Política de Segurança PixOut
No PixOut, desenvolvemos soluções simples, seguras e 100% digitais para que você tenha controle das suas transações via Pix com mais tranquilidade. A segurança das suas informações está no nosso DNA.
Introdução
No PixOut, desenvolvemos soluções simples, seguras e 100% digitais para você ter o controle das suas transações via Pix. Valorizamos nossos clientes e entendemos o quanto a segurança cibernética é importante para que possam usufruir dos nossos serviços com tranquilidade.
Aplicamos uma estratégia de defesa em profundidade, implementando múltiplas camadas de segurança para mitigar o potencial comprometimento de qualquer camada individual.
A segurança das suas informações está no nosso DNA. Disponibilizamos aqui um resumo da nossa Política de Segurança Cibernética para que você possa conhecer um pouco mais das nossas diretrizes para proteção dos seus dados.
Defesa em profundidade
Múltiplas camadas de proteção para reduzir riscos e mitigar impactos em caso de comprometimento de qualquer camada individual.
Proteção de dados
Diretrizes voltadas à confidencialidade, integridade e disponibilidade das informações sob responsabilidade do PixOut.
Monitoramento contínuo
Controles, processos e resposta estruturada para identificar, conter, mitigar e remediar ameaças cibernéticas.
Escopo
Estão sujeitos à Política as empresas do PixOut e todos os seus funcionários, consultores, terceiros, fornecedores e parceiros, caso acessem, armazenem, processem ou transmitam informações pertencentes ou sob a guarda do PixOut.
Objetivo
Esta Política tem como objetivo orientar medidas de proteção, prevenção e resposta relacionadas ao ambiente cibernético do PixOut.
Manter a confidencialidade, integridade e disponibilidade das informações de propriedade ou sob a guarda do PixOut.
Estabelecer medidas para a proteção da infraestrutura que suporta os serviços e atividades de negócio.
Prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.
Princípios de Segurança da Informação
A Política de Segurança Cibernética do PixOut é orientada por três princípios fundamentais:
Confidencialidade
Garantir que as informações sejam disponibilizadas ou divulgadas apenas a indivíduos, entidades ou processos autorizados.
Integridade
Garantir que as informações sejam precisas, completas e protegidas de alterações indevidas, intencionais ou acidentais.
Disponibilidade
Garantir que as informações sejam acessíveis e utilizáveis sob demanda por indivíduos, entidades ou processos autorizados.
Governança e responsabilidade
A segurança no PixOut é gerenciada por uma estrutura de governança robusta, encabeçada por um grupo executivo e apoiada por equipes especializadas.
Essa estrutura garante que as responsabilidades de segurança sejam claramente definidas, implementadas e monitoradas em toda a organização, assegurando o comprometimento de todos os níveis da empresa com a segurança dos seus dados.
Diretrizes
Controle de acesso e autenticação
O acesso a sistemas, recursos e outros ativos de informação deve ser concedido mediante autenticação válida e baseado na necessidade de negócio, no princípio do menor privilégio e na segregação de funções.
Os acessos devem ser gerenciados através de um ciclo de vida desde a criação até a desativação, incluindo revisões periódicas quanto à precisão e adequação.
A composição das senhas deve seguir requisitos de complexidade e ser única. As senhas não devem ser reutilizadas, compartilhadas, armazenadas em arquivos ou escritas em qualquer lugar.
Logs, auditoria e criptografia
Logs e trilhas de auditoria devem ser habilitados em ambientes de produção, protegidos de acessos e alterações não autorizados.
Os registros devem indicar que atividade foi executada, quem executou, quando a atividade foi executada e no que ela foi executada.
Algoritmos criptográficos devem ser aplicados conforme a necessidade em dados em repouso, em trânsito e/ou em uso.
Proteção contra vazamento e desenvolvimento seguro
Ferramentas e processos para monitorar e impedir que informações sensíveis deixem o ambiente interno de uma organização sem autorização devem estar implementados.
Práticas de segurança devem ser integradas em todas as fases do ciclo de vida de desenvolvimento de produtos, desde a concepção até a implementação.
As práticas incluem revisões de arquitetura, análises de código e testes de segurança contínuos para garantir que nossos produtos nasçam seguros.
Vulnerabilidades, malware e segmentação
Um processo de gerenciamento do ciclo de vida de vulnerabilidades, desde a identificação até a remediação, incluindo diretrizes para documentação, emissão de relatórios e divulgação, deve estar implementado.
