Logo nPay Soluções

Política Corporativa · Cibersegurança · Proteção Tecnológica

Política de Cibersegurança e Proteção Tecnológica

Versão 1.0 · Última atualização: 12/11/2025

Esta política estabelece diretrizes para proteção de infraestrutura, aplicações, APIs e recursos tecnológicos da nPay Soluções, reduzindo riscos cibernéticos e fortalecendo a resiliência operacional.

Baixar em PDF Voltar para Políticas

Sumário desta Política

1. Objetivo 2. Escopo 3. Conceitos e Definições 4. Princípios de Cibersegurança 5. Proteção de Infraestrutura e Ambientes 6. Segurança de Aplicações e APIs 7. Gestão de Vulnerabilidades 8. Gestão de Mudanças Tecnológicas 9. Monitoramento, Logs e Alertas 10. Resposta a Incidentes Cibernéticos 11. Fornecedores e Terceiros Tecnológicos 12. Responsabilidades Internas 13. Revisão e Atualizações

1. Objetivo

Estabelecer diretrizes para prevenção, detecção, resposta e recuperação diante de ameaças cibernéticas, assegurando proteção tecnológica adequada aos serviços, dados, integrações e ambientes da nPay Soluções.

2. Escopo

Esta política abrange:

  • Infraestrutura em nuvem, servidores, redes lógicas e componentes de conectividade;
  • Aplicações, painéis administrativos, APIs, integrações e automações;
  • Dispositivos utilizados na operação (estações de trabalho, notebooks, dispositivos móveis quando aplicável);
  • Colaboradores, prestadores de serviço e parceiros que interajam com ambientes da nPay Soluções.

3. Conceitos e Definições

  • Ameaça cibernética: qualquer evento, ação ou condição com potencial de comprometer sistemas, dados ou serviços;
  • Vulnerabilidade: fraqueza técnica ou de processo que pode ser explorada por uma ameaça;
  • Exploração: uso de uma vulnerabilidade para causar impacto negativo em ambiente tecnológico;
  • Incidente cibernético: ocorrência que afeta ou pode afetar a confidencialidade, integridade ou disponibilidade de recursos tecnológicos;
  • Endurecimento (hardening): conjunto de práticas para fortalecer a segurança de sistemas e serviços.

4. Princípios de Cibersegurança

A nPay Soluções observa, entre outros, os seguintes princípios na condução da cibersegurança:

  • Defesa em camadas: combinação de controles em diferentes níveis (rede, aplicação, autenticação, monitoramento);
  • Menor privilégio: acessos limitados ao estritamente necessário;
  • Segurança por padrão: priorização de configurações mais seguras sempre que possível;
  • Proatividade: identificação de riscos e vulnerabilidades antes que sejam explorados;
  • Rastreabilidade: registro adequado de ações relevantes para fins de auditoria e resposta a incidentes.

5. Proteção de Infraestrutura e Ambientes

A infraestrutura e os ambientes de tecnologia utilizados pela nPay Soluções devem observar, entre outras, as seguintes diretrizes:

  • Configurações alinhadas a boas práticas de segurança recomendadas pelos provedores de tecnologia;
  • Segmentação lógica de ambientes (por exemplo: desenvolvimento, homologação e produção);
  • Controle de acesso a consoles de gestão em nuvem e painéis administrativos;
  • Uso de mecanismos de proteção de borda, quando aplicáveis (firewalls, listas de controle de acesso, etc.);
  • Aplicação de correções (patches) de segurança em sistemas e componentes relevantes.

6. Segurança de Aplicações e APIs

Aplicações, APIs e integrações utilizadas pela nPay Soluções devem ser projetadas e operadas com enfoque em segurança desde a concepção.

