Objetivo: Tem por objetivo orientar por meio de suas diretrizes todas as ações de segurança para identificar, suprimir e reduzir os riscos e violações de ameaças e vulnerabilidades a níveis aceitáveis, garantindo a confiabilidade, integridade e disponibilidade cibernética da PagueVeloz nos ambientes físicos e lógicos.

---

Proteção do Ambiente

Monitoramento do Ambiente: O monitoramento consiste em garantir mecanismos de proteção, medir em tempo real os recursos das redes, coletar dados e analisar o desvio de comportamento em todas as camadas da segurança correlacionando informação em borda, possibilitando verificar os alertas emitidos, características variadas decorrentes de ameaças cibernéticas internas ou externas, de forma que ações indesejáveis ou não autorizadas sejam detectadas proativamente.

Gestão de Acessos: Os acessos às informações devem ser controlados, monitorados, restringindo equipamentos e pessoas com controle de segmentação físico e lógico aplicados. Os colaboradores e terceiros da PagueVeloz devem seguir as diretrizes da Política de Gestão de controle de Acesso que estabelecem requisitos específicos para proteção das informações e sistemas de informação contra acesso não autorizado.

Devem ser adotados controles de Autenticação e criptografia nos sistemas da PagueVeloz, para proteção dos dados e informações digitais.

Gestão de Vulnerabilidades: Deve-se adotar mecanismos para identificar vulnerabilidades, monitorar, relatar e aplicar as correções, ser capaz de estimar o risco associado ao negócio. Todas as vulnerabilidades identificadas devem ser tratadas e priorizadas de acordo com o nível de criticidade estabelecido, alinhado com as políticas internas.

Gestão de Ativos: Controle contra software malicioso e pragas digitais, todos os ativos de informação devem ser protegidos estejam conectados à rede corporativa com tecnologias Antimalware determinada pelas políticas internas.

Backup: A informação deve ser armazenada de forma redundante para garantir a disponibilidade e restauração de arquivos, deve receber proteção adequada em todo o seu ciclo de vida.

Desenvolvimento Seguro: Deve garantir a segurança cibernética nos sistemas da PagueVeloz, deve-se adotar práticas e processos e procedimentos, além de ferramentas que permitam a identificação de vulnerabilidades no contexto de desenvolvimento para mitigar riscos de segurança em produtos e sistemas.

Classificação das Informações: Refere-se à confidencialidade de todos os documentos e informações que devem ser classificadas a fim de conferir tratamento adequado aos dados em quaisquer naturezas e durante o seu ciclo de vida. As categorias são: Confidencial, Restrito, Interno e Público.

Programa de Conscientização Segurança da informação: Todos os colaboradores e terceiros da PagueVeloz devem ser treinados periodicamente através de campanhas e programas, visando a aprendizagem e conscientização dos colaboradores frente a cultura de segurança cibernética.

Gestão de Fornecedores e Prestadores de Serviços

Fornecedores e/ou prestadores de serviço que armazenam e processam dados, contratados PagueVeloz são avaliados sob o ponto de vista de Segurança da Informação e Segurança Cibernética.

Todos os contratos com terceiros que permitem o acesso aos dados ou sistemas de informação da organização, devem estar em operação antes do acesso ser permitido. Esses contratos devem garantir que a equipe ou subcontratados da organização externa cumpram todas as políticas de segurança apropriadas e exigidas.

Gestão de Incidentes

A PagueVeloz tem procedimentos, requisitos e controles específicos para a prevenção e resposta a incidentes. Os procedimentos, controles e requisitos para fornecedores devem estar alinhados com os próprios níveis de complexidade, abrangência e precisa estar alinhado com as diretrizes de Segurança da Informação.

Gestão de Riscos

A PagueVeloz tem processos estruturados para suportar questões de risco, que deve conter ações de monitoramento, análise e identificação de vulnerabilidades, ameaças e impactos sobre os ativos de informação, a fim de proteger os ativos das companhias, alinhado com as políticas internas.

Continuidade de Negócio

Os planos de contingência e de continuidade dos principais sistemas e serviços da PagueVeloz é implantado e testado conforme diretriz das políticas internas, contemplando cenários de incidentes, a fim de reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação das Companhias.

Hospedagem em Nuvem

A adoção de serviços hospedados em nuvem privada, pública, híbrida ou em ambiente de parceiros e/ou fornecedores, deve respeitar sempre as diretrizes da confidencialidade, integridade e disponibilidades das informações e aos requisitos dos normativos do BACEN voltados a segurança do ambiente computacional e contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Gestão de Conformidade e mitigação de riscos

Deve-se assegurar a realização de práticas de auditoria e checagem de controles objetivando a conformidade com leis, regulamentações do setor, políticas internas, sendo esta prática reconhecida como oportunidades de melhorias para a gestão do ambiente computacional.

Esta Política entra em vigor na data de sua aprovação pela diretoria executiva e revoga quaisquer documentos em contrário. Na hipótese de dúvidas relativas aos temas tratados nesta Política ou a possíveis assuntos não contemplados, por favor, entre em contato com a PagueVeloz.