Home / Centro de Políticas / Política de Segurança da InformaçãoHome / Policy Center / Information Security Policy

Voltar ao Centro de PolíticasBack to Policy Center

Política de Segurança da InformaçãoInformation Security Policy

Versão 1.0 — Abril de 2026Version 1.0 — April 2026

1. Introdução

1.1 Objetivos e metas

A LaFinteca Instituição de Pagamento LTDA ("LaFinteca" ou "a Empresa") é uma empresa de tecnologia financeira especializada em fornecer soluções de pagamento seguras e eficientes em toda a América Latina. A empresa oferece uma plataforma que suporta diversos métodos de pagamento, incluindo transferências bancárias tradicionais, carteiras digitais e criptomoedas.

Todos os componentes do ambiente da LaFinteca podem ser afetados por ameaças e vulnerabilidades à continuidade dos negócios: dependência crescente de sistemas de informação, uso de redes externas, mudanças tecnológicas rápidas, fraudes cibernéticas, roubo de informações, espionagem industrial, sabotagem, ataques cibernéticos e manuseio descuidado de informações.

Esta política fornece à LaFinteca uma política de segurança da informação documentada e formalizada. Serve também como o principal manual de segurança da informação da organização, abrangendo toda a empresa, definindo as atividades da equipe de segurança e esclarecendo como a equipe aplica as regulamentações do setor e os padrões internacionais.

A segurança que pode ser alcançada por meios técnicos é limitada e deve ser complementada por gestão, processos de negócio e procedimentos adequados. A LaFinteca define segurança da informação como a preservação da confidencialidade, integridade e disponibilidade da informação e dos sistemas de informação:

  • Confidencialidade — garantir que a informação seja acessível apenas a pessoas com autoridade para lidar com ela.
  • Integridade — salvaguardar a exatidão, integridade e atualidade das informações e do método de processamento.
  • Disponibilidade — garantir que usuários autorizados tenham acesso às informações em tempo hábil. Essenciais para manter vantagem competitiva, fluxo de caixa, lucratividade, conformidade legal e imagem corporativa.

Os objetivos da LaFinteca são: disponibilidade dos sistemas, minimização de incidentes que exigem correções de código e resiliência operacional.

2. Governança

A responsabilidade pela gestão da Política é atribuída ao Gerente de Segurança da LaFinteca, e o documento é submetido ao Diretor Executivo para aprovação final. O Diretor Executivo é informado anualmente sobre assuntos relacionados à Política.

2.1 Manutenção, atualização e distribuição

A Política é publicada em formato que não possa ser facilmente alterado, em linguagem acessível ao público-alvo, e disponibilizada a todos os membros da LaFinteca para consulta. O Gerente de Segurança é responsável pela distribuição. Uma nova cópia será distribuída a cada nova versão, com número de versão maior e nova data de revisão. Durante revisões, são considerados: eficiência da política atual, impacto de mudanças tecnológicas, custo e impacto na eficiência do negócio, novas vulnerabilidades, mudanças na estrutura organizacional, novas iniciativas, incidentes de segurança e alterações em regulamentos e leis.

3. Política

Manter informações cruciais exclusivamente para a LaFinteca é, sobretudo, uma questão de conduta e comportamento, além de contramedidas técnicas. A visão estratégica integra cada vez mais todos os sistemas, e a necessidade de proteger os ativos de informação se torna mais exigente em um ambiente integrado e dinâmico.

A LaFinteca pretende criar uma estrutura flexível em que a segurança da informação se torne parte integrante dos processos diários e do comportamento. Engenharia de processos de negócio e treinamento de conscientização da equipe têm alta prioridade, junto com a aplicação dos padrões mínimos de segurança.

3.1 Organização da segurança da informação

A LaFinteca estabelece uma estrