Política de Segurança da Informação

1. APLICAÇÕES DA “PSI”

A Política de Segurança da Informação (“PSI”) é o documento que apresenta os princípios gerais de conduta a fim de mitigar eventuais riscos relacionados às ameaças externas ou internas, deliberadas ou acidentais, que possam impactar na operação da empresa, comprometendo a informação, principalmente, quanto à sua integridade, confidencialidade e disponibilidade. Além de estabelecer as diretrizes corporativas da MI Pagamentos do Brasil (“MovilePay”) para a proteção dos ativos de informação, apoiando na missão da organização e do Grupo Movile em tornar-se a maior e melhor plataforma de experiência do cliente empoderada por inteligência artificial.

Portanto, deve ser cumprida e aplicada em todas as áreas da MovilePay, inclusive por todas as pessoas físicas e jurídicas, sejam sócios, diretores, gestores, coordenadores, funcionários, consultores, terceiros, parceiros, fornecedores ou quaisquer outros prestadores de serviços.

Qualquer colaborador ou empresa, reconhece que as condições previstas na PSI permanecerão válidas durante toda a existência do vínculo com a MovilePay e mesmo após o término de tal vínculo, independentemente do motivo. Sendo expressamente proibida, sem autorização prévia e por escrito, a reprodução, divulgação, publicação de qualquer informação, que seja coletada, processada, armazenada ou transmitida (“Informações Protegidas”), independentemente do nível de classificação ou mesmo estando sem classificação. Também é proibida a cessão, facilitação ou compartilhamento de seu acesso físico ou lógico aos recursos, sistemas, equipamentos ou às dependências da MovilePay.

A reprodução, divulgação e/ou publicação de quaisquer Informações Protegidas somente ocorrerá mediante ordem judicial, requisição de autoridades competentes, acordo celebrado pela MovilePay com Terceiros interessados e de direito sobre as informações solicitadas e/ou autorização prévia e por escrito de no mínimo 02 (dois) representantes legais da MovilePay. Todas as divulgações, sem exceções, serão supervisionadas pela área Jurídica/Compliance da MovilePay.

O eventual uso indevido, por negligência, imprudência, imperícia ou até mesmo intencional que seja feito afetando as Informações Protegidas será de sua exclusiva responsabilidade, isentando a MovilePay de toda e qualquer responsabilidade nesse sentido.

A MovilePay poderá monitorar e auditar os ambientes de seus parceiros estratégicos, integrantes do Grupo Movile, para resguardar, principalmente, o uso das Informações Protegidas. Além disso, as evidências necessárias poderão ser coletadas e armazenadas, sem qualquer restrição de período, para fins de esclarecimento e não repúdio em eventuais análises que envolvem não apenas os eventos e incidentes de segurança, mas também os processos investigatórios e afins, visando sempre a adoção das medidas legais cabíveis.

2. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (“SGSI”)

2.1. OBJETIVOS

A Política do Sistema de Gestão de Segurança da informação foi estabelecida em consonância à estratégia da MovilePay, sendo:

• Atender a legislação aplicável, requisitos dos clientes relacionados à Segurança da Informação;
• Estabelecer os requisitos necessários visando garantir a confidencialidade, integridade e disponibilidade das informações através de controles eficientes e eficazes;
• Melhorar continuamente o sistema de gestão, por meio da identificação e gestão dos riscos relacionados à segurança da informação.

2.2. RESPONSABILIDADES

A Companhia define as seguintes responsabilidades, relacionadas ao SGSI:

A. ALTA DIREÇÃO

Aprovar a Política e os Objetivos de Segurança da Informação compatíveis com a direção estratégica da organização;

• Garantir a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização;
• Assegurar que os recursos necessários para o sistema de gestão da segurança da informação estejam disponíveis;
• Comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;
• Assegurar que o sistema de gestão da segurança da informação alcance seus resultados pretendidos;
• Orientar e apoiar pessoas que contribuam para eficácia do sistema de gestão da segurança da informação;
• Promover a melhoria contínua; e
• Apoiar outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade.

B. COLABORADORES

Os colaboradores e usuários são considerados quaisquer indivíduos com acesso às informações da MovilePay ou de seus clientes, seja um funcionário, prestador de serviços, estagiário, fornecedor, autônomo ou contratado, com atividades internas ou externas.

Suas responsabilidades incluem, mas não se limitam a:

• Ler, entender e cumprir todos os procedimentos descritos na Política de Segurança da Informação e em seus documentos referenciados;
• Cumprir todos os controles, processos e atividades de Segurança da Informação estabelecidas pela MovilePay;
• Utilizar as informações da MovilePay e de seus clientes apenas para atender aos negócios corporativos e os propósitos autorizados pelo Proprietário da Informação;
• Manter a confidencialidade, integridade e disponibilidade de todas as informações da MovilePay e as de seus clientes;
• Assinar o Termo de Conhecimento e Aceite desta PSI e entregar uma via à área de People.

