POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA

FOLHA DE CONTROLE

Título: Política de Segurança da Informação e Segurança Cibernética
Versão: V01/2025
Status: Vigente
Abrangência: Brasil
Classificação: Documento de uso institucional
Área responsável: Compliance e Jurídico
Data de vigência: 02/09/2025

---

1. OBJETIVO E CONTEXTO

A presente Política de Segurança da Informação e Segurança Cibernética (“Política”) estabelece os princípios, diretrizes, responsabilidades e controles adotados pela NEXOPAYT SOLUÇÕES DE PAGAMENTOS LTDA (“NEXOPAYT”) para a proteção de seus ativos informacionais, tecnológicos e operacionais, em conformidade com a legislação vigente e boas práticas de mercado.

A Segurança da Informação compreende o conjunto de medidas destinadas a prevenir, identificar, responder e mitigar incidentes cibernéticos, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade das informações sob responsabilidade da NEXOPAYT.

Esta Política visa orientar o uso adequado dos recursos tecnológicos disponibilizados pela empresa, reduzindo riscos operacionais, legais, financeiros e reputacionais, bem como garantindo a continuidade dos negócios e a proteção dos dados pessoais tratados.

A abordagem adotada é baseada em gestão de riscos, alinhada aos princípios de Privacy by Design e Privacy by Default, sem comprometer a eficiência, a cultura organizacional e a inovação da NEXOPAYT.

---

2. BASE NORMATIVA E REGULATÓRIA

Esta Política observa, entre outras, as seguintes normas e legislações:

• Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018);

• Marco Civil da Internet (Lei nº 12.965/2014);

• Resolução CD/ANPD nº 2/2022;

• Resolução CMN nº 4.893/2021;

• Resolução BCB nº 85/2021;

• Boas práticas nacionais e internacionais de segurança da informação.

---

3. ABRANGÊNCIA E APLICAÇÃO

Esta Política aplica-se a todos os indivíduos e entidades que tenham acesso, direto ou indireto, às informações, sistemas, redes ou ativos da NEXOPAYT, incluindo:

• Colaboradores;

• Administradores e gestores;

• Prestadores de serviços e parceiros;

• Terceiros autorizados.

3.1. Consequências do descumprimento

O descumprimento desta Política poderá resultar em medidas administrativas, disciplinares, contratuais e legais, incluindo advertências, desligamento, rescisão contratual e responsabilização por eventuais danos causados.

---

4. DEFINIÇÕES ESSENCIAIS

• Alta Administração: Diretoria e demais órgãos de decisão estratégica.

• ANPD: Autoridade Nacional de Proteção de Dados.

• Colaboradores: Empregados, estagiários e aprendizes.

• Clientes: Usuários dos serviços prestados pela NEXOPAYT.

• Incidente de Segurança: Evento que comprometa ou possa comprometer a segurança da informação ou dados pessoais.

• Terceiros: Pessoas físicas ou jurídicas que mantenham relação com a NEXOPAYT.

---

5. GOVERNANÇA EM SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE

A NEXOPAYT adota um modelo estruturado de governança em segurança da informação, com definição clara de papéis, responsabilidades e fluxos decisórios.

5.1. Responsável pelo Programa de Segurança

A gestão do programa de segurança da informação e proteção de dados será conduzida pelo Responsável de Privacidade e Segurança, incumbido de supervisionar políticas, controles, revisões periódicas e resposta a incidentes.

5.2. Comitê de Segurança e Privacidade

O Comitê é responsável por acompanhar a execução desta Política e será composto por:

• Responsável de Privacidade;

• Jurídico e Compliance;

• Lideranças das áreas estratégicas;

• Tecnologia da Informação.

Decisões envolvendo riscos elevados deverão ser submetidas à Alta Administração.

---

6. PRINCÍPIOS E DIRETRIZES DE SEGURANÇA

A NEXOPAYT assegura que seus processos e controles observem:

• Confidencialidade: acesso restrito a usuários autorizados;

• Integridade: proteção contra alterações indevidas;

• Disponibilidade: acesso às informações quando necessário;

• Autenticidade: garantia da origem das informações;

• Não repúdio: registros e rastreabilidade das ações.

