Política de Cookies
Aviso de Privacidade
Política de Segurança da
Informação e Segurança
Cibernética
Política Antifraude
Termos Gerais de Uso da Átomo Pay
Política de Prevenção a lavagem de dinheiro
Código de ética e conduta
Aviso de Privacidade Usuário Seller e Afiliado
Aviso de Privacidade Usuário Comprador
Termos de Uso Usuário Consumidor
Voltar ao Início

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA

Última atualização: 01 de Julho de 2025

FOLHA DE CONTROLE

Conteúdo Conteúdo

Título
Política de Segurança da Informação e Segurança Cibernética

Número da versão
V01/2024

Status
Aprovado

Órgão Aprovador
ANPD

Data da Aprovação
02/09/2024

Área responsável pela elaboração
Jurídico Externo – NDM Advogados e Departamento Compliance.

Área de aplicação
Brasil

Classificação da Publicidade
Público interno

1. INTRODUÇÃO

A Política de Segurança da Informação e Segurança Cibernética (“Política”) tem como objetivo estabelecer as regras, procedimentos e controles de Segurança da Informação da Átomo Pay, conforme as previsões regulatórias.

A Segurança da Informação pode ser entendida como a capacidade de prevenir, detectar, responder e de se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e informações.

Dessa forma, o objetivo desta política é descrever o uso aceitável de equipamentos de informática da Átomo Pay. Essas regras estão em vigor para proteger nossos parceiros, colaboradores e a própria empresa do uso inapropriado desses ativos, que possam expor a Átomo Pay a riscos, incluindo ataques de vírus, comprometimento de sistemas e serviços de rede, situações reputacionais e violações legais.

Por meio desta Política, buscamos manter os Princípios do Privacy by Design, mantendo a funcionalidade total das operações. Isso quer dizer que o documento não tem o objetivo de impor restrições que sejam contrárias à cultura estabelecida na Átomo Pay de abertura, confiança e integridade, e sim ter uma abordagem “risk oriented”, contra ações ilegais ou prejudiciais por parte de indivíduos, conscientes ou não.

Ainda, esta Política visa viabilizar a identificação de possíveis violações de segurança da Informação, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais, a fim de mitigar os riscos de segurança da informação, garantindo, ainda, a continuidade dos negócios, protegendo os processos críticos de interrupções causadas por falhas ou desastres.

Ressalta-se que esta Política é condizente com:

  • O porte, o perfil de risco e o modelo de negócio da Átomo Pay.

  • A natureza das suas atividades e a complexidade dos serviços e produtos por ela fornecidos.

  • A sensibilidade dos dados e das informações sob responsabilidade da Átomo Pay.

2. NORMAS DE REFERÊNCIA

Normas que servem de referência para a elaboração desta Política:

  • Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

  • Resolução CD/ANPD nº 2 de janeiro de 2022.

  • Resolução CMN nº 4.893 de 2021.

  • Resolução BCB nº 85 de 2021.

3. ÂMBITO DE APLICAÇÃO

A presente Política será aplicável a todos os colaboradores, membros da alta administração, terceiros e quaisquer outras pessoas, sejam físicas ou jurídicas, que tenham ou venham a ter acesso aos dados controlados e ao sistema de informação da Átomo Pay.

3.1. O não cumprimento desta Política
O não cumprimento desta Política acarretará sanções administrativas, podendo levar ao desligamento do colaborador ou à rescisão do contrato vigente, além da reparação de danos, de acordo com a gravidade da ocorrência.

4. DEFINIÇÕES

Visando auxiliar na interpretação e aplicação desta Política, as palavras com iniciais maiúsculas, seja no singular ou no plural, devem ser entendidas da seguinte forma:

  • Alta Administração: membros da diretoria executiva e conselho de administração, quando houver.

  • ANPD: Autoridade Nacional de Proteção de Dados.

  • Clientes: usuários que utilizam os serviços da Átomo Pay.

  • Colaboradores: empregados contratados sob regime CLT, estagiários e jovens aprendizes.

  • Controladores: empresas que contratam os serviços da Átomo Pay.

  • Incidente de segurança com dados pessoais: qualquer evento adverso relacionado à violação de segurança de dados pessoais, conforme definição da ANPD.