C. PROPRIETÁRIOS DAS INFORMAÇÕES

O proprietário da Informação é o colaborador responsável por gerenciar, garantir a segurança e o uso adequado das informações sob sua responsabilidade.

Mesmo que um colaborador tenha gerado ou obtido uma informação, não significa necessariamente que ele é o proprietário dessa informação. Os proprietários das informações geralmente estarão definidos no cabeçalho dos documentos.

As responsabilidades do proprietário da Informação incluem, mas não se limitam a:

• Conhecer e controlar as informações geradas ou manipuladas dentro do seu campo de atuação (departamento ou projeto), independentemente do meio e forma (eletrônico, físico ou verbal);
• Classificar a informação;
• Garantir que os colaboradores entendam e sigam os procedimentos de segurança;
• Autorizar ou vetar formas de uso ou divulgação das informações sob sua propriedade;

D. SECURITY

As responsabilidades do time de Segurança da Informação incluem, mas não se limitam a:

• Propor políticas e diretrizes relacionadas à Segurança da Informação;
• Responsabilizar-se pela gestão e manutenção da política de segurança da informação;
• Supervisionar a implementação das políticas e procedimentos de segurança;
• Estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação;
• Coordenação operacional, manutenção e comunicação apropriada do SGSI;
• Elaborar o plano de gerenciamento de incidentes, analisar de forma crítica as causas de incidentes de segurança da informação, determinar planos de ação e implementá-los para evitar a sua reincidência.
• Definir, implementar e testar os planos de continuidade do negócio;
• Implementar programas de conscientização e treinamento sobre segurança da informação para os funcionários periodicamente.
• Elaborar o plano de tratamento de riscos, mantendo-o continuamente atualizado, efetuando o seu gerenciamento (análise/avaliação e tratamento) a fim de reduzi-los um nível aceitável.
• Avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação;
• Identificar melhoria contínua para não conformidades de segurança, bem como, ações corretivas.

E. JURÍDICO/ COMPLIANCE

As responsabilidades do time Jurídico/Compliance incluem, mas não se limitam a:

• Revisar a Política de Segurança da Informação no que se refere aos controles e processos que dão suporte à conformidade com leis e resoluções aplicáveis ao negócio;
• Orientar e acompanhar a implementação da Política de Segurança da Informação, incluindo processos e controles críticos, relacionados à conformidades com leis e resoluções;
• Identificar e manter-se atualizado em relação a legislação aplicável ao negócio e a Segurança da Informação;
• Assessorar as áreas relacionadas aos requisitos legais de Segurança da Informação;
• Auxiliar e fornecer insumos que apoiem legalmente os planos de continuidade do negócio;
• Promover, orientar e acompanhar, quaisquer questões e/ou temas jurídicos pertinentes à implementação da Política de Segurança da Informação da MovilePay.

F. INFRAESTRUTURA

As responsabilidades do time de Infraestrutura incluem, mas não se limitam a:

• Gerenciar os recursos de tecnologia da informação;
• Contratar serviços de infraestrutura de Tecnologia da Informação (TI), no âmbito da instituição e gerenciar a qualidade desses serviços;
• Efetuar o planejamento e a gestão de capacidade dos elementos de infraestrutura necessários ao funcionamento das operações;
• Apoiar os times de desenvolvimento do processo de desenvolvimento seguro;
• Identificar, implementar e administrar soluções de infraestrutura de TI para as operações;
• Instalar, configurar e manter atualizados os equipamentos de rede e segurança, sistemas operacionais e outros softwares básicos necessários ao funcionamento das operações;
• Definir, implementar e testar os planos de continuidade do negócio;
• Promover, orientar e acompanhar, no que se refere à TI, a implementação da Política de Segurança da Informação;
• Prover ambiente computacional adequado para desenvolvimento, teste, homologação das operações;
• Monitorar se as informações em redes e dos recursos de processamento da informação que as apoiam estão protegidas;

F. OFFICE IT COMPARTILHADO

A MovilePay, em conjunto com a infraestrutura do time de Office IT das empresas do Grupo Movile tais como o iFood e a Movile Holding, se responsabilizam, em conjunto, por:

• Coordenar o desenvolvimento e a implantação dos sistemas de informação institucionais;
• Gerenciar os recursos de tecnologia da informação, entre eles os dispositivos móveis, trabalho remoto, visando garantir a confidencialidade, integridade e disponibilidade das informações;
• Contratar serviços de infraestrutura de Tecnologia da Informação (TI) no âmbito da instituição e gerenciar a qualidade desses serviços;
• Efetuar o planejamento e a gestão de capacidade dos elementos de infraestrutura necessários ao funcionamento da MovilePay;
• Identificar, implementar e administrar soluções de infraestrutura de TI para a MovilePay;
• Definir, implementar e testar os planos de continuidade do negócio;
• Instalar, configurar e manter atualizados os equipamentos de rede e segurança, sistemas operacionais e outros softwares básicos necessários ao funcionamento da MovilePay;
• Definir e controlar o acesso lógico, à sistemas e aplicações;
• Garantir a segurança das operações estabelecendo e implementando os controles para proteção contra malware, cópias de segurança;
• Garantir a segurança nas comunicações, rede, transferência das informações;
• Promover, orientar e acompanhar, no que se refere à TI, a implementação da Política de Segurança da Informação da MovilePay;
• Prover ambiente computacional adequado para desenvolvimento;
• Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias;
• Limitar o acesso à informação e aos recursos de processamento da informação.