Soluções de software anti-malware de detecção, prevenção e recuperação ou controles equivalentes devem estar implementadas para proteger o ambiente do PixOut.
Ativos de informação considerados críticos, que armazenem e/ou processem informações sensíveis, devem ser restringidos às áreas segregadas da rede, com controle de acesso apropriado.
Backups, novas tecnologias e fornecedores
Bancos de dados de produção devem possuir backups suficientes para restaurar o funcionamento dos sistemas no evento de uma perda de dados ou interrupção de serviço.
Deve ser feita uma avaliação de segurança antes da implementação de qualquer nova tecnologia, ferramenta ou solução em produção.
Avaliações de segurança dos parceiros e fornecedores críticos devem ser realizadas para garantir que eles mantenham um nível de segurança compatível com os padrões do PixOut, estendendo a segurança por toda a cadeia de suprimentos.
Classificação da informação e continuidade
Informações devem ser classificadas para auxiliar no mapeamento consistente dos ativos de informação e estabelecer o nível de proteção adequado em seu armazenamento, transmissão e uso.
O Plano de Continuidade de Negócios visa garantir que, em situação de crise, os processos essenciais e críticos sejam devidamente mantidos.
O Plano de Continuidade de Negócios deve preservar a continuidade de funções de negócios, operações e serviços críticos, sendo testado anualmente.
Treinamento, monitoramento e resposta a incidentes
Treinamentos de conscientização devem ser obrigatórios e realizados anualmente, apresentando os princípios de segurança da informação para auxiliar funcionários a reconhecer situações de risco e agir corretamente.
Deve haver um processo contínuo de monitoramento e um plano estruturado de resposta a incidentes para identificar, conter, mitigar e remediar ameaças cibernéticas de forma ágil.
São implementados procedimentos e controles para prevenir e tratar vulnerabilidades, além de diretrizes para registro, análise de causa e impacto e avaliação da relevância dos incidentes de segurança cibernética.
Em caso de incidentes com impacto significativo nos clientes, a comunicação será transparente, com fornecimento das orientações necessárias.
Compartilhamento seguro e revisão da Política
O consumo e compartilhamento de informações de incidentes e ameaças com outras instituições locais e globais deve ser feito por canais seguros.
A Política de Segurança Cibernética do PixOut deve ser revisada, no mínimo, anualmente.
Recomendações de segurança para clientes
A segurança também depende de boas práticas no uso cotidiano de dispositivos, senhas, aplicativos e canais digitais. Confira as recomendações do PixOut:
Crie senhas complexas e não utilize dados ou informações pessoais na composição, como data de nascimento ou nomes de familiares. Dê preferência para senhas compostas por pelo menos 4 palavras aleatórias.
Altere sua senha sempre que existir algum indício ou suspeita de vazamento ou comprometimento das suas credenciais.
Evite utilizar a mesma senha em mais de um serviço. Se possível, use um gerenciador de senhas para o armazenamento e gerenciamento de credenciais.
Sua senha é pessoal e intransferível. Não a compartilhe e nem a anote em lugares que outras pessoas tenham fácil acesso, como cadernos e blocos de notas.
Evite acessar sites e aplicativos bancários ou realizar transações em dispositivos públicos, como lan houses, ou em dispositivos não confiáveis. O mesmo vale para redes wireless, Wi-Fi, públicas.
Mantenha seus dispositivos com os sistemas operacionais e aplicativos atualizados.
Procure instalar uma solução de antivírus no seu computador e mantenha-a atualizada.
Evite abrir e-mails cujo remetente ou conteúdo sejam desconhecidos.
Não clique em links disponibilizados em e-mails ou em mensagens SMS suspeitas e/ou desconhecidas.
Não realize o download nem execute arquivos anexos em e-mails suspeitos, especialmente quando houver erros gramaticais ou tom de urgência.
Nunca informe dados pessoais, corporativos ou financeiros em ligações ou mensagens recebidas de pessoas desconhecidas. O mesmo vale para sites suspeitos: sempre verifique se o site que você está acessando é realmente o verdadeiro.
Bloqueie o dispositivo utilizado para acessar sites e aplicativos bancários quando não o estiver utilizando.
Evite emprestar seu celular para pessoas desconhecidas.
Mantenha sempre pelo menos uma cópia de segurança, backup, de dados importantes.
As recomendações acima ajudam a reduzir riscos de acesso indevido, fraude, comprometimento de credenciais e exposição de informações pessoais ou financeiras.
Política de Segurança PixOut. Revisão mínima: anual.