Política de Segurança Cibernética e da Informação

São Paulo, 12 de junho de 2025

Apresentação

Protegendo Nossos Ativos Mais Valiosos

Este documento estabelece as diretrizes e responsabilidades sobre segurança cibernética e da informação, visando preservar a confidencialidade, integridade, disponibilidade e conformidade de todas as informações sob gestão da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA.

A ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº XX.XXX.XXX/XXXX-XX, com sede localizada à R. Dom Pedro II, nº 262, Capoeiras, Florianópolis/SC, CEP: 88.090-840, doravante denominada ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA, encontra-se em conformidade com a LGPD de forma facilitada e adequada dos tratamentos de dados e processos de negócios, conforme se observa pela nossa Política de Privacidade e Proteção de Dados Pessoais.

A Política de Segurança Cibernética e da Informação é o documento que estabelece conceitos, diretrizes e responsabilidades sobre os principais aspectos relacionados à segurança cibernética e segurança da informação, visando preservar a confidencialidade, integridade, disponibilidade e conformidade de todas as informações sob gestão da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA.

Busca também, definir os princípios fundamentais que formam a base da Política de Segurança Cibernética e da Informação, norteando a elaboração de normas, processos, padrões e procedimentos, conforme as previsões regulatórias. Com isso, objetivando a proteção dos seus parceiros, colaboradores e a própria empresa da utilização indevida desses dados que possam comprometer a ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA em seus serviços de rede e sistemas, bem como suas situações reputacionais.

Abrangência

A Política de Segurança Cibernética e da Informação tem abrangência corporativa da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA, ou seja, afeta todas as suas áreas de negócio, escritórios e demais operações no que se refere a ocorrência de incidentes de segurança da informação.

Conceitos e Definições

Recursos
Qualquer ativo, tangível ou intangível, que possua valor para a empresa (pessoas, tecnologias, sistemas, etc.).
Ameaça
Qualquer causa potencial de um incidente indesejado que possa resultar em impacto nos objetivos do negócio.
Controle
Qualquer recurso ou medida que assegure formas de tratamento de riscos (políticas, processos, software, hardware, etc.).
Gestor
Colaborador que exerce cargo de liderança.
Informação
Qualquer conjunto organizado de dados que possua algum propósito e valor para o sistema da empresa.
Princípios de "least privilege" e "need to know"
Estes princípios devem reger a autorização de qualquer acesso a sistemas e informações. Segundo eles, deve ser concedido apenas o nível mínimo de acesso (Least Privilege) a quem realmente tenha a necessidade de acesso (Need to Know).
Segurança da Informação (SI)
É a proteção das informações, sendo caracterizada pela preservação de:
  • Confidencialidade: garantia de que a informação somente será acessada por pessoas autorizadas.
  • Integridade: garantia de que o conteúdo não será alterado ou violado indevidamente.
  • Disponibilidade: garantia de que os Colaboradores autorizados obtenham acesso à informação sempre que necessário.
  • Conformidade: garantia de que os controles de segurança estão sendo executados conforme esperado.
Segurança Cibernética
Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado.
Recursos Críticos
Recursos essenciais para o funcionamento da operação do sistema da empresa.

Diretrizes

A informação é um ativo essencial para os negócios da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA, e, sendo assim, deve ser adequadamente protegida.

A segurança cibernética e da informação visa proteger as informações contra diversos tipos de ameaças, para minimizar a exposição da empresa a riscos, garantindo que as características fundamentais da informação sejam preservadas, sendo elas: confidencialidade, integridade, disponibilidade e conformidade.

A ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA está alinhada com os objetivos e requisitos do negócio, estabelece nesta Política regras e direcionamentos a serem seguidos e aplicados a pessoas, processos e tecnologia, de forma a proteger as informações da empresa, de seus clientes, fornecedores e parceiros de negócios.

Seguir as diretrizes desta política, significa proteger a empresa contra o vazamento de informações, contra fraudes, zelar pela privacidade, garantir que sistemas e informações estejam disponíveis quando necessário e zelar pela proteção da imagem e das marcas da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA.

Papéis e Responsabilidades

Todo colaborador, independente do cargo, função ou local de trabalho, é responsável pela segurança das informações da ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA e deve cumprir as determinações da política, normas e padrões de segurança da informação.

O NÃO CUMPRIMENTO DESSA POLÍTICA

O não cumprimento desta Política acarretará sanções administrativas, podendo acarretar o desligamento do colaborador ou rescisão do contrato vigente e a reparação de danos, de acordo com a gravidade da ocorrência.

Diretrizes para Tratamento das Informações

  • Toda informação deve ter regras claramente definidas pelo seu proprietário para proteção contra perda, alteração e acesso.
  • Toda informação deve ter usuários explicitamente definidos e os tipos de direitos que cada um terá para acessá-la.
  • Toda informação deverá ter procedimentos para protegê-la do acesso de pessoas não autorizadas.
  • Toda informação que garanta a continuidade das atividades deverá ter cópia de segurança.
  • As informações contidas em material para descarte deverão ser destruídas ou protegidas.
  • Todo colaborador é responsável pela segurança da informação a que tem acesso.
  • Toda informação encontrada extraviada deverá ser, imediatamente, devolvida à sua origem.