H. FACILITIES COMPARTILHADO

A MovilePay, em conjunto com a infraestrutura do time de Facilities das empresas do Grupo Movile tais como o iFood e a Movile Holding, se responsabilizam, em conjunto, por:

• Conservação dos espaços e equipamentos da organização, visando o bem-estar do colaborador e a segurança física dos ambientes;
• Apoiar na definição e gestão dos controles de acesso físico;
• Gestão e acompanhamentos dos fornecedores considerando as práticas para a segurança da informação;
• Organização, limpeza dos espaços, a segurança e o serviço de mudanças;
• Definir, implementar e testar os planos de continuidade do negócio;
• Promover, orientar e acompanhar, no que se refere à Facilities, a implementação da Política de Segurança da Informação da MovilePay

I. PEOPLE

As responsabilidades do time de People incluem, mas não se limitam a:

• Definir os requisitos de segurança para a seleção, contratação e término do contrato com os colaboradores;
• Apoiar a área de Security em relação a aplicação de medidas disciplinares, quando acionado;
• Apoiar a área de Security no processo de treinamento e conscientização dos colaboradores.
• Auxiliar e fornecer insumos que apoiem os planos de continuidade do negócio;
• Promover, orientar e acompanhar, no que se refere à People à implementação da Política de Segurança da Informação da MovilePay.
• Assegurar que funcionários entendam as suas responsabilidades e se estão em conformidade com os papéis para os quais eles foram selecionados.

3. CLASSIFICAÇÃO DAS INFORMAÇÕES PROTEGIDAS

Para assegurar a proteção adequada das Informações Protegidas é necessário que essas informações sejam classificadas de acordo com a importância que representam para os negócios da MovilePay.

Os critérios para classificação das informações estão definidos no Guia de Classificação da Informação, que deve ser conhecido e seguido por todos os colaboradores e terceiros.

4. PRIVACIDADE E PROTEÇÃO DE DADOS

Esta PSI aplica-se a dados, incluindo dados pessoais, que podem ser coletados sobre os colaboradores e clientes, incluindo usuários dos clientes da MovilePay e de seus parceiros estratégicos integrantes do Grupo Movile.

É vedado, sem a prévia autorização da MovilePay, o uso destes dados para finalidades diversas das expressamente determinadas nesta PSI ou dos motivos que lastrearam a coleta, o tratamento e o armazenamento dos dados.

Se os dados que estão sendo processados são pessoais ou sensíveis, firmamos acordos contratuais apropriados e as medidas organizacionais foram implementadas de acordo com a legislação aplicável para assegurar a proteção de seus dados.

Utilizamos os dados coletados para fornecer produtos e serviços, para informá-lo sobre outros produtos e serviços da MovilePay e para ajudar a manter nossos sites e serviços.

O colaborador garante que todos os dados pessoais a que tiver acesso jamais serão divulgados ou compartilhados sem autorização expressa da MovilePay, bem como não serão transmitidos ou acessados por terceiros não autorizados. O colaborador garante ainda que adotará as melhores práticas de segurança da informação durante todo o ciclo de vida dos dados dentro da MovilePay.

Para maiores detalhes sobre o tratamento e proteção de dados pessoais, consulte a nossa Política de Privacidade de Dados.

5. MONITORAMENTO E AUDITORIA DO AMBIENTE

Todo ambiente físico e digital da companhia é monitorado, respeitados os limites previstos nesse documento, incluindo o acesso, uso e/ou tráfego de informações em tal ambiente por qualquer meio (tal qual, por exemplo, correio eletrônico, com o objetivo de apurar o cumprimento das normas de segurança da companhia).

• Os colaboradores estão cientes de que a companhia, sempre respeita a legislação vigente:
• Monitora todos os servidores, redes, conexões de internet, software, equipamentos e dispositivos, móveis ou não, conectados à sua rede;
• Poderá, a qualquer momento, realizar inspeções físicas nos equipamentos e nas estações de trabalho do colaborador;
• Monitora o dispositivo pessoal do colaborador, caso o colaborador conecte tal dispositivo à rede da MovilePay;
• Realiza testes de engenharia social nos seus colaboradores, como ferramenta educativa e de conscientização.

O colaborador também está ciente de que o monitoramento poderá identificá-lo e apresentar dados sobre o seu uso da infraestrutura técnica da MovilePay e do material e conteúdo manipulado pelo colaborador, sendo certo que todas as informações coletadas no curso do monitoramento são armazenadas para fins de auditoria e poderão ser utilizadas como provas de eventual violação das regras e condições estabelecidas pela MovilePay ou da legislação em vigor.

