nPay Soluções

1. Objetivo

Estabelecer diretrizes para proteger informações, sistemas e recursos tecnológicos da nPay Soluções, garantindo confidencialidade, integridade e disponibilidade, bem como o uso adequado por colaboradores e terceiros autorizados.

2. Escopo

Esta política se aplica a:

• Colaboradores, prestadores de serviço e parceiros que utilizem recursos da nPay Soluções;
• Sistemas, aplicações, dispositivos, integrações e canais oficiais da nPay Soluções;
• Informações produzidas, recebidas, armazenadas ou processadas no contexto das atividades da nPay Soluções.

3. Princípios de Segurança da Informação

A nPay Soluções adota como princípios fundamentais:

• Confidencialidade: acesso às informações apenas por pessoas autorizadas;
• Integridade: proteção contra alteração indevida, perda ou destruição não autorizada;
• Disponibilidade: informações e sistemas acessíveis quando necessários, dentro de critérios definidos;
• Rastreabilidade: registro de ações relevantes para fins de auditoria e controles internos;
• Conformidade: aderência a leis, contratos e políticas internas aplicáveis.

4. Classificação da Informação

Para facilitar a proteção adequada, as informações podem ser classificadas, por exemplo, em:

• Pública: informações que podem ser divulgadas sem restrições;
• Uso interno: informações destinadas apenas a colaboradores e parceiros autorizados;
• Confidencial: informações sensíveis, cujo acesso deve ser restrito a perfis específicos;
• Restrita: informações críticas, com acesso altamente limitado e controles adicionais.

A forma de armazenamento, transmissão e descarte deve considerar a classificação atribuída.

5. Gestão de Acessos e Perfis

A nPay Soluções adota o princípio de “menor privilégio”, ou seja, cada usuário deve ter apenas os acessos necessários para desempenhar suas funções.

• Concessão de acessos baseada em perfis e funções;
• Uso de credenciais individuais e intransferíveis;
• Troca periódica de senhas e incentivo ao uso de autenticação em múltiplos fatores, quando aplicável;
• Revisão periódica de permissões, com ajuste em caso de mudança de função ou desligamento;
• Bloqueio ou encerramento de acessos em situações de risco ou descumprimento de políticas.

6. Uso Adequado de Recursos Tecnológicos

Recursos tecnológicos disponibilizados pela nPay Soluções (ex.: equipamentos, contas de acesso, e-mails, painéis, APIs) devem ser utilizados apenas para atividades autorizadas, em conformidade com esta política e demais normas internas.

• É proibido compartilhar credenciais ou utilizar credenciais de terceiros;
• Não é permitido instalar softwares não autorizados em dispositivos corporativos;
• Uso de canais oficiais para comunicações relacionadas à operação da nPay Soluções;
• Cuidados redobrados com links, anexos e mensagens suspeitas (prevenção a golpes e malware);
• Respeito à confidencialidade das informações a que o usuário tiver acesso.

7. Segurança em Aplicações e Integrações

As aplicações, APIs e integrações utilizadas ou disponibilizadas pela nPay Soluções devem observar boas práticas de segurança, incluindo, por exemplo:

• Controles de autenticação e autorização apropriados ao tipo de acesso;
• Proteção de dados em trânsito e, quando aplicável, em repouso;
• Registro de eventos relevantes para auditoria e análise de incidentes;
• Testes periódicos de segurança, quando cabível;
• Avaliação de fornecedores de tecnologia sob o ponto de vista de segurança.

8. Gestão de Incidentes de Segurança

Incidentes de segurança da informação (ex.: acesso não autorizado, vazamento, perda de dados, falhas graves de sistema) devem ser comunicados imediatamente aos canais internos responsáveis.

• Registro do incidente em canal apropriado;
• Adoção de medidas de contenção e mitigação;
• Avaliação de impactos e causa raiz;
• Implementação de ações corretivas e preventivas;
• Comunicações necessárias a parceiros e autoridades, quando aplicável.

A gestão de incidentes pode se articular com o Plano de Continuidade de Negócio (PCN) e demais políticas correlatas.

9. Relação com o Plano de Continuidade

Esta política se complementa com o Plano de Continuidade de Negócio (PCN) da nPay Soluções, que define procedimentos para manutenção ou restabelecimento de serviços em situações de indisponibilidade relevante ou crise.

A segurança da informação é considerada elemento central na continuidade das operações e na proteção de clientes, parceiros e da própria nPay Soluções.

10. Treinamento e Conscientização

A nPay Soluções promove treinamentos e ações de conscientização em temas relacionados à segurança da informação, incluindo:

• Uso adequado de sistemas e acessos;
• Cuidados com dados pessoais e informações sensíveis;
• Prevenção a fraudes, golpes e engenharia social;
• Procedimentos para reporte de incidentes e suspeitas.

A participação em treinamentos obrigatórios faz parte das responsabilidades de todos os colaboradores.

11. Responsabilidades Internas

• Gestão executiva: aprovar diretrizes e garantir recursos para implementação;
• Áreas de tecnologia e integridade: manter controles, monitorar riscos e apoiar investigações de incidentes;
• Lideranças: orientar equipes quanto à aplicação desta política no dia a dia;
• Todos os colaboradores e prestadores: cumprir as regras estabelecidas e cuidar da confidencialidade das informações.

12. Revisão e Atualizações

Esta política será revisada periodicamente ou sempre que:

• Houver mudanças relevantes na legislação aplicável;
• Novos riscos ou incidentes indicarem necessidade de ajustes;
• Novos sistemas, integrações ou processos forem introduzidos;
• Houver atualização de diretrizes internas ou contratuais.

Versões atualizadas serão disponibilizadas em canal oficial da nPay Soluções.