Fale conosco
Fale conosco

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERSEGURANÇA

1. INTRODUÇÃO

A presente Política de Segurança da Informação e Cibersegurança estabelece as diretrizes que orientam a proteção das informações, dos sistemas e dos ambientes tecnológicos utilizados pela AuthPay no desenvolvimento de suas atividades.

A política tem como finalidade preservar a confidencialidade, a integridade, a disponibilidade e a autenticidade das informações, bem como fortalecer a capacidade da instituição de prevenir, detectar, responder e mitigar incidentes de segurança da informação e cibernéticos, assegurando a continuidade de suas operações e a confiabilidade de seus serviços.

2. OBJETIVOS DE SEGURANÇA CIBERNÉTICA

São objetivos da política de segurança cibernética da AuthPay:

  • I – proteger informações institucionais, operacionais e de clientes;

  • II – reduzir a exposição a incidentes de segurança da informação e cibernéticos;

  • III – assegurar a continuidade dos serviços e das operações essenciais;

  • IV – mitigar riscos tecnológicos, operacionais, regulatórios e reputacionais;

  • V – atender às exigências legais, regulamentares e contratuais aplicáveis.

3. ABRANGÊNCIA

Esta Política aplica-se a todos os administradores, diretores, colaboradores, parceiros, prestadores de serviços e terceiros que tenham acesso a informações, dados, sistemas, redes ou ativos tecnológicos da AuthPay, inclusive aqueles envolvidos na prestação de serviços de processamento, armazenamento de dados ou computação em nuvem.

4. BASE LEGAL E NORMATIVA

Esta Política foi elaborada em conformidade com a legislação e a regulamentação aplicáveis às Instituições de Pagamento, em especial:

  • Resolução BCB no 85, de 8 de abril de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem;

  • Resolução BCB no 260, de 22 de novembro de 2022, que dispõe sobre os sistemas de controles internos;

  • Lei no 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Esta Política observa, ainda, as alterações vigentes, bem como demais normas, circulares, comunicados e orientações expedidos pelo Banco Central do Brasil aplicáveis à segurança da informação e à segurança cibernética.

5. DEFINIÇÕES E CONCEITOS

Para fins desta Política, aplicam-se as seguintes definições:

I – Segurança da Informação
Conjunto de princípios, diretrizes, procedimentos e controles destinados a proteger informações contra acessos não autorizados, perdas, alterações indevidas ou indisponibilidade.

II – Segurança Cibernética
Conjunto de práticas e medidas voltadas à proteção de sistemas, redes e ambientes digitais contra ameaças e incidentes no ambiente cibernético.

III – Incidente Cibernético
Evento que comprometa ou possa comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade das informações ou dos sistemas utilizados pela instituição.

IV – Informações Sensíveis
Dados ou informações que, em caso de acesso, divulgação, alteração ou destruição não

autorizada, possam causar impactos operacionais, regulatórios, financeiros ou reputacionais à instituição, a seus clientes ou a terceiros.

V – Serviços Relevantes de Tecnologia
Serviços tecnológicos cuja falha, indisponibilidade ou comprometimento possa impactar significativamente as operações, os clientes ou a continuidade dos serviços da AuthPay.

VI – Prestadores de Serviços a Terceiros
Pessoas físicas ou jurídicas contratadas para a execução de atividades ou a prestação de serviços que envolvam acesso a informações, dados, sistemas ou ativos tecnológicos da instituição.

VII – Testes de Intrusão
Procedimentos técnicos destinados a identificar vulnerabilidades em sistemas, redes ou aplicações, por meio da simulação controlada de tentativas de exploração de falhas de segurança.

6. RESPONSABILIDADES
6.1 Diretoria

Compete à Diretoria da AuthPay:

  • I – aprovar esta Política e suas revisões;

  • II – assegurar a implementação e a observância das diretrizes estabelecidas;

  • III – supervisionar a efetividade dos controles de segurança da informação e de segurança cibernética;

  • IV – deliberar sobre incidentes cibernéticos relevantes e sobre as medidas corretivas e preventivas a serem adotadas;

  • V – assegurar a existência e a manutenção do plano de ação e de resposta a incidentes;

  • VI – acompanhar os resultados do monitoramento, dos testes e das avaliações de segurança;

  • VII – assegurar a disponibilização de recursos necessários à execução desta Política.

6.2 Áreas Responsáveis, Colaboradores e Terceiros

Compete às áreas operacionais, aos colaboradores, parceiros e prestadores de serviços:

  • I – cumprir as diretrizes desta Política e demais normas internas aplicáveis;

  • II – utilizar informações, dados e sistemas exclusivamente para fins

autorizados;

  • III – adotar práticas adequadas de proteção das informações e dos ativos tecnológicos sob sua responsabilidade;

  • IV – comunicar de forma imediata à Diretoria qualquer incidente, suspeita de incidente ou falha de segurança;

  • V – cooperar com as ações de prevenção, mitigação e tratamento de incidentes;

  • VI – observar as obrigações legais, regulatórias e contratuais relacionadas à segurança da informação e à proteção de dados.

7. PRINCÍPIOS

A segurança da informação e a segurança cibernética da AuthPay são orientadas por princípios que sustentam a proteção das informações e a confiabilidade dos sistemas, incluindo:

  • proteção da confidencialidade, integridade, disponibilidade e autenticidade das informações;

  • responsabilização pelo uso adequado de dados e sistemas;

  • adoção de controles voltados à prevenção e à resposta a incidentes;

  • rastreabilidade das informações e operações relevantes;

  • alinhamento entre segurança da informação, objetivos do negócio e requisitos regulatórios.