Caso solicitado pelos órgãos competentes, essas informações oriundas do monitoramento poderão ser divulgadas e poderão se tornar públicas na medida que houver razão legal ou determinação judicial para tanto.

O colaborador entende que o monitoramento é realizado para resguardar a segurança não só dos sistemas da MovilePay e das informações Protegidas, como também do próprio colaborador. Dessa forma, o colaborador concorda que o monitoramento não constitui qualquer violação à sua intimidade, honra ou imagem, uma vez que o uso da infraestrutura da técnica da MovilePay é exclusivamente laboral, inexistindo a expectativa de privacidade.

6. MANUSEIO DAS INFORMAÇÕES PROTEGIDAS

O colaborador é responsável pelo uso que fizer das Informações protegidas. Assim, as regras abaixo deverão ser observadas para garantir um nível mínimo de Segurança da Informação:

6.1. CUIDADOS COM IMPRESSORAS E COPIADORAS: os colaboradores estão cientes que todo e qualquer uso dos equipamentos como copiadoras e impressoras, deve ser feito exclusivamente no âmbito das suas atividades profissionais. Deve-se evitar imprimir documentos contendo Informações Confidenciais e, para todos os tipos de informação, os documentos impressos ou copiados devem ser retirados imediatamente dos equipamentos.

6.2. USO DE INFORMAÇÕES PROTEGIDAS: o colaborador deve tomar o máximo de cuidado com o uso que faz das Informações Protegidas, atentando-se para não deixar anotações que contenham Informações Protegidas em quadros brancos, post-its e/ou a sua manutenção em salas após o término de eventual reunião. É proibida a transmissão de Informações Confidenciais por qualquer meio, assim como também é vedada reutilização de papéis para rascunho que contenham informação classificada como Confidencial.

Da mesma forma que os colaboradores não devem copiar e compartilhar as Informações Protegidas sem autorização da MovilePay, estes devem tomar todos cuidados necessários para evitar o acesso por terceiros às Informações Protegidas em ambientes públicos de grande circulação de pessoas, tais como eventos, restaurantes, hóteis, aviões, elevadores, entre outros lugares que não tenham qualquer relação com a MovilePay.

Nos casos envolvendo a contratação de serviços de terceiros, que justifiquem a necessidade de compartilhamento de Informações Protegidas pelo colaborador, estas somente poderão ser compartilhadas com esses terceiros após a assinatura dos instrumentos contratuais pertinentes ou, ainda, de Acordo de Confidencialidade (NDA).

6.3. COMUNICAÇÃO VERBAL: sempre que Informações Protegidas forem transmitidas por meio de comunicação verbal, o colaborador deverá respeitar as regras dispostas abaixo, de acordo com o meio de transferência da informação:

• Presencial. Informações Internas e Confidenciais somente podem ser discutidas em locais privados de acesso controlado, para impedir que terceiros não autorizados escutem a conversa e tenham acesso a tais informações. Quando não for possível trocar tais informações em ambiente privado, o colaborador deverá tomar, no mínimo, as seguintes cautelas: (a) sempre verificar se alguém está escutando a conversa; e (b) nunca identificar a Companhia durante o diálogo.
• Telefones, Celulares, Smartphones e afins. É vedada a transmissão de Informações Confidenciais por telefone (fixo ou móvel) ou qualquer dispositivo que permita a transmissão para terceiros. Caso o colaborador não possa evitar que tais informações sejam transmitidas por ligações telefônicas ou outros meios de transmissão, o colaborador deve redobrar o cuidado, sendo objetivo e discreto ao transmitir tais informações. Da mesma forma, o colaborador também não deve fornecer informações como senhas, telefones, endereços (físicos e eletrônicos), informações pessoais, sensíveis ou outros dados de acesso restrito por telefone ou outros meios de transmissão e, deve estar atento para não repetir em voz alta essas informações quando for passar a terceiros. Ainda, o colaborador entende e concorda que é vedada a gravação de Informações Confidenciais em equipamentos eletrônicos, como caixa postal, secretária eletrônica áudios no WhatsApp ou aplicativos similares.

6.4. RECEBIMENTO, ENVIO E COMPARTILHAMENTO DE ARQUIVOS: o colaborador é responsável pelos arquivos que recebe, envia e compartilha por meio eletrônico, através da infraestrutura tecnológica da MovilePay ou por meio de serviços de cloud (nuvem).

Para garantir níveis mínimos de segurança da infraestrutura tecnológica da MovilePay é vedado ao colaborador:

• Receber, enviar e compartilhar arquivos que: (a) tenham finalidades diversas e não relacionadas às atividades de interesse da Companhia ou relativas aos seus negócios; (b) contenham pornografia ou conteúdo de cunho racista, discriminatório ou qualquer outro que viole a legislação em vigor, a moral e os bons costumes; (c) viole direitos de terceiros, em especial direitos de propriedade intelectual, direitos autorais, direitos de imagem, entre outros; (d) caracterize uma infração civil ou penal e possam causar prejuízos à Companhia e a terceiros; e (e) configure concorrência desleal ou quebra de sigilo profissional;
• Enviar, compartilhar e baixar: (a) arquivos que contenham vírus, malware ou outros códigos maliciosos; (b) Informações Internas ou Confidenciais em ambiente externo, não se limitando a arquivos estratégicos para os negócios da Companhia; e (c) qualquer arquivo executável que não seja autorizado pela Companhia.

6.5. GUARDA E DESLOCAMENTO DE INFORMAÇÕES: todas as Informações Protegidas que devam ser armazenadas em suporte físico ou digital, quando da sua guarda pelo colaborador, devem respeitar os seguintes cuidados, de acordo com a classificação da informação:

• Suporte físico. Todos documentos contendo Informações Internas ou Confidenciais devem ser armazenados em arquivos físicos próprios indicados pela MovilePay, de acordo com os métodos identificação do conteúdo, também indicados pela MovilePay, incluindo sua data de arquivamento. Documentos utilizados pelo colaborador em sua estação de trabalho, quando não estiverem sendo utilizados, devem sempre ser guardados em gaveta ou armário, garantindo que tais gavetas e armários permaneçam trancados quando se tratarem de Informações Confidenciais. Nenhuma anotação relacionada às Informações Protegidas deve ser deixada à mostra, seja em cima da mesa, do computador ou em divisórias, mesmo quando o colaborador estiver presente. Quando o colaborador não estiver nas dependências da MovilePay, os documentos contendo Informações Internas e Confidenciais não devem ficar expostos. Havendo a necessidade de transporte dos documentos, o colaborador deve garantir que seu conteúdo não esteja aparente, por meio da utilização de pastas opacas e, caso o documento seja retirado dos arquivos físicos da MovilePay, deve solicitar autorização do responsável por seu arquivamento.
• Suporte digital. Todo e qualquer arquivo que contenha Informação Interna ou Confidencial deve ser salvo na rede corporativa da MovilePay, em diretório específico, que inviabilize o acesso por colaboradores não autorizados. Tais arquivos devem ser salvos de forma a identificá-los quanto ao seu conteúdo e data de criação. Caso o arquivo deva ser armazenado em dispositivo móvel (como, por exemplo, em notebooks, por conta de reuniões externas), é indispensável que o colaborador remova o arquivo do dispositivo após a sua utilização.

Todo e qualquer documento ou arquivo que contenha Informações Confidenciais somente poderá ser movimentado se houver a possibilidade de recuperação ou análise dos registros de tal arquivo ou documento em caso de falhas de segurança que acarretem a perda ou o extravio das Informações Protegidas

6.6. DESCARTE DE INFORMAÇÕES: o descarte de um documento físico e/ou a exclusão de um arquivo digital da rede da MovilePay que contenha Informações Protegidas deverá seguir as seguintes regras de descarte:

• Suporte físico: os documentos que possuírem informações públicas poderão ser descartados no lixo comum; já aqueles que possuírem Informações Internas, podem ser destruídos manualmente ou, preferencialmente, por um aparelho fragmentador antes do descarte. No caso de Informações Confidenciais, o uso de aparelho fragmentador é obrigatório e, na ausência de tal aparelho, o colaborador deverá acionar o gestor responsável.
• Suporte digital: arquivos que contenham Informações Protegidas e estejam armazenados em suporte digital flexível, tais como CD ou DVD, suporte digital rígidos, como HD e pen drive, devem ser destruídos.

Somente o responsável pela geração ou armazenamento do arquivo, ou do documento a ser descartado, tem competência para descartá-lo ou deletá-lo. Ainda, todo descarte deve ser registrado, a fim de manter um histórico que possibilite a realização de auditorias, caso necessário.

7. E-MAIL CORPORATIVO

Os endereços de e-mail fornecidos pela MovilePay aos colaboradores são individuais e destinados exclusivamente para fins corporativos e relacionados às atividades do colaborador dentro da MovilePay. A utilização desse serviço para fins pessoais é permitida desde que feita com ética, bom senso, não prejudique a MovilePay e não cause impacto no tráfego da rede ou na performance dos serviços de TI. Acrescentamos que é proibido aos colaboradores o uso do e-mail da MovilePay para:

• enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da MovilePay;
• enviar mensagem por e-mail pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de e-mail que não esteja autorizado a utilizar;
• enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a MovilePay ou suas unidades vulneráveis à ações civis, trabalhistas ou criminais;
• divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
• falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas; e
• apagar mensagens pertinentes de e-mail quando qualquer uma das unidades da MovilePay estiver sujeita a algum tipo de investigação.

As mensagens de e-mail sempre deverão incluir assinatura com o formato padrão da MovilePay, publicado na intranet.

8. INTERNET

Todas as regras da MovilePay visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Para garantir a utilização racional desses recursos, bem como a integridade dos dados e programas, a MovilePay se reserva o direito de utilizar ferramentas para verificar o conteúdo dos e-mails e monitorar o uso da internet e da rede interna.

Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a MovilePay irá cooperar ativamente com as autoridades competentes.

A internet disponibilizada pela MovilePay aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nos escritórios, nem implique conflitos de interesse com os seus objetivos de negócio.