  • Uso de autenticação e autorização adequadas ao tipo de acesso e sensibilidade dos dados;
  • Validação de entrada de dados para mitigar riscos como injeções e outros ataques comuns;
  • Comunicação protegida em trânsito por protocolos adequados (por exemplo, HTTPS/TLS);
  • Separação de chaves de acesso, credenciais de API e segredos em repositórios próprios e protegidos;
  • Revisões e testes de segurança em aplicações críticas, sempre que possível.

7. Gestão de Vulnerabilidades

A nPay Soluções se compromete a adotar práticas de identificação, classificação e tratamento de vulnerabilidades tecnológicas.

  • Monitoramento de comunicados de segurança de fornecedores de tecnologia;
  • Aplicação prioritária de correções para vulnerabilidades classificadas como críticas ou altas;
  • Registro das vulnerabilidades relevantes identificadas e das ações adotadas;
  • Revisão de configurações em caso de detecção recorrente de falhas semelhantes;
  • Quando possível, execução de varreduras específicas em ambientes selecionados.

8. Gestão de Mudanças Tecnológicas

Mudanças em infraestrutura, aplicações, integrações e configurações relevantes devem seguir critérios mínimos de controle:

  • Planejamento prévio da mudança, incluindo objetivo, escopo e riscos principais;
  • Registro da mudança em canal apropriado (ex.: ferramenta, documentação interna);
  • Validação em ambiente de teste ou homologação, quando cabível;
  • Janela de execução planejada para reduzir impacto em serviços;
  • Plano de retorno (rollback) sempre que necessário.

9. Monitoramento, Logs e Alertas

Atividades relevantes nos ambientes tecnológicos devem ser registradas e, quando possível, monitoradas.

  • Registro de acessos administrativos a ambientes críticos;
  • Logs de autenticação, erros relevantes e eventos de segurança;
  • Definição de alertas para eventos anômalos selecionados;
  • Retenção de registros por período compatível com as necessidades de auditoria e obrigações contratuais;
  • Avaliação periódica dos registros para identificar padrões suspeitos.

10. Resposta a Incidentes Cibernéticos

Em caso de incidente cibernético, a nPay Soluções seguirá, em linhas gerais:

  • Identificação e classificação do incidente;
  • Medidas imediatas de contenção para reduzir impacto;
  • Análise de causa raiz e escopo da ocorrência;
  • Adoção de ações corretivas e preventivas;
  • Comunicações necessárias a parceiros e, quando aplicável, a autoridades e partes interessadas.

A resposta a incidentes se articula com o Plano de Continuidade de Negócio (PCN) e com a Política de Segurança da Informação.

11. Fornecedores e Terceiros Tecnológicos

Fornecedores de tecnologia, provedores em nuvem e terceiros com acesso a ambientes ou dados da nPay Soluções devem observar práticas compatíveis com esta política.

  • Avaliação prévia de confiabilidade técnica e aderência a boas práticas;
  • Compromissos contratuais de proteção tecnológica e confidencialidade;
  • Observância a requisitos mínimos de cibersegurança definidos pela nPay Soluções;
  • Colaboração em análises de incidentes quando houver envolvimento de recursos sob responsabilidade do fornecedor.

12. Responsabilidades Internas

  • Gestão executiva: apoiar a implementação de controles de cibersegurança e priorizar recursos;
  • Áreas técnicas: aplicar boas práticas, monitorar ambientes e apoiar resposta a incidentes;
  • Lideranças: incentivar cultura de cuidado com ambientes tecnológicos e orientar equipes;
  • Colaboradores e prestadores: respeitar esta política, comunicar suspeitas e evitar ações de risco.

13. Revisão e Atualizações

Esta política poderá ser revisada sempre que:

  • Houver evolução relevante no cenário de ameaças cibernéticas;
  • Novas tecnologias ou arquiteturas forem adotadas;
  • Ocorrerem incidentes com lições aprendidas aplicáveis;
  • Forem identificadas oportunidades de aprimoramento nos controles existentes.

Versões atualizadas serão disponibilizadas em canal oficial da nPay Soluções.