Política de Segurança da Informação
A ImpulsePay aplica controles rigorosos de segurança da informação para garantir a confidencialidade, integridade e disponibilidade dos dados de clientes e parceiros.
Última atualização:
1Objetivo e Escopo
Esta Política estabelece os princípios e diretrizes de segurança da informação adotados pela ImpulsePay, com base nas normas ISO/IEC 27001, nas diretrizes do BACEN (Resolução nº 4.893/2021) e nas melhores práticas do setor de pagamentos. Aplica-se a todos os sistemas, dados, infraestrutura e colaboradores da ImpulsePay.
2Princípios de Segurança
A segurança da informação na ImpulsePay é orientada pelos princípios de: Confidencialidade — acesso apenas a quem tem autorização; Integridade — dados precisos e confiáveis; Disponibilidade — sistemas acessíveis quando necessário; Autenticidade — garantia da identidade dos usuários; e Irretratabilidade — registro auditável de ações críticas.
3Controles de Acesso
Implementamos controles de acesso baseados no princípio do menor privilégio (RBAC — Role-Based Access Control). Todo acesso a sistemas críticos requer autenticação multifator (MFA). Senhas são armazenadas com hash bcrypt e jamais em texto claro. Acessos privilegiados são auditados e revisados trimestralmente. Contas inativas por mais de 90 dias são automaticamente desativadas.
4Criptografia
Todos os dados em trânsito são protegidos por TLS 1.3. Dados sensíveis em repouso são criptografados com AES-256. Chaves criptográficas são armazenadas em Hardware Security Modules (HSM) certificados. API Keys e webhooks utilizam assinaturas HMAC-SHA256 para verificação de integridade das requisições.
5Segurança de Infraestrutura
Nossa infraestrutura é hospedada em provedores com certificação SOC 2 Tipo II e ISO 27001. Aplicamos segmentação de rede, firewalls de próxima geração (NGFW), Web Application Firewall (WAF) e proteção contra DDoS em camada 7. Realizamos varreduras de vulnerabilidades semanais e testes de penetração semestrais por empresas especializadas.
6Gestão de Incidentes
Mantemos um plano de resposta a incidentes de segurança (PRIS) com procedimentos claros para: identificação e classificação do incidente; contenção imediata; erradicação da causa raiz; recuperação dos sistemas; e comunicação às partes afetadas. Incidentes com potencial impacto a titulares de dados são notificados à ANPD em até 72 horas, conforme exigência da LGPD.
7Segurança no Desenvolvimento
Adotamos práticas de DevSecOps com: análise estática de código (SAST) em toda pull request; análise de dependências com verificação de CVEs conhecidos; revisão de código obrigatória por pares; pipeline de CI/CD com gates de segurança; e ambiente de sandbox isolado para testes antes de produção.
8Continuidade de Negócios
Mantemos um Plano de Continuidade de Negócios (PCN) com RTO (Recovery Time Objective) de 4 horas e RPO (Recovery Point Objective) de 1 hora para sistemas críticos. Realizamos backups incrementais a cada hora e completos diariamente, com retenção de 30 dias. Testes de restauração são realizados trimestralmente.
9Treinamento e Conscientização
Todos os colaboradores recebem treinamento obrigatório de segurança da informação no onboarding e anualmente. Realizamos simulações de phishing periódicas e campanhas de conscientização sobre engenharia social. O não cumprimento das diretrizes de segurança está sujeito a medidas disciplinares.
10Auditoria e Conformidade
Mantemos registros de logs de auditoria por no mínimo 5 anos para rastreabilidade de ações em sistemas críticos. Realizamos auditorias internas semestrais e estamos sujeitos a auditorias externas por órgãos reguladores. Os resultados são reportados à Diretoria Executiva e ao Comitê de Compliance.
Dúvidas sobre esta política? Entre em contato com nosso time de conformidade.