DG INSTITUIÇÃO DE PAGAMENTO, pessoa jurídica de direito privado, inscrita no CNPJ sob nº 59.697.879/0001-15, com sede na Alameda Santos – Número: 1165, Sala: 11, Cerqueira César, São Paulo – SP – CEP: 01419-002, doravante denominada simplesmente “INSTITUIÇÃO”, estabelece a presente Política de Segurança da Informação e Cibersegurança.

1. OBJETIVO

Esta Política tem como objetivo estabelecer diretrizes, princípios e controles destinados a garantir a confidencialidade, integridade, disponibilidade e resiliência das informações tratadas pela DG INSTITUIÇÃO DE PAGAMENTO, protegendo seus ativos digitais contra acessos não autorizados, vazamentos, fraudes, perdas ou qualquer outro incidente cibernético.

2. ABRANGÊNCIA

Aplica-se a:

• Todos os colaboradores, estagiários, sócios e prestadores de serviço da INSTITUIÇÃO;

• Parceiros de negócios e terceiros com acesso a ativos de informação;

• Infraestrutura tecnológica, ambientes físicos, sistemas, bancos de dados, documentos, redes e equipamentos utilizados pela INSTITUIÇÃO.

3. PRINCÍPIOS NORTEADORES

Esta Política está fundamentada nos seguintes pilares:

• Confidencialidade: garantia de que as informações sejam acessadas apenas por pessoas autorizadas;

• Integridade: manutenção da exatidão e consistência das informações;

• Disponibilidade: garantia de acesso às informações e sistemas sempre que necessário;

• Rastreabilidade: capacidade de auditoria, identificação e monitoramento dos acessos e ações realizadas;

• Resiliência cibernética: capacidade de prevenir, detectar, responder e recuperar-se de eventos adversos.

4. CLASSIFICAÇÃO DA INFORMAÇÃO

Todas as informações devem ser classificadas de acordo com o grau de sensibilidade:

• Pública: acessível ao público em geral, sem prejuízos à organização;

• Interna: de uso restrito a colaboradores e parceiros autorizados;

• Confidencial: acesso limitado a setores específicos, envolvendo dados estratégicos, regulatórios ou protegidos por sigilo legal (como dados pessoais sensíveis);

• Crítica: informações cuja exposição ou alteração possa causar alto impacto operacional, financeiro ou reputacional.

5. CONTROLES DE ACESSO

• O acesso aos sistemas e informações será concedido com base no princípio do menor privilégio e da necessidade de conhecimento;

• Toda concessão, alteração ou revogação de acessos deve ser formalmente autorizada e registrada;

• É obrigatória a utilização de credenciais únicas e intransferíveis, com autenticação segura (ex.: MFA, senha forte, token);

• A INSTITUIÇÃO realiza auditorias periódicas para revisar os acessos e prevenir abusos.

6. PROTEÇÃO DE DADOS PESSOAIS

• Os dados pessoais tratados estão sujeitos à Lei Geral de Proteção de Dados (Lei nº 13.709/2018);

• É proibido o tratamento sem base legal ou a transferência não autorizada de dados;

• Incidentes com dados pessoais devem ser imediatamente reportados ao Encarregado de Dados (DPO);

• A coleta, o armazenamento e o descarte seguem padrões técnicos e de governança definidos na Política de Privacidade da INSTITUIÇÃO.

7. SEGURANÇA CIBERNÉTICA

7.1. Infraestrutura

• Os ambientes tecnológicos são protegidos por firewalls, antivírus, criptografia, IDS/IPS, backups redundantes e controle de vulnerabilidades;

• Toda comunicação entre sistemas deve ocorrer por meio de canais criptografados (ex.: HTTPS, VPN, TLS);

• A infraestrutura crítica utiliza serviços de alta disponibilidade (HA), redundância e planos de continuidade de negócios.

7.2. Monitoramento e Resposta a Incidentes

• Os ativos da INSTITUIÇÃO são monitorados em tempo real;

• A equipe de segurança possui procedimentos documentados de detecção, contenção, resposta e recuperação de incidentes;

• Há um plano formal de gestão de crises e continuidade cibernética, com simulações periódicas.

8. TREINAMENTO E CONSCIENTIZAÇÃO

• Todos os colaboradores recebem treinamento inicial e contínuo sobre boas práticas de segurança da informação e prevenção a fraudes;

• A INSTITUIÇÃO realiza campanhas de conscientização sobre phishing, engenharia social, uso de senhas, acesso remoto e outras ameaças cibernéticas.

9. TRATAMENTO DE INCIDENTES DE SEGURANÇA

• Qualquer evento que comprometa ou possa comprometer ativos de informação deve ser imediatamente reportado à área responsável;

• A INSTITUIÇÃO analisará a causa raiz, impacto e providências corretivas;

• Incidentes relevantes serão notificados às autoridades competentes e partes impactadas, conforme a legislação vigente.

10. GESTÃO DE TERCEIROS

• Todos os terceiros que tratem informações ou tenham acesso a sistemas da INSTITUIÇÃO devem assinar termos de confidencialidade e aderir às políticas internas;

• O relacionamento com fornecedores passa por avaliação de riscos de segurança e privacidade antes da contratação e periodicamente.

11. AUDITORIAS E MELHORIA CONTÍNUA

• São realizadas auditorias internas e externas periódicas para avaliar a conformidade com esta Política;

• As não conformidades são registradas e tratadas por meio de planos de ação específicos;

• Esta Política será revisada anualmente ou sempre que houver mudanças relevantes no ambiente tecnológico, regulatório ou nos riscos identificados.

12. SANÇÕES E RESPONSABILIDADE

• O descumprimento das regras aqui estabelecidas sujeita o infrator a medidas disciplinares, incluindo advertência, suspensão, desligamento ou responsabilização civil e penal, conforme a gravidade da conduta;

• A INSTITUIÇÃO poderá bloquear acessos ou suspender contratos para preservar a integridade dos seus sistemas e informações.