Recomendações para o Tratamento da Informação

Os colaboradores não devem efetuar tentativas de obter acesso às informações que não lhe são permitidas, devendo solicitá-las ao respectivo proprietário.

A elaboração das normas e procedimentos de acesso deverá levar em consideração os riscos do acesso e alteração não autorizados, divulgação indevida e indisponibilidade dos dados.

Classificação da Informação

Objetivo e Diretrizes

A classificação da Informação tem o objetivo de proporcionar ao usuário a possibilidade de analisar suas informações, facilitando a definição do seu nível de acesso e condições de armazenamento.

  • Todas as informações devem ser classificadas.
  • Toda a informação deverá ser considerada sigilosa e de alto risco até que se tenha estabelecido sua classificação.
  • A proteção deve estar de acordo com sua classificação.
  • Quando em um mesmo meio físico existirem informações de classificações diferentes, deve-se adotar a mais restrita.

Conceitos de Confidencialidade

  • Informações Sigilosas: Informações extremamente restritas, de alto valor estratégico.
  • Informações Confidenciais: Informações de caráter setorial, para divulgação a um grupo reduzido.
  • Informações Internas: Utilizadas no âmbito interno da organização.
  • Informações Públicas: Circulam livremente, sem controle de divulgação.

Conceitos de Integridade e Disponibilidade

  • De Alto Risco: Informações cuja indisponibilidade poderá causar prejuízos à continuidade dos negócios.
  • De Médio Risco: Informações que impõem problemas de disponibilidade e dificuldade na recuperação.
  • De Baixo Risco: Informações cuja exatidão e acessibilidade apresentam pouco ou nenhum risco.

Administração de Acesso de Usuários

A área responsável pelo controle de acesso aos sistemas deverá manter procedimentos formais para registro, administração de privilégios e senhas, e cancelamento de autorizações.

O controle de acesso deverá assegurar que usuários não comprometam a segurança dos sistemas. Todos os computadores/notebooks devem estar com antivírus corporativo devidamente instalados.

A inserção de qualquer nova informação via dispositivos removíveis só será liberada mediante autorização do gerente ou gestor.

O acesso a serviços computacionais deverá sempre ocorrer através de um procedimento seguro de login.

Aspectos Gerais da Segurança Física

A estrutura para manter a segurança física dos equipamentos de rede e computadores deve obedecer aos padrões de segurança, garantindo espaço, ventilação e organização de cabos adequados.

Plano de Retenção de Dados

A ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA deverá manter políticas de Retenção de Dados, considerando as normas aplicáveis, relacionadas aos dados pessoais.

Conscientização e Divulgação da Segurança

Os recursos e informações devem ser utilizados de acordo com os interesses da organização. A política de segurança deve ser amplamente divulgada na admissão de novos colaboradores e por meio de programas de conscientização e reciclagem regulares.

Incidentes de Segurança da Informação

Dever de Reportar Incidentes

Violações ou tentativas de violação desta política, intencionais ou não, são considerados incidentes de segurança. Todo colaborador ou terceiro tem o dever de notificar o Departamento de Tecnologia o mais rápido possível para que as medidas cabíveis sejam tomadas.

São considerados incidentes de segurança quaisquer eventos adversos, confirmados ou sob suspeita, que comprometam a confidencialidade, integridade, disponibilidade ou conformidade das informações.

Prevenção e Detecção de Intrusão

Todos os recursos do sistema de informação expostos à Internet devem ser acompanhados e protegidos por um IDS / IPS (Sistema de Detecção/Prevenção de Intrusão).

Plano de Resposta a Incidentes

A empresa deverá elaborar cenários de incidentes para identificar eventos que possam dificultar a operação e promover falhas na execução de processos.

Proteção Contra Códigos Maliciosos

Deverão ser implementados controles tecnológicos para a proteção dos equipamentos contra a prevenção, detecção e erradicação de códigos maliciosos.

Auditoria

A ELEV PAY SOLUCOES DE PAGAMENTOS DIGITAIS LTDA se reserva o direito de auditar qualquer dispositivo utilizado durante o desempenho das atividades comerciais ou funções. Para este fim, serão solicitados acessos, que podem incluir:

  • Acesso em nível de sistema a qualquer dispositivo de computação ou comunicação;
  • Acesso às informações (eletrônicas, impressas, etc.);
  • Acesso às áreas de trabalho (escritórios, data centers, etc.);
  • Acesso para monitorar e registrar interativamente o tráfego nas redes da empresa.

Esta auditoria deve observar as regras da Lei Geral de Proteção de Dados.

Atualização da Política

A atualização da presente Política ocorrerá sempre que alterações legislativas ou regulatórias relevantes ocorrerem, sendo de responsabilidade da Alta Administração ou do setor de compliance realizar as alterações e submetê-la à aprovação.

Vigência

A presente Política foi aprovada pelos membros componentes da Alta Administração, entrando em vigência na data da sua aprovação.

A vigência desta Política é indeterminada, podendo ser substituída apenas por uma versão atualizada.

São Paulo, 12 de junho de 2025.