Os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades na MovilePay e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela equipe de Office IT Compartilhado.

Os colaboradores não poderão: (i) utilizar os recursos da MovilePay para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional; (ii) efetuar upload (subida) de qualquer software licenciado a MovilePay ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados; e (iii) utilizar da rede de visitantes com seus dispositivos de trabalho (rede de Internet segregada), exceto se prévia e expressamente autorizado pelo CSI, hipótese em que serão aplicáveis todas as limitações de uso aqui previstas.

9. MENSAGENS INSTANTÂNEAS

A MovilePay pode disponibilizar para uso do colaborador, por meio dos equipamentos corporativos, a aplicação Slack, que possibilita troca de mensagens de texto em tempo real no ambiente de trabalho. Caso o colaborador tenha acesso a tal ferramenta, ele está ciente de que o seu uso é destinado exclusivamente para fins profissionais, sendo vedado qualquer uso para finalidades pessoais, e desde já reconhece que todas as informações trocadas estão sujeitas a monitoramento.

Ao usar essa ferramenta, o colaborador deve estar ciente de que não poderá: (i) enviar mensagens contendo Informações Confidenciais; (ii) enviar mensagens que violem a legislação em vigor ou cujo conteúdo verse sobre drogas, violência, racismo ou qualquer forma de discriminação, ameaça, pornografia ou qualquer outro que seja ofensivo e desrespeitoso à moral e os bons costumes; (iii) enviar mensagens de propagandas, correntes, boatos ou qualquer tipo de mensagem que além de sobrecarregar os sistemas da Companhia com o tráfego excessivo, possa causar danos a terceiros; e (iv) interceptar mensagens de terceiros ou se fazer passar por qualquer outra pessoa forjando qualquer mensagens.

10. ACESSO FÍSICO E LÓGICO

O acesso aos recursos necessários da MovilePay poderá ser realizado de diferentes maneiras (por meio físico ou lógico), a depender da necessidade considerando as atividades de cada equipe e tarefas dos colaboradores e podendo existir regras distintas para cada tipo de acesso.

11. IDENTIFICAÇÃO E SENHAS

Todos os colaboradores possuem determinados privilégios de acesso às Informações Protegidas, de acordo com seu cargo e atribuições. Alguns exemplos de privilégio são acesso a determinadas transações em sistemas, administração de servidores da infraestrutura, limitações no acesso à Internet, entre outros.

O colaborador receberá um login e senha, de acordo com o perfil que lhe for atribuído, que lhe permitirá ser identificado quando do acesso à rede e sistemas da MovilePay. Assim, o colaborador somente terá acesso aos recursos necessários, considerando o seu perfil. A MovilePay reserva-se o direito de revisar, a qualquer momento e sem aviso prévio, os privilégios de qualquer colaborador, a fim de resguardar os níveis de segurança da informação da MovilePay.

O login e senha do colaborador é pessoal, consequentemente, o colaborador é o responsável pelo sigilo e manutenção segura da sua senha vinculada ao login, sendo proibido o compartilhamento de seu login e senha com terceiros, inclusive com outros colaboradores, sob pena de arcar com as sanções não só previstas nesta Política, mas também as penalidades civis, criminais e trabalhistas, respondendo, inclusive, por todo e qualquer dano que causar à MovilePay.

12. DISPOSITIVOS

Os dispositivos físicos capazes de armazenar Informações Protegidas, como computadores, celulares, notebooks, tablets e outros, disponibilizados aos colaboradores para a execução de suas atividades, são de propriedade da MovilePay, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da MovilePay.

Os equipamentos devem ser identificados de forma individual, inventariados e protegidos de acessos indevidos. Os computadores devem ter o recurso de atualizações automáticas do sistema operacional habilitada por padrão, bloqueio das portas USB, software antivírus instalado, atualizado frequentemente e criptografia de disco habilitada. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento de Office IT Compartilhado mediante registro de chamado no Service Desk.

Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em diretório sincronizado com nosso serviço de Cloud, garantindo o backup e a disponibilidade através de qualquer computador. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.

Arquivos pessoais e/ou não pertinentes ao negócio da MovilePay não deverão ser copiados/movidos para o nosso serviço de Cloud. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário.

13. USO ACEITÁVEL DOS DISPOSITIVO FIXOS E MÓVEIS

O colaborador entende que é o responsável por todo e qualquer dano que causar nos equipamentos, por dolo ou culpa, e está ciente e concorda em observar às seguintes regras:

