1. Objetivo e Escopo
O presente Plano de Continuidade de Negócio (PCN) tem como objetivo estabelecer diretrizes e
procedimentos para garantir a manutenção ou rápida retomada das atividades essenciais da nPay
Soluções em situações de interrupção, incidente grave, falha de infraestrutura ou eventos externos
que possam comprometer a operação.
O PCN abrange colaboradores, prestadores de serviço, parceiros estratégicos e qualquer outro
terceiro que atue diretamente em processos críticos ligados às soluções disponibilizadas pela nPay
Soluções.
2. Princípios de Continuidade
A atuação da nPay Soluções em continuidade de negócio é orientada pelos seguintes princípios:
- Resiliência: capacidade de resistir e se adaptar a falhas e eventos
inesperados.
- Disponibilidade: busca pela máxima disponibilidade dos serviços considerados
essenciais.
- Recuperação: definição clara dos prazos e das estratégias de retomada.
- Proporcionalidade: medidas de continuidade compatíveis com o impacto e a
criticidade dos processos.
3. Governança e Responsabilidades
A nPay Soluções define a seguinte estrutura de governança para o PCN:
- Alta administração: aprova o PCN, acompanha resultados e provê recursos.
- Comitê de Continuidade (quando aplicável): coordena ações em incidentes, revisa
riscos e prioriza melhorias.
- Gestores de área: identificam processos críticos, mantêm planos específicos e
orientam suas equipes.
- Colaboradores: conhecem e seguem os procedimentos previstos, participando de
treinamentos e simulados.
As responsabilidades podem ser detalhadas em anexos ou documentos complementares, para facilitar o
acionamento rápido em situações de emergência.
4. Análise de Risco e Impacto
A nPay Soluções realiza, de forma periódica, análises de risco e impacto nos negócios (BIA –
Business Impact Analysis),
considerando cenários como:
- Falhas em infraestrutura de tecnologia.
- Indisponibilidade de provedores essenciais.
- Incidentes de segurança da informação.
- Eventos externos (desastres naturais, problemas de energia, restrições de acesso físico, entre
outros).
A partir dessas análises são definidos prioridades, prazos de recuperação e ações mitigadoras.
5. Processos Críticos
São considerados processos críticos aqueles cuja indisponibilidade possa gerar elevado impacto
operacional, reputacional, regulatório ou contratual. Exemplos:
- Plataformas de gestão de usuários e autenticação.
- Módulos de registro e controle de transações.
- Monitoramento de riscos, alertas e análise de incidentes.
- Atendimento a clientes e suporte técnico.
- Comunicação com provedores e parceiros estratégicos.
Para cada processo crítico podem ser mantidos planos específicos, complementares a este PCN.
6. Objetivos de Tempo (RTO) e Dados (RPO)
Para os processos críticos são definidos, quando aplicável:
- RTO (Recovery Time Objective): tempo alvo máximo para restabelecimento de uma
funcionalidade essencial após incidente.
- RPO (Recovery Point Objective): ponto alvo máximo de perda aceitável de dados,
considerando a frequência de backups e mecanismos de replicação.
Esses objetivos são utilizados no desenho das soluções de redundância, replicação e recuperação.
7. Infraestrutura, Backups e Redundância
A nPay Soluções adota boas práticas de arquitetura e infraestrutura, incluindo, quando aplicável:
- Ambientes com componentes redundantes para reduzir pontos únicos de falha.
- Rotinas de backup periódico de bases de dados e configurações críticas.
- Armazenamento de cópias de segurança em locais distintos, físicos ou lógicos.
- Testes periódicos de restauração de backups.
A periodicidade dos backups e a tecnologia utilizada podem variar conforme a criticidade das
informações e os requisitos contratuais.
8. Resposta a Incidentes e Acionamento do PCN
O acionamento do PCN pode ocorrer diante de incidentes como:
- Indisponibilidade prolongada de sistemas críticos.
- Ocorrência de falhas recorrentes que afetem a experiência dos usuários.
- Eventos físicos que impactem ambientes operacionais.
- Incidentes de segurança da informação com impacto relevante.
Quando acionado, o PCN prevê:
- Formação de uma célula de resposta para coordenação das ações.
- Registro formal do incidente, com data, hora, impacto e medidas adotadas.
- Aplicação de procedimentos de contingência, como uso de ambientes alternativos ou rotas
emergenciais.
9. Comunicação em Situações de Crise
Em situações de impacto relevante, a comunicação com partes interessadas (clientes, parceiros,
fornecedores e, quando aplicável, autoridades) será coordenada por área designada, de acordo com
orientações da alta administração.
A comunicação deve ser:
- Clara e objetiva quanto ao impacto e às medidas em curso.
- Coerente com o estágio de investigação do incidente.
- Registrada para fins de rastreabilidade e posterior análise.
10. Retorno à Normalidade
Após a estabilização do incidente e a retomada dos serviços críticos, a nPay Soluções realizará:
- Validação da integridade dos dados e das funcionalidades restabelecidas.
- Comunicação às partes interessadas sobre o retorno à condição normal de operação.
- Registro formal do encerramento do evento e das lições aprendidas.
11. Testes, Simulados e Treinamentos
O PCN é objeto de testes periódicos, que podem incluir:
- Simulados de indisponibilidade de sistemas.
- Testes de restauração de backups.
- Exercícios de comunicação e acionamento de equipes.
Os resultados dos testes são registrados e analisados, visando aprimorar continuamente a
estrutura de continuidade.
12. Melhoria Contínua e Revisões
Este PCN passa por revisões periódicas ou sempre que houver:
- Mudanças relevantes nos serviços ou na arquitetura tecnológica.
- Incidentes que revelem oportunidades de melhoria.
- Novos requisitos contratuais, regulatórios ou de mercado.
As versões atualizadas do PCN serão mantidas em repositório acessível às áreas envolvidas
e poderão ser referenciadas em documentos internos da nPay Soluções.
