Voltar
Política do Sistema de Gestão de Segurança da Informação (SGSI)
Voltar
Política do Sistema de Gestão de Segurança da Informação (SGSI)
Voltar
Política do Sistema de Gestão de Segurança da Informação (SGSI)
Voltar
Política do Sistema de Gestão de Segurança da Informação (SGSI)
Sumário
1. Propósito
A Paag, reconhecendo a informação como um ativo crítico para o sucesso de seus negócios e a confiança de seus clientes, estabelece esta Política para governar seu Sistema de Gestão de Segurança da Informação (SGSI).
O objetivo principal é garantir a proteção adequada das informações corporativas e dados de clientes, assegurando a continuidade dos serviços e a conformidade com as leis e regulamentações vigentes no mercado financeiro e de tecnologia.
1. Propósito
A Paag, reconhecendo a informação como um ativo crítico para o sucesso de seus negócios e a confiança de seus clientes, estabelece esta Política para governar seu Sistema de Gestão de Segurança da Informação (SGSI).
O objetivo principal é garantir a proteção adequada das informações corporativas e dados de clientes, assegurando a continuidade dos serviços e a conformidade com as leis e regulamentações vigentes no mercado financeiro e de tecnologia.
2. Comprometimento da Alta Direção
Em conformidade com a norma ABNT NBR ISO/IEC 27001, a Alta Direção da Paag compromete-se a:
● Assegurar a Confidencialidade, Integridade e Disponibilidade das informações;
● Satisfazer os requisitos aplicáveis relacionados à segurança da informação, incluindo a Lei Geral de Proteção de Dados (LGPD), normas do Banco Central do Brasil e obrigações contratuais;
● Prover os recursos necessários para a manutenção e operação do SGSI;
● Promover a melhoria contínua do sistema de gestão, adaptando-o constantemente às novas ameaças e mudanças no ambiente de negócios.
2. Comprometimento da Alta Direção
Em conformidade com a norma ABNT NBR ISO/IEC 27001, a Alta Direção da Paag compromete-se a:
● Assegurar a Confidencialidade, Integridade e Disponibilidade das informações;
● Satisfazer os requisitos aplicáveis relacionados à segurança da informação, incluindo a Lei Geral de Proteção de Dados (LGPD), normas do Banco Central do Brasil e obrigações contratuais;
● Prover os recursos necessários para a manutenção e operação do SGSI;
● Promover a melhoria contínua do sistema de gestão, adaptando-o constantemente às novas ameaças e mudanças no ambiente de negócios.
3. Princípios da Segurança
Nossa abordagem de segurança baseia-se nos seguintes pilares estratégicos:
3.1 Gestão de Riscos e Contexto Organizacional
A Paag mantém um processo contínuo de identificação e mitigação de riscos à segurança da informação, analisando proativamente ameaças técnicas, humanas, climáticas e ambientais que possam impactar a operação. Esta análise considera o contexto interno e externo da organização para garantir a resiliência dos nossos serviços frente a cenários adversos.
3.2 Controle de Acesso e Identidade
O acesso às informações e sistemas da Paag é restrito a usuários autorizados, concedido com base nos princípios do menor privilégio e da necessidade de conhecer. Utilizamos mecanismos robustos de autenticação (como Múltiplo Fator de Autenticação - MFA) para proteger o acesso a dados críticos.
3.3 Proteção de Dados e Privacidade
Todos os dados processados pela Paag são classificados conforme sua sensibilidade. Utilizamos tecnologias de criptografia (em trânsito e em repouso) e controles de prevenção de vazamento de dados para proteger informações sensíveis e dados pessoais.
3.4 Segurança Cibernética e Operacional
● Desenvolvimento Seguro: Nossas aplicações são desenvolvidas seguindo práticas de segurança desde a concepção (Security by Design), incluindo testes de vulnerabilidade e revisão de código.
● Gestão de Vulnerabilidades: Realizamos monitoramento constante e testes de intrusão (Pentests) periódicos para identificar e corrigir proativamente falhas de segurança.
● Continuidade de Negócios: Mantemos planos de contingência e recuperação de desastres testados periodicamente, assegurando a resiliência de nossos serviços diante de interrupções.
3.5 Relacionamento com Terceiros
Exigimos que todos os fornecedores, parceiros e prestadores de serviços da Paag adotem níveis de segurança compatíveis com nossos padrões. A troca de informações é precedida por avaliações de risco e formalização de Acordos de Confidencialidade (NDA).
3. Princípios da Segurança
Nossa abordagem de segurança baseia-se nos seguintes pilares estratégicos:
3.1 Gestão de Riscos e Contexto Organizacional
A Paag mantém um processo contínuo de identificação e mitigação de riscos à segurança da informação, analisando proativamente ameaças técnicas, humanas, climáticas e ambientais que possam impactar a operação. Esta análise considera o contexto interno e externo da organização para garantir a resiliência dos nossos serviços frente a cenários adversos.
3.2 Controle de Acesso e Identidade
O acesso às informações e sistemas da Paag é restrito a usuários autorizados, concedido com base nos princípios do menor privilégio e da necessidade de conhecer. Utilizamos mecanismos robustos de autenticação (como Múltiplo Fator de Autenticação - MFA) para proteger o acesso a dados críticos.
3.3 Proteção de Dados e Privacidade
Todos os dados processados pela Paag são classificados conforme sua sensibilidade. Utilizamos tecnologias de criptografia (em trânsito e em repouso) e controles de prevenção de vazamento de dados para proteger informações sensíveis e dados pessoais.
3.4 Segurança Cibernética e Operacional
● Desenvolvimento Seguro: Nossas aplicações são desenvolvidas seguindo práticas de segurança desde a concepção (Security by Design), incluindo testes de vulnerabilidade e revisão de código.