8. PROCEDIMENTOS E CONTROLES DE SEGURANÇA

A AuthPay estabelece e mantém procedimentos e controles de segurança da informação e de segurança cibernética destinados à proteção de seus dados, sistemas e ambientes tecnológicos.

Os controles adotados têm como finalidade:

  • prevenir acessos não autorizados e uso indevido de informações;

  • proteger informações sensíveis e ativos tecnológicos;

  • reduzir a exposição a incidentes cibernéticos;

  • assegurar a confiabilidade e a disponibilidade dos sistemas utilizados nas operações.

Os procedimentos e controles são avaliados e aprimorados sempre que identificadas deficiências, alterações relevantes nos riscos ou mudanças no ambiente tecnológico.

9. RASTREABILIDADE DA INFORMAÇÃO

A AuthPay adota mecanismos que possibilitam a rastreabilidade das informações, transações e operações relevantes realizadas em seus sistemas. A rastreabilidade tem como finalidade apoiar análises, apurações, auditorias e respostas a incidentes, bem como atender às exigências legais, regulatórias e de supervisão.

Para esse fim, são mantidos registros, logs e trilhas de auditoria adequados, protegidos contra acessos não autorizados e mantidos por prazos compatíveis com a natureza das informações e dos processos envolvidos.

10. GESTÃO DE INCIDENTES, CONTINUIDADE E PLANO DE RESPOSTA

A AuthPay mantém diretrizes para a gestão de incidentes de segurança da informação e cibernéticos, abrangendo sua identificação, registro, análise, tratamento e mitigação.

A gestão de incidentes compreende, no mínimo:

  • registro e classificação dos incidentes;

  • análise das causas e dos impactos;

  • adoção de medidas de contenção e correção;

  • comunicação interna tempestiva e reporte à Diretoria, quando aplicável;

  • tratamento de incidentes reportados por prestadores de serviços.

A instituição mantém plano de ação e de resposta a incidentes integrado às medidas de continuidade das operações, com o objetivo de reduzir impactos decorrentes de eventos que afetem seus sistemas ou informações.

As diretrizes relacionadas à continuidade de negócios em decorrência de incidentes de segurança da informação e cibernéticos complementam e não substituem a Política de Continuidade de Negócios da AuthPay, que disciplina de forma abrangente a gestão da continuidade operacional da instituição.

11. TERCEIROS, COMPUTAÇÃO EM NUVEM E SERVIÇOS DE TECNOLOGIA

A contratação de serviços de tecnologia, incluindo processamento e armazenamento de dados e computação em nuvem, é realizada de forma estruturada e alinhada às diretrizes de segurança da informação e de gestão de riscos da AuthPay.

Antes da contratação, são avaliados aspectos relacionados à criticidade do serviço, à sensibilidade das informações envolvidas e à capacidade do prestador em assegurar a proteção e a continuidade dos serviços.

Os contratos devem conter cláusulas que assegurem a confidencialidade das informações, a segurança dos dados, a continuidade dos serviços, o acesso do Banco Central do Brasil, bem como regras sobre subcontratação e rescisão contratual.

12. MONITORAMENTO, TESTES E ACOMPANHAMENTO

A AuthPay mantém mecanismos de monitoramento e acompanhamento voltados à verificação da efetividade desta Política, dos controles de segurança adotados e do plano de resposta a incidentes.

Esses mecanismos incluem:

  • acompanhamento de eventos e ocorrências relevantes;

  • realização de testes e avaliações de segurança, incluindo testes de intrusão;

  • identificação e tratamento de deficiências e vulnerabilidades;

  • registro e acompanhamento das ações corretivas adotadas.

A instituição poderá compartilhar informações sobre incidentes cibernéticos relevantes com outras instituições autorizadas a funcionar pelo Banco Central do Brasil, observados os

deveres de sigilo e a legislação aplicável, mantendo tais informações disponíveis à autoridade supervisora quando requerido.

13. GOVERNANÇA, REVISÃO, GUARDA DOCUMENTAL E VIGÊNCIA

Esta Política, o plano de ação e resposta a incidentes e os mecanismos de monitoramento são aprovados pela Diretoria da AuthPay e revisados, no mínimo, anualmente ou sempre que ocorrerem alterações relevantes no ambiente tecnológico, nos riscos de segurança ou na regulamentação aplicável.

Devem permanecer à disposição do Banco Central do Brasil, pelo prazo mínimo de cinco anos, os documentos, registros e evidências relacionados a esta Política, aos planos, aos testes, às contratações de serviços de tecnologia e aos mecanismos de acompanhamento e controle.

A presente Política entra em vigor na data de sua aprovação pela Diretoria da AuthPay, permanecendo válida até que nova versão seja formalmente aprovada.
Versão
Nome do documento
Data de Publicação
Responsável pela Elaboração
Responsável pela Revisão
Aprovador
Objetivo

1

Pol01

20/01/2026

Roberta Ávila Ferreira

Ana Claudia Peres

Diretoria

Criação

Central de atendimento

0800 203 3030

Contato@authpay.com.br

Ouvidora

Canal de denúncia

O

Endereço

Avenida Taquara, 375, Sala 401 - 4º Andar - PETROPOLIS - Porto Alegre/RS

Políticas

Política de cadastro de uso

Política de PLDCFT

Política de conformidade e integridade

Política de privacidade e termos de uso

Política de segurança da informação e cibercegurança

Política de controles internos

Política de uso do cartão

Política de abertura de conta

Informações de suporte

Exclusão de conta

©2026 AUTHPAY INSTITUICAO DE PAGAMENTOS LTDA 07.398.335.0001-59