top of page
logoe2e.png

Política de Segurança Cibernética

Diretrizes de Segurança Cibernética e Governança de Dados da E2E PAY INSTITUIÇÃO DE PAGAMENTOS LTDA.

A E2E PAY Garante que todas as partes que manuseiam seus dados recebam treinamento especializado e ciência formal sobre as diretrizes de segurança cibernética da instituição. Mantemos registros auditáveis dessas capacitações para assegurar que cada usuário compreenda suas responsabilidades na preservação da confidencialidade e integridade dos sistemas

 

A E2E PAY adota medidas rigorosas para proteger suas operações e dados contra ameaças cibernéticas através de quatro ações principais:

  1. Prevenir: Adoção de medidas proativas para evitar incidentes.

  2. Detectar: Capacidade de identificar ameaças e vulnerabilidades de forma rápida.

  3. Reduzir Vulnerabilidades: Manutenção de controles para garantir a resiliência dos sistemas.

  4. Melhoria Contínua: Compromisso da alta administração com o aperfeiçoamento constante dos processos.

Controles e Acesso à Informação

Para garantir a segurança, as informações são classificadas em níveis (Confidencial, Restrito, Interno e Público) e o acesso segue o Princípio do Menor Privilégio:

  • Autenticação: O uso de MFA (Autenticação de Múltiplos Fatores) é obrigatório para o acesso a informações sensíveis e estratégicas.

  • Gestão de Senhas: Devem ter no mínimo 8 caracteres, ser memorizadas (nunca anotadas) e alteradas obrigatoriamente, no máximo a cada 90 dias.

  • Criptografia: Utilizamos algoritmos de padrão internacional (como AES e SSL/TLS) para proteger a transmissão e o armazenamento de dados.

       Uso de Dispositivos e Rede

  • Proteção de Endpoints: Todos os computadores possuem software de proteção (EPP) atualizado e monitorado em tempo real.

  • Segurança de E-mail: É proibido o encaminhamento automático de e-mails internos para externos sem aprovação. Mensagens externas devem conter disclaimer padrão.

  • Segurança de Rede: Utilizamos firewalls e segmentação de rede, com testes de invasão realizados anualmente por terceiros.

Relacionamento com Terceiros

Meu Bolso em Dia - FEBRABAN

Todos os parceiros e fornecedores que manuseiam dados da E2E PAY devem:

  • Passar por uma avaliação prévia de segurança (KYP - Conheça Seu Parceiro)

  • Manter controles de segurança compatíveis com os da E2E PAY

  • Assumir obrigações contratuais de sigilo e reporte imediato de incidentes

      Gestão de Incidentes e Continuidade

  • Canal de Gestão de Incidentes e Vulnerabilidades: Qualquer suspeita de falha ou incidente deve ser relatada imediatamente pelo e-mail si@e2eip.com.br

  • Resiliência Operacional: Possuímos planos de Continuidade de Negócios (PCN) e Recuperação de Desastres (DRP) para garantir que os serviços essenciais não parem.

  • Responsabilidade: Atividades maliciosas intencionais ou por negligência grave são investigadas e podem resultar em rescisão contratual e responsabilização civil/penal.

RESPONSABILIDADES:

  • A Alta Administração é responsável pela aprovação formal e revisão periódica da Política de Segurança da Informação e Cibernética (PSIC), garantindo que as diretrizes estejam em conformidade com as normas do Banco Central (BCB) e da LGPD. Suas atribuições incluem a supervisão do desempenho da segurança, o suporte à melhoria contínua dos controles e a liderança na gestão de crises em casos de incidentes graves, assegurando a comunicação obrigatória aos órgãos reguladores.

  • Os Colaboradores, Parceiros e Estagiários devem aderir integralmente às normas, sendo responsáveis pelo sigilo e troca periódica de senhas (a cada 90 dias) e pelo bloqueio de suas estações de trabalho. É obrigação deste grupo participar de treinamentos de conscientização, agir com cautela extrema no uso de e-mails e reportar obrigatoriamente qualquer suspeita de incidente ou falha de segurança através dos canais internos.

  • Os Terceiros, Prestadores de Serviços e Fornecedores têm o dever de observar as diretrizes da PSIC e adotar controles de proteção e tratamento de incidentes com rigor compatível ao da E2E PAY. Devem submeter-se a processos de avaliação (Due Diligence), manter obrigações de sigilo previstas em contrato e, em caso de encerramento da parceria, realizar a transferência e exclusão definitiva dos dados institucionais de suas bases.

  • A área de Compliance atua na avaliação de novos parceiros ("Conheça Seu Fornecedor" - KYP), fiscalizando se os controles de segurança estão sendo aplicados de forma eficaz e em conformidade com a LGPD e o BCB. Além disso, é responsável pela gestão de registros de treinamento, suporte à análise de riscos, disseminação da cultura ética e pela formalização de denúncias às autoridades competentes quando as violações configurarem crimes cibernéticos.

Alta Administração: Define o caminho estratégico sustentável.

Diretoria: Garante que as normas sejam seguidas.

Compliance e Controles Internos: Monitora as metas, treina a equipe e garante que a política saia do papel e vire realidade.

bottom of page