• O colaborador é responsável pelos equipamentos e se compromete a empregar todos os cuidados necessários, como se o dispositivo fosse seu;
• Todos os computadores de uso individual deverão ter senha de BIOS (Basic Input/Output System), para restringir o acesso de colaboradores não autorizados ao equipamento. Tais senhas serão definidas pela equipe de Office IT, que terá acesso a elas para manutenção dos equipamentos;
• Os dispositivos devem estar sempre em seu alcance e não podem ser deixados em locais públicos, veículos ou em qualquer outro local fora das dependências da MovilePay em que possa haver acesso do equipamento por pessoas não autorizadas, a fim de evitar o furto e/ou roubo destes equipamentos, bem como o vazamento das informações Protegidas neles contidas;
• Os colaboradores devem informar Office IT qualquer identificação de dispositivo estranho conectado ao seu computador;
• É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico de Office IT da MovilePay ou por terceiros devidamente contratados para o serviço;
• O colaborador deverá manter a configuração do equipamento disponibilizado pela MovilePay, seguindo os devidos controles de segurança exigidos por esta Política e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações;
• Deverão ser protegidos por senha, conforme as regras previstas no item 11 - Identificação e Senhas, e todos os terminais de computador e impressoras deverão ser bloqueados quando não estiverem sendo utilizados;
• Todos os recursos tecnológicos adquiridos pela MovilePay devem ter imediatamente suas senhas padrões (default) alteradas;
• Quando o colaborador usar um dispositivo em um local público, deve utilizar película protetora em tal dispositivo, a fim de impedir a visualização de conteúdo por terceiros;
• Caso o uso de um dispositivo seja esporádico, o colaborador deverá devolvê-lo ao Office IT, em perfeitas condições de uso, juntamente com eventuais acessórios lhe tenham sido entregues, como bolsas, cases, películas, entre outros, tão logo termine o período necessário para o uso. Em caso de não devolução do equipamento, no prazo e local determinado, o colaborador será responsável por restituir os custos de tal equipamento à MovilePay, sem prejuízo de outras medidas legais e administrativas a serem tomadas pela MovilePay;

Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da MovilePay:

• Tentar ou obter acesso não autorizado a outro computador, servidor ou rede;
• Burlar quaisquer sistemas de segurança;
• Acessar informações confidenciais sem explícita autorização do proprietário;
• Vigiar secretamente terceiros por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
• Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
• Usar qualquer tipo de recurso tecnológico para cometer ou ser cúmplice de atos de violação, assédio sexual, perturbação, manipulação ou supressão de direitos autorais ou propriedades intelectuais sem a devida autorização legal do titular;
• Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública; e
• Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional.

É permitida a utilização, pelo colaborador, de dispositivos móveis particulares, limitados à smartphones e tablets, para acesso à informações vinculadas à MovilePay.

14. DATA CENTER E CLOUD

A Companhia utiliza diversos softwares próprios ou de terceiros no curso de suas operações e o colaborador não poderá:

• Utilizar tais software para fins pessoais ou de qualquer forma que comprometa a segurança da infraestrutura da MovilePay;
• Excluir, modificar, copiar, transferir, realizar engenharia reversa ou ceder o acesso de tais software a terceiros, ou praticar qualquer ato que esteja em desacordo com a legislação aplicável;
• Instalar na rede ou nos dispositivos da MovilePay qualquer software pirata, não licenciado ou não autorizado, sendo que qualquer software não autorizado que seja baixado pelo colaborador, será excluído pela equipe de Office IT;
• Utilizar softwares peer-to-peer (BitTorrent, por exemplo).

A MovilePay disponibiliza os recursos necessários e adequados de acordo com o escopo das tarefas de cada colaborador ou equipe, por exemplo, para o uso de serviços dos provedores de computação em nuvem (AWS/GCP/Azure), armazenamento de arquivos (Google Drive/G-Suite) ou controle de versão e hospedagem de softwares/sistemas/código-fonte (GitHub).

Assim, o colaborador deverá usar apenas esses serviços que foram estabelecidos e disponibilizados para cada caso. A solicitação para o uso de algum outro serviço deve ser analisada conforme a necessidade.

Ainda, a contratação de serviços de Data center e Cloud (outsourcing) deverá exigir certificações de segurança como exemplo SSAE 16, ISAE 3402, ISO 27001 e PCI DSS, de acordo com o tipo de serviço que será hospedado ou conforme novos padrões de certificações que surgirem no mercado.

Os relatórios das certificações devem ser apresentados anualmente, contendo os detalhes sobre o nível de implementação dos controles. Os relatórios das certificações SSAE 16 e ISAE 3402, por exemplo.

15. PRODUTOS E SERVIÇOS DE TI ADQUIRIDOS EXTERNAMENTE

Todos os produtos e serviços de TI são adquiridos respeitando o estabelecido no Guia de Relacionamento com Fornecedores. Ainda todos os softwares adquiridos são devidamente licenciados e controlados pelo time de Office IT Compartilhado.

16. CRIPTOGRAFIA

Uma das formas de garantir a confidencialidade, integridade e disponibilidade das informações é por meio das ferramentas de criptografia utilizados nos dispositivos móveis (notebook e celulares), conforme descrito no Guia de Criptografia.

17. DESLIGAMENTO DO COLABORADOR

Ao término do vínculo do colaborador com a MovilePay, o seu acesso à infraestrutura tecnológica da MovilePay será revogado imediatamente à abertura da solicitação em sistema de tickets. O colaborador deverá devolver todos e quaisquer dispositivos de propriedade da MovilePay que estejam em sua posse, em perfeitas condições de uso, juntamente com eventuais acessórios lhe tenham sido entregues e cartões de acesso às áreas da empresa e benefícios, tais como estacionamento.