Auditorias, monitoramentos contínuos e treinamentos fazem parte do programa de segurança da empresa.

---

7. CONTROLES E PROCEDIMENTOS DE SEGURANÇA

7.1. Classificação da Informação

As informações são classificadas conforme seu nível de sensibilidade:

• Pública

• Uso Interno

• Confidencial

• Sensível

O acesso será concedido conforme a necessidade funcional.

---

7.2. Controle de Acesso

Credenciais são individuais e intransferíveis. Alterações de função implicam revisão imediata de permissões.

---

7.3. Segurança Física

• Controle de acesso às instalações;

• Proteção de áreas críticas;

• Descarte seguro de documentos;

• Auditorias periódicas.

---

7.4. Proteção contra Malware

• Uso obrigatório de antivírus atualizado;

• Monitoramento de logs;

• Isolamento de dispositivos comprometidos;

• Firewalls ativos.

---

7.5. Auditorias e Monitoramento

A NEXOPAYT poderá realizar auditorias em sistemas, dispositivos e acessos, respeitando a legislação aplicável.

---

7.6. Uso de Equipamentos (Desktop e Laptop)

• Proibição de softwares não autorizados;

• Uso obrigatório de senhas e bloqueio automático;

• Criptografia de dispositivos portáteis;

• Cuidados no transporte e armazenamento.

---

7.7. Uso de E-mail Corporativo

E-mails devem ser utilizados de forma responsável, com atenção a conteúdos sensíveis, anexos suspeitos e uso de criptografia quando necessário.

---

7.8. Criptografia

• Adoção de algoritmos reconhecidos (ex.: AES);

• Proibição de algoritmos proprietários sem validação técnica;

• Gestão segura de chaves criptográficas.

---

7.9. Prevenção a Incidentes Internos e de Terceiros

• Acordos de confidencialidade;

• Monitoramento de acessos;

• Registros e trilhas de auditoria;

• Canais de denúncia.

---

7.10. Continuidade e Disponibilidade

A NEXOPAYT mantém mecanismos de redundância, backups e monitoramento contínuo para garantir a continuidade operacional.

---

7.11. Segurança das Comunicações

• Uso obrigatório de conexões seguras (TLS/HTTPS);

• Firewalls e WAF;

• Proteções contra spam e ameaças.

---

7.12. Serviços em Nuvem

Contratações exigem análise prévia de segurança, certificações reconhecidas, cláusulas contratuais de proteção de dados e descarte seguro ao término da relação.

---

7.13. Política de Senhas

• Renovação periódica;

• Complexidade mínima;

• Proibição de reutilização e compartilhamento;

• Armazenamento seguro.

---

7.14. Análise de Riscos

Avaliações são realizadas em mudanças relevantes, novos sistemas ou projetos críticos, considerando impacto e probabilidade.

---

7.15. Desenvolvimento Seguro

Sistemas desenvolvidos interna ou externamente devem seguir práticas de segurança desde a concepção.

---

8. RETENÇÃO DE DADOS

Os dados são armazenados apenas pelo período necessário ao cumprimento das finalidades legais, contratuais e regulatórias, sendo posteriormente eliminados ou anonimizados.

---

9. RESPOSTA A INCIDENTES

A NEXOPAYT mantém plano estruturado de resposta a incidentes, com procedimentos de comunicação, mitigação e continuidade dos negócios.

---

10. TREINAMENTO E CONSCIENTIZAÇÃO

Colaboradores e terceiros recebem treinamentos periódicos sobre segurança da informação, proteção de dados e boas práticas digitais.

---

11. VIGÊNCIA E REVISÃO

Esta Política entra em vigor na data de sua publicação e será revisada, no mínimo, a cada 12 meses ou sempre que necessário.

Canal para dúvidas e comunicações:
contato@nexopayt.com.br (ajustável para e-mail específico de LGPD, se houver)