● Gestão de Vulnerabilidades: Realizamos monitoramento constante e testes de intrusão (Pentests) periódicos para identificar e corrigir proativamente falhas de segurança.
● Continuidade de Negócios: Mantemos planos de contingência e recuperação de desastres testados periodicamente, assegurando a resiliência de nossos serviços diante de interrupções.
3.5 Relacionamento com Terceiros
Exigimos que todos os fornecedores, parceiros e prestadores de serviços da Paag adotem níveis de segurança compatíveis com nossos padrões. A troca de informações é precedida por avaliações de risco e formalização de Acordos de Confidencialidade (NDA).
4. Conscientização e Cultura
A Segurança da Informação é responsabilidade de todos. A Paag mantém programas regulares de treinamento e conscientização para garantir que todos os colaboradores e terceiros compreendam suas responsabilidades na proteção dos dados e no uso ético dos recursos tecnológicos.
4. Conscientização e Cultura
A Segurança da Informação é responsabilidade de todos. A Paag mantém programas regulares de treinamento e conscientização para garantir que todos os colaboradores e terceiros compreendam suas responsabilidades na proteção dos dados e no uso ético dos recursos tecnológicos.
5. Respostas a Incidentes
Possuímos uma estrutura formal de detecção e resposta a incidentes de segurança, desenhada para agir prontamente na contenção de ameaças, minimizar impactos e comunicar as partes interessadas e autoridades competentes de forma transparente e tempestiva.
3. Diretrizes da Avaliação Interna de Risco
Lavagem de dinheiro: Conforme disciplinado pela Lei nº 9.613 de 1998, o crime de lavagem de dinheiro ou ocultação de bens, consiste na prática de ocultar ou dissimular a origem ilícita de bens ou valores que sejam frutos de crimes.
Financiamento do terrorismo: Crime disciplinado pela Lei nº 13.260, de 2016. Trata-se do financiamento de atos previstos na referida legislação, por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião, quando cometidos com a finalidade de provocar terror social ou generalizado, expondo a perigo pessoa, patrimônio, a paz pública ou a incolumidade pública.
Fraude: Crimes disciplinados pelo Código Penal Brasileiro, em seu artigo 171. Trata-se de ato enganoso, de má-fé, que objetiva lesar ou enganar terceiro, a fim de trazer vantagem, normalmente financeira, para o fraudador.
Corrupção: Ato de se utilizar indevidamente de um cargo/posição relevante, a fim de obter vantagem ou praticar atos que sejam considerados ilegais pelas legislações vigentes.
Merchant: Clientes diretos da Paag, sendo estes sempre Pessoas Jurídicas.
Usuário: Clientes dos Merchants, sendo estes sempre Pessoas Físicas.
6. Violações e Conformidade
O cumprimento desta política é obrigatório. Qualquer violação às diretrizes de segurança da informação será rigorosamente apurada e poderá acarretar a aplicação de sanções administrativas, rescisão contratual e medidas legais cabíveis.
3. Da validação de operação dos usuários
Lavagem de dinheiro: Conforme disciplinado pela Lei nº 9.613 de 1998, o crime de lavagem de dinheiro ou ocultação de bens, consiste na prática de ocultar ou dissimular a origem ilícita de bens ou valores que sejam frutos de crimes.
Financiamento do terrorismo: Crime disciplinado pela Lei nº 13.260, de 2016. Trata-se do financiamento de atos previstos na referida legislação, por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião, quando cometidos com a finalidade de provocar terror social ou generalizado, expondo a perigo pessoa, patrimônio, a paz pública ou a incolumidade pública.
Fraude: Crimes disciplinados pelo Código Penal Brasileiro, em seu artigo 171. Trata-se de ato enganoso, de má-fé, que objetiva lesar ou enganar terceiro, a fim de trazer vantagem, normalmente financeira, para o fraudador.
Corrupção: Ato de se utilizar indevidamente de um cargo/posição relevante, a fim de obter vantagem ou praticar atos que sejam considerados ilegais pelas legislações vigentes.
Merchant: Clientes diretos da Paag, sendo estes sempre Pessoas Jurídicas.
Usuário: Clientes dos Merchants, sendo estes sempre Pessoas Físicas.
Este documento é um resumo executivo das práticas de segurança da Paag. As políticas e procedimentos detalhados são de uso interno restrito.
3. Da validação de operação dos usuários
Lavagem de dinheiro: Conforme disciplinado pela Lei nº 9.613 de 1998, o crime de lavagem de dinheiro ou ocultação de bens, consiste na prática de ocultar ou dissimular a origem ilícita de bens ou valores que sejam frutos de crimes.
Financiamento do terrorismo: Crime disciplinado pela Lei nº 13.260, de 2016. Trata-se do financiamento de atos previstos na referida legislação, por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião, quando cometidos com a finalidade de provocar terror social ou generalizado, expondo a perigo pessoa, patrimônio, a paz pública ou a incolumidade pública.
Fraude: Crimes disciplinados pelo Código Penal Brasileiro, em seu artigo 171. Trata-se de ato enganoso, de má-fé, que objetiva lesar ou enganar terceiro, a fim de trazer vantagem, normalmente financeira, para o fraudador.
Corrupção: Ato de se utilizar indevidamente de um cargo/posição relevante, a fim de obter vantagem ou praticar atos que sejam considerados ilegais pelas legislações vigentes.
Merchant: Clientes diretos da Paag, sendo estes sempre Pessoas Jurídicas.
Usuário: Clientes dos Merchants, sendo estes sempre Pessoas Físicas.
Desenvolvedor
Desenvolvedor
Desenvolvedor
Desenvolvedor