Documento de compliance

Política de Segurança da Informação

Esta Política descreve os princípios, controles e responsabilidades adotados pela PangeaPay para proteger informações, sistemas, infraestrutura e ativos digitais sob nossa gestão. Segurança não é um time isolado: é responsabilidade de todo mundo que toca em código, dados ou processo na empresa.

Última atualização: Abril de 2026

1. Objetivo

Estabelecer diretrizes para preservar a confidencialidade, integridade e disponibilidade das informações tratadas pela PangeaPay, em conformidade com normas regulatórias aplicáveis (Lei 14.478/22, Resolução BCB 4.658/18 quando aplicável, LGPD) e com as melhores práticas internacionais (ISO/IEC 27001, NIST Cybersecurity Framework).

Esta Política se aplica a colaboradores, prestadores de serviço, fornecedores, parceiros e qualquer pessoa que acesse sistemas, dados ou instalações da PangeaPay.

2. Princípios

A segurança da informação na PangeaPay se sustenta em cinco princípios não negociáveis:

  • Defesa em profundidade — múltiplas camadas de controle para que a falha de uma não comprometa o sistema todo.
  • Menor privilégio — acesso somente ao necessário para a função, pelo tempo necessário, com revisão periódica.
  • Segregação de funções — operações sensíveis exigem mais de um aprovador e nenhuma pessoa sozinha consegue mover ativos críticos.
  • Transparência interna — incidentes geram post-mortem com causa raiz, sem maquiar o que aconteceu.
  • Privacidade por padrão — dados pessoais são tratados sob LGPD desde o desenho do sistema, não como afterthought.

3. Governança e responsabilidades

A segurança da informação é coordenada pelo time de Segurança e supervisionada pela Diretoria. Os papéis principais são:

  • Líder de Segurança da Informação (CISO ou equivalente): responde pela política, programa de segurança e resposta a incidentes.
  • Encarregado pelo Tratamento de Dados Pessoais (DPO): coordena LGPD e atua como ponto focal com a ANPD.
  • Time de Engenharia: implementa controles técnicos, revisa código e mantém a higiene da infraestrutura.
  • Compliance e Risco: avalia exposição regulatória e operacional, mantém matriz de risco atualizada.
  • Liderança das áreas: garante adesão dos times às políticas e treinamento contínuo.
  • Todo colaborador: cumpre as políticas, reporta incidentes e participa dos treinamentos obrigatórios.

4. Classificação da informação

Informações são classificadas conforme sua sensibilidade, e cada classe define os controles mínimos exigidos:

Pública
— informação destinada à divulgação externa, sem restrição de acesso (ex.: site, blog, materiais de marketing).
Interna
— uso restrito a colaboradores e parceiros formalmente autorizados (ex.: documentação interna, manuais).
Confidencial
— acesso limitado a pessoas com necessidade legítima (ex.: dados estratégicos, contratos, código-fonte).
Restrita
— informação altamente sensível, com acesso fortemente controlado e auditado (ex.: dados pessoais de clientes, chaves criptográficas, dados de KYC, credenciais).

5. Controle de acesso

O acesso a sistemas, dados e ambientes segue o princípio do menor privilégio e é controlado pelos seguintes mecanismos:

  • Identidade individual e única para cada pessoa; acessos compartilhados são proibidos.
  • Autenticação multifator obrigatória para sistemas sensíveis, painéis administrativos e acessos remotos.
  • Senhas armazenadas em gerenciador corporativo, com requisitos de complexidade e rotação obrigatória em caso de suspeita.
  • Provisionamento por papel (RBAC), com revisão de acesso a cada 90 dias para sistemas restritos.
  • Desligamento imediato de acessos no encerramento do vínculo profissional.
  • Acesso a dados de cliente registrado em log imutável e auditado periodicamente.

6. Criptografia

Adotamos criptografia como controle padrão para proteger dados em repouso e em trânsito:

  • TLS 1.2 ou superior em toda comunicação entre cliente e servidor e entre serviços internos expostos.
  • Criptografia em repouso para bancos de dados, backups e armazenamento de objetos contendo dados restritos.
  • Gestão de chaves em serviços dedicados (KMS), com rotação periódica e separação de funções.
  • Tokenização ou hash forte para dados que não precisem ser recuperados em texto claro (ex.: senhas, tokens de sessão).
  • Para custódia de criptoativos, uso combinado de cold storage, multisig e HSMs, com procedimentos de assinatura segregados.

Algoritmos descontinuados ou conhecidos como inseguros são banidos. Inventário criptográfico é mantido e revisado periodicamente.

