments, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; e
  • Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.


A WEpayments é responsável, em conjunto com o prestador de serviços, pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

29. COMUNICAÇÃO ENTRE CLIENTES E COLABORADORES

Toda a comunicação entre clientes e colaboradores deve ser realizada através de canais oficiais da empresa.

Histórico de Revisões

Data: 22/01/2024
Versão: 2.0
Descrição: Revisão do documento
Responsável: Geyson Dressler

Data: 12/02/2024
Versão: 2.0
Descrição: Aprovação do documento
Responsável: Alberto Rodrigo Pereira

©2022 WEpayments. All rights reserved.