Em caso de não devolução do equipamento, no prazo e local determinado, o colaborador será responsável por restituir os custos de tal equipamento à MovilePay. Em caso perda, furto ou roubo de equipamentos, as regras previstas no item 12 - Dispositivos - serão aplicadas.

Caso o colaborador possua acesso à conta de e-mail corporativa ou qualquer outro software instalado em um dispositivo pessoal, deverá apresentar esse dispositivo para o Office IT Compartilhado, que procederá a sua desinstalação das Informações Protegidas, assumidas pelo colaborador nessa PSI, permanecerão em vigor mesmo após o desligamento do colaborador.

18. TELA LIMPA

Os usuários e administradores de estações de trabalho ou outros recursos computacionais da MovilePay devem bloquear o acesso sempre que ausentar do equipamento, colocar no modo Suspender ou Sleep do Windows.

Esta ação evita que um terceiro consiga acesso não autorizado a informações e realize ações registradas em seu nome e sob sua responsabilidade.

Atualmente existe uma regra de bloqueio automático das estações de trabalho após 5 minutos de inatividade, porém é recomendado o bloqueio manual pelo colaborador ao sair da estação de trabalho.

Também deverá ser desativado as notificações da tela de bloqueio.

Os colaboradores, que identificarem falha na implementação do bloqueio automático da tela da estação de trabalho, deverão reportar o problema para o time de Office IT Compartilhado.

19. MESA LIMPA

A Política de Mesa Limpa deve ser observada por todos os colaboradores, que devem garantir que papéis, mídias removíveis que contenham informações não fiquem desprotegidas da supervisão de seu usuário em nenhum momento. Informações armazenadas em mídias removíveis ou em papel devem permanecer guardadas em gavetas, armários, pastas ou envelopes na ausência do seu usuário.

Objetos que não poderão estar na mesa, na ausência do colaborador:

• Materiais classificados como Confidencial;
• Dispositivos de mídia removível (CD, DVD, pendrive);
• O gaveteiro sob a mesa do colaborador não deverá conter informações confidenciais, a não ser que o mesmo esteja trancado

20. REPORTE DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Para evitar a exposição indevida das Informações Protegidas, a MovilePay emprega medidas de segurança, tanto internas quanto externas, as quais atendem as obrigações legais vigentes. Porém, essas medidas somente serão eficazes se o colaborador cumprir com as obrigações de segurança

assumidas nesta Política, uma vez que tais incidentes podem ocorrer em razão de falhas humanas, tecnológicas ou sistêmicas

Caso o colaborador tome conhecimento ou suspeite de qualquer acontecimento que viole as regras desta Política ou coloque em risco a segurança das informações da MovilePay, ele deverá imediatamente comunicar seu gestor.

21. SANÇÕES

As medidas disciplinares são necessárias para evitar práticas e desvios de conduta que estão em desacordo com as políticas e normas internas da MovilePay:

• A primeira irregularidade, será formalizada para o colaborador (a) com cópia para o seu gestor, através de um alerta de incidente de segurança realizado pelo time de Security, descrevendo o item não conforme e as próximas medidas em caso de reincidência.
• A segunda irregularidade, será formalizada para o colaborador (a) com cópia para o seu superior ou diretor, através de um alerta de incidente de segurança realizado pelo time de Security, descrevendo o item não conforme e as próximas medidas em caso de reincidência.
• A terceira irregularidade, será passível de sanções disciplinares (carta de advertência, suspensão e/ou desligamento do colaborador), portanto será formalizada para o colaborador e para o um comitê de ética.

Um ano após o recebimento das notificações e advertências emitidas, as mesmas serão desconsideradas para o colaborador (a) em questão.

Quando identificada a responsabilidade de um terceiro(a) em um incidente de segurança, o time de Security encaminhará uma mensagem ao gestor do contrato.

• A primeira irregularidade, será formalizada junto ao gestor do contrato, através de um alerta de incidente de segurança realizado pelo time de Security, descrevendo o item não conforme e as próximas medidas em caso de reincidência.
• A segunda irregularidade, será formalizada ao gestor do contrato com cópia para o seu superior ou diretor, através de um alerta de incidente de segurança realizado pela Security, descrevendo o item não conforme e as próximas medidas em caso de reincidência.
• A terceira irregularidade, o gestor do contrato deverá analisar com o Legal e Security a possibilidade de aplicação de multa e/ou rescisão do contrato.

22. DISPOSIÇÕES FINAIS

A presente Política é desvinculada e autônoma em relação ao contrato celebrado entre o colaborador e a MovilePay, e suas disposições deverão sobreviver após a alteração ou extinção da relação decorrente de tal contrato.

Essa Política poderá ser revista, atualizada e alterada anualmente ou a qualquer tempo, a exclusivo critério da MovilePay, sempre que algum fato relevante ou evento motive sua revisão antecipada.

23. HISTÓRICO