7. Desenvolvimento seguro

A PangeaPay adota práticas de Secure SDLC para garantir que segurança seja considerada desde o desenho do produto:

  • Threat modeling em mudanças que afetam fluxos críticos (autenticação, custódia, movimentação financeira).
  • Revisão obrigatória de código (peer review) e testes automatizados antes de qualquer deploy em produção.
  • Análise estática de código (SAST) e análise de dependências (SCA) na pipeline de CI.
  • Análise dinâmica (DAST) e testes de penetração periódicos por times internos e externos qualificados.
  • Programa de bug bounty ou canal de divulgação responsável para reporte externo de vulnerabilidades.
  • Segredos não residem no código-fonte; são geridos por cofres dedicados (vault).

8. Infraestrutura e operações

A operação dos sistemas segue padrões de hardening, observabilidade e resiliência:

  • Imutabilidade da infraestrutura: servidores são reconstruídos a partir de imagens versionadas, não modificados em produção.
  • Segmentação de rede entre ambientes (dev, staging, produção) e entre serviços com diferentes níveis de criticidade.
  • Patching periódico e prazo máximo definido para correção de vulnerabilidades por severidade.
  • Logs centralizados, retidos por prazo compatível com obrigações regulatórias e protegidos contra adulteração.
  • Monitoramento contínuo (métricas, traces, alertas) com plantão 24/7 para serviços críticos.
  • Plano formal de backup com testes periódicos de restauração e verificação de integridade.

9. Gestão de fornecedores

Antes de contratar, fornecedores que tratam dados restritos passam por avaliação de segurança e privacidade. Os controles incluem:

  • Due diligence inicial sobre certificações, histórico de incidentes e conformidade regulatória.
  • Cláusulas contratuais específicas de segurança da informação, proteção de dados e direito de auditoria.
  • Reavaliação periódica para fornecedores críticos.
  • Plano de saída e portabilidade para reduzir dependência e risco de lock-in.

10. Resposta a incidentes

Mantemos um plano formal de resposta a incidentes de segurança, com papéis, fluxos de comunicação e prazos definidos. Em geral, o ciclo é:

  • Detecção: monitoramento contínuo, alertas automatizados e canais internos para reporte por colaboradores.
  • Triagem: classificação por severidade e impacto potencial, ativação do time de resposta quando aplicável.
  • Contenção: ações imediatas para limitar a propagação e o dano (ex.: bloqueio de credenciais, isolamento de host).
  • Erradicação e recuperação: remoção da causa raiz e retorno seguro à operação normal.
  • Comunicação: notificação a clientes, autoridades (ANPD, COAF, BACEN, conforme o caso) e demais stakeholders nos prazos legais.
  • Pós-incidente: post-mortem com causa raiz, lições aprendidas e plano de remediação.

Em caso de incidente envolvendo dados pessoais que possa acarretar risco ou dano relevante, comunicamos titulares afetados e a ANPD conforme exigido pela LGPD.

11. Continuidade de negócio

Mantemos plano de continuidade e recuperação de desastres para serviços críticos, com definição de RTO e RPO compatíveis com a criticidade de cada componente. Os planos são testados periodicamente e revisados após mudanças relevantes na arquitetura.

12. Uso aceitável

O uso de equipamentos, contas, e-mails corporativos e quaisquer recursos da PangeaPay deve estar relacionado às atividades profissionais. Práticas vedadas incluem:

  • Compartilhar credenciais ou tokens com terceiros, internos ou externos.
  • Instalar software não autorizado em equipamentos corporativos.
  • Desativar controles de segurança (antivírus, EDR, criptografia de disco).
  • Conectar dispositivos pessoais sem autorização a redes ou ambientes restritos.
  • Acessar, copiar ou exportar dados de cliente sem necessidade legítima e registro adequado.

13. Treinamento e cultura

Todo colaborador participa de treinamento de segurança da informação na contratação e periodicamente. Os programas cobrem phishing, engenharia social, manuseio de dados pessoais, uso seguro de credenciais e protocolos de incidente.

Promovemos exercícios periódicos (phishing simulado, mesa-redonda de incidentes) para manter a cultura de segurança ativa.

14. Monitoramento e conformidade

A aderência a esta Política é avaliada por meio de auditorias internas e externas, métricas de segurança e revisões periódicas. Não conformidades geram plano de ação com prazo e responsável definidos. Reincidências ou descumprimentos graves resultam em sanções proporcionais, conforme o Código de Conduta.

15. Como reportar incidentes ou suspeitas

Reporte qualquer suspeita de incidente, vulnerabilidade ou violação desta Política o mais rápido possível pelo e-mail compliance@pangeapay.org. Não é necessário ter certeza: na dúvida, reporte. Reportes de boa-fé são protegidos contra retaliação.

Suspeita de incidente?

Reporte agora.

Comunique imediatamente phishing, perda de dispositivo, acesso indevido ou qualquer evento que possa afetar a segurança da plataforma.

compliance@pangeapay.org