  • Terceiros: prestadores de serviço, parceiros comerciais e demais pessoas físicas ou jurídicas que mantenham relação com a Átomo Pay.

5. GOVERNANÇA EM PROTEÇÃO DE DADOS

A governança visa organizar e implementar políticas, estruturas e cultura de proteção de dados na Átomo Pay, definindo os papéis e responsabilidades para tratamento de dados.

5.1. Responsáveis pelo programa de privacidade
A aplicação do programa de privacidade será conduzida por um responsável de privacidade, com apoio de um grupo de trabalho interdisciplinar.

5.2. Grupo de Trabalho
Deverá se reunir trimestralmente ou sempre que necessário, sendo composto por:

  • Responsável de Privacidade

  • Jurídico Externo (NDM Advogados)

  • Líderes de cada time macro (RH, Financeiro, Comercial, Marketing)

  • Departamento de TI

Atividades com risco baixo e médio poderão ser deliberadas diretamente; riscos altos deverão ser escalados à direção.

6. DIRETRIZES GERAIS DE RESPONSABILIDADE E CONFORMIDADE

A Átomo Pay visa proteger os ativos de informação contra ameaças e reduzir riscos operacionais. Seus processos asseguram:

  • Confidencialidade

  • Integridade

  • Disponibilidade

  • Autenticidade

  • Não repúdio

A Átomo Pay assegura ainda que:

  • Dados pessoais serão tratados conforme a LGPD;

  • Sistemas serão geridos com base em análise de risco;

  • Controles seguem normas reconhecidas;

  • Incidentes são considerados nos testes de continuidade;

  • Dados são classificados por relevância;

  • Equipe é capacitada para segurança da informação.

6.1. Diretrizes específicas incluem:

  • 6.1.1. Novos dispositivos: exigem aprovação prévia.

  • 6.1.2. Autenticação: uso de ID e senha/token.

  • 6.1.3. Rastreamento: lista de usuários autorizados.

  • 6.1.4. Marcação: dispositivos devem ter rótulos com proprietário e finalidade.

  • 6.1.5. Classificação e acesso: acesso conforme a política.

  • 6.1.6. Laptops: cuidado especial.

  • 6.1.7. Antivírus: obrigatório.

  • 6.1.8. E-mail: uso conforme esta política.

6.1.9. Usos proibidos incluem, mas não se limitam a:

  • Acesso não autorizado a dados;

  • Uso de softwares pirateados;

  • Distribuição de malware;

  • Compartilhamento de senhas;

  • Ofertas fraudulentas;

  • Monitoramento não autorizado;

  • Varreduras de segurança sem permissão;

  • Envio de spam ou material ofensivo;

  • Envio de dados de cartões (PANs) sem criptografia;

  • Criação de esquemas em pirâmide ou correntes.

6.1.10. Wireless:
A rede sem fio da Átomo Pay é para uso profissional e exige autorização expressa. Visitantes devem solicitar acesso.

7. PROCEDIMENTOS E CONTROLES

7.1. Política de Classificação de Dados
As informações, dados e documentos operados pela Átomo Pay serão classificados de acordo com as categorias abaixo indicadas, considerando a sensibilidade e a relevância do seu conteúdo para a Átomo Pay e para os seus Clientes:

  • Nível 01 – Documentos Públicos: Informações aprovadas pela Alta Administração para uso público (interno e externo), por exemplo: relatórios anuais, indicações para a imprensa etc.

  • Nível 02 – Somente Uso Interno: Informação não aprovada para circulação fora da Átomo Pay como, por exemplo: memorandos internos, minutas ou atas de reuniões, procedimentos, rotinas operacionais e relatórios de projetos internos.

  • Nível 03 – Confidencial: Informações cuja circulação interna é controlada, por questões estratégicas e de gestão, e cuja circulação externa é vedada, pois se tornadas públicas ou compartilhadas causarão impacto e prejuízos aos negócios. Exemplos: planos estratégicos, informações contábeis, planos de negócio, dados de clientes ou acionistas.

