1. Compromisso com a Segurança
A PaguexPay está comprometida em proteger a confidencialidade, integridade e disponibilidade das informações de nossos clientes. Esta política estabelece os princípios e práticas de segurança da informação que seguimos.
2. Certificações e Conformidade
Mantemos as seguintes certificações e conformidades:
- PCI-DSS Level 1: Padrão de Segurança de Dados da Indústria de Cartões de Pagamento
- ISO 27001: Sistema de Gestão de Segurança da Informação
- LGPD: Lei Geral de Proteção de Dados
- Resolução CMN 4.658: Política de Segurança Cibernética
3. Criptografia
Utilizamos criptografia de ponta para proteger seus dados:
- TLS 1.3: Para todas as comunicações entre seu navegador e nossos servidores
- AES-256: Para dados armazenados em nossos bancos de dados
- Tokenização: Dados sensíveis de cartão são tokenizados e nunca armazenados em texto claro
- Hashing: Senhas são protegidas com algoritmos de hashing bcrypt
4. Controle de Acesso
Implementamos rigorosos controles de acesso:
- Autenticação multifator (MFA) obrigatória para todos os usuários
- Princípio do menor privilégio para acesso a sistemas
- Revisão periódica de permissões de acesso
- Logs detalhados de todas as atividades de acesso
- Segregação de funções para operações críticas
5. Infraestrutura Segura
Nossa infraestrutura é projetada com segurança em mente:
- Servidores hospedados em data centers certificados Tier III ou superior
- Redundância geográfica para alta disponibilidade
- Firewalls de aplicação web (WAF) para proteção contra ataques
- Sistemas de detecção e prevenção de intrusão (IDS/IPS)
- Backups automáticos diários com retenção de 30 dias
- Plano de recuperação de desastres testado regularmente
6. Monitoramento e Detecção
Monitoramos continuamente nossa infraestrutura:
- Monitoramento 24/7 de sistemas e redes
- Análise de logs em tempo real
- Alertas automáticos para atividades suspeitas
- Testes de penetração trimestrais por empresas especializadas
- Varreduras de vulnerabilidade semanais
7. Desenvolvimento Seguro
Seguimos práticas de desenvolvimento seguro:
- Revisão de código por pares
- Análise estática de código (SAST)
- Análise dinâmica de aplicações (DAST)
- Testes de segurança automatizados no pipeline CI/CD
- Gestão de dependências e patches de segurança
8. Gestão de Incidentes
Mantemos um plano robusto de resposta a incidentes:
- Equipe dedicada de resposta a incidentes
- Procedimentos documentados para diferentes tipos de incidentes
- Comunicação transparente com clientes afetados
- Análise pós-incidente e implementação de melhorias
- Notificação às autoridades conforme exigido por lei
9. Treinamento e Conscientização
Investimos em treinamento contínuo:
- Treinamento obrigatório de segurança para todos os funcionários
- Simulações de phishing para conscientização
- Atualizações regulares sobre novas ameaças
- Certificações de segurança para equipe técnica
10. Gestão de Fornecedores
Avaliamos rigorosamente nossos fornecedores:
- Due diligence de segurança antes da contratação
- Cláusulas contratuais de segurança e privacidade
- Auditorias periódicas de fornecedores críticos
- Avaliação contínua de riscos de terceiros
11. Suas Responsabilidades
Para manter a segurança de sua conta, você deve:
- Manter suas credenciais de acesso confidenciais
- Usar senhas fortes e únicas
- Habilitar autenticação multifator
- Manter seu software e dispositivos atualizados
- Reportar imediatamente qualquer atividade suspeita
- Não compartilhar acesso à sua conta
12. Reporte de Vulnerabilidades
Encorajamos a divulgação responsável de vulnerabilidades. Se você descobrir uma vulnerabilidade de segurança, entre em contato conosco:
E-mail: security@paguexpay.com
Comprometemo-nos a responder dentro de 48 horas e trabalhar com você para resolver o problema de forma responsável.
13. Atualizações desta Política
Esta política é revisada e atualizada regularmente para refletir mudanças em nossas práticas de segurança e no cenário de ameaças. A última atualização está indicada no topo deste documento.