  • Nível 04 – Informações Sensíveis: Informações críticas ao desenvolvimento das atividades da Átomo Pay, como dados pessoais sensíveis, dados de crianças/adolescentes, informações protegidas por sigilo bancário ou cuja perda possa comprometer a prestação de serviços ou o cumprimento de obrigações legais.

7.1.1. Política de Restrição de Acessos
Apenas indivíduos com real necessidade de acesso às informações poderão acessá-las, com base nos critérios abaixo:

  • Nível 01: Livre acesso.

  • Nível 02: Funcionários e terceiros com acordo de confidencialidade e necessidade comercial.

  • Nível 03: Indivíduos designados com acesso aprovado e acordo de confidencialidade.

  • Nível 04: Indivíduos designados com acesso restrito, aprovados e com acordo de confidencialidade – preferencialmente gestores.

Mudanças de cargo exigem revisão imediata das credenciais e remoção de acessos desnecessários.

7.2. Política de Utilização de Informações Físicas
Medidas para segurança de informações físicas incluem:

  • Controle de acesso físico a ambientes e documentos.

  • Trancamento adequado de armários, salas e arquivos.

  • Destruição segura de documentos sensíveis.

  • Backup físico de documentos críticos em locais seguros.

  • Auditorias regulares e prevenção a desastres.

  • Treinamento contínuo dos funcionários.

7.3. Política de Sistemas Antivírus
Para garantir segurança:

  • Softwares antivírus devem estar atualizados e ativos diariamente.

  • Logs devem ser mantidos por no mínimo 1 ano.

  • Equipamentos infectados devem ser removidos da rede.

  • Atividades de criação ou disseminação de malware são proibidas.

  • Todos os dispositivos conectados à rede da Átomo Pay exigem firewall pessoal ativo.

7.4. Política de Auditoria
A Átomo Pay pode auditar dispositivos e acessos utilizados para atividades comerciais, incluindo:

  • Níveis de acesso a sistemas.

  • Informações transmitidas ou armazenadas.

  • Acesso a áreas físicas.

  • Monitoramento de tráfego de rede.

Essas auditorias respeitam a LGPD e são previstas na Comunicação Interna de Privacidade.

7.5. Política de Dispositivos Desktop e Laptop
Para segurança local:

  • O usuário assume responsabilidade ao receber o equipamento.

  • É necessário formulário assinado de recebimento e devolução.

  • Proibida instalação de softwares não autorizados.

  • Senhas devem ser protegidas e telas bloqueadas após 15 min de inatividade.

  • Atualizações e antivírus devem ser permitidos e executados.

  • Arquivos desconhecidos não devem ser abertos.

Para laptops:

  • Não devem ser deixados à vista em locais públicos ou em veículos.

  • Devem ser criptografados e, se perdidos/roubados, o responsável deve ser notificado imediatamente.

  • Devem ser transportados com segurança (bagagem de mão, malas identificadas).

7.6. Política de Email
Medidas para uso seguro do e-mail institucional:

  • Cautela no envio para múltiplos destinatários.

  • Verificar destinatário e conteúdo antes do envio.

  • Inserir aviso de confidencialidade padrão nos e-mails externos.

  • Evitar encaminhamento de e-mails internos para fora sem autorização.

  • ANPD recomenda autenticação em dois fatores e separação de dispositivos pessoais/institucionais.

  • Permitida exclusão remota de dados em dispositivos móveis da empresa.

  • Todos os e-mails podem ser monitorados conforme esta política.

7.7. Política de Criptografia
Essas medidas têm o objetivo de impor limites e estabelecer requisitos para o uso da criptografia pela Átomo Pay. São as regras:

  • Algoritmos padrão comprovados, como o AES, devem ser usados como base para tecnologias de criptografia.

  • Esses algoritmos representam a cifra real usada para um aplicativo aprovado.

  • Os comprimentos de chave do sistema criptográfico simétrico devem ser de pelo menos 128 bits.

  • As chaves do sistema de criptografia assimétricas devem ter comprimento que produza força equivalente.

  • Os requisitos de comprimento de chave da Átomo Pay serão revisados anualmente.

  • O uso de algoritmos proprietários não será permitido sem revisão externa especializada e aprovação interna.

7.8. Prevenção à Incidente de Segurança ocasionado por Colaboradores ou Terceiros

7.8.1. Concessão de Acesso aos Sistemas e Monitoramento
A diretoria exigirá a assinatura de Termo de Confidencialidade e Sigilo por colaboradores e terceiros, definindo gestores responsáveis pelos acessos. Ações serão rastreadas por logs e os ambientes serão monitorados por câmeras 24/7.

Colaboradores com acesso a dados sensíveis serão, preferencialmente, alocados em áreas restritas. Será mantido canal de denúncias anônimo e realizadas auditorias internas periódicas.

7.8.2. Uso de Equipamentos Corporativos e Responsabilidade com os Dados de Acesso
A Átomo Pay fornecerá os equipamentos necessários e realizará varreduras e investigações internas. Cada colaborador é responsável por seu login e senha, sendo proibido compartilhamento ou uso indevido.

7.9. Prevenção à Indisponibilidade do Sistema e Ambientes Virtuais

  • Redundância de links e servidores

  • Load balance

  • SLA com provedor de internet: até 4h

7.9.1. Manutenção e Cópias de Segurança
Backups e restaurações serão realizados tanto de dados internos quanto externos, com medidas para garantir integridade e inviolabilidade.

7.9.2. Informações e Proteção aos Clientes
Os Termos de Uso e a Política de Privacidade estarão disponíveis para consulta dos usuários.

7.10. Segurança das Comunicações
A Átomo Pay garantirá a proteção das comunicações com:

  • TLS/HTTPS ou criptografia fim-a-fim

  • Firewalls e WAFs

  • Antispam, antivírus e filtros de e-mail

  • Remoção de dados sensíveis expostos desnecessariamente

7.11. Contratação de Serviços de Processamento e Armazenamento
Avaliações prévias (due diligence) serão realizadas com base em:

  • Certificações (PCI DSS, ISO 27001 etc.)

  • Verificação documental

  • Auditorias externas

  • Contratos com cláusulas de segurança, responsabilidade e exclusão de dados ao final do vínculo

7.12. Política de Senha Segura

  • Senhas nunca devem ser compartilhadas

  • Alteração a cada 90 dias

  • Senhas diferentes por sistema

  • Proibição de senhas em post-its ou e-mails

  • Proibição de reutilização de senhas

  • Senhas fracas serão identificadas e exigido ajuste

  • Mínimo de 8 caracteres com letras, números e símbolos

  • Histórico de 4 senhas anteriores bloqueado

  • Credenciais de produção e teste devem ser distintas

7.13. Políticas de Análises de Riscos

7.13.1. Processo de Avaliação de Risco
Os componentes da análise de risco incluem:

  • Atribuição de nível de risco

  • Probabilidade x impacto

  • Identificação de segurança atual

  • Risco inerente

  • Medidas complementares e plano de gestão

Níveis de risco:

  • Risco mínimo

  • Baixo risco

  • Risco moderado

  • Alto risco

  • Risco máximo

7.14. Política de Desenvolvimento Seguro de Software
Quando houver desenvolvimento próprio ou terceirizado de software, a Átomo Pay deve estabelecer e aplicar uma política específica de segurança para desenvolvimento.

8. Política de Retenção de Dados
A Átomo Pay manterá política específica de retenção conforme legislação, especialmente quanto a dados pessoais.

9. Plano de Respostas a Incidentes
Cenários de incidentes serão elaborados e a resposta deverá ocorrer em até 2 horas após qualquer interceptação ou vazamento, com notificação imediata ao DPO ou equipe de TI.

10. Capacitação de Colaboradores e Terceiros
A equipe manterá comunicação ativa, capacitação e orientações periódicas com foco em:

  • Proteção de dados

  • Segurança da informação

  • Política de consequências

Treinamentos abordarão:

  • Uso de controles de segurança

  • Prevenção de incidentes comuns

  • Armazenamento físico seguro

  • Bloqueio de computadores ao se ausentar

  • Proibição de compartilhamento de logins e senhas

11. Vigência
Esta Política entra em vigor em 01/07/2025 e será revisada em no máximo 01 (um) ano ou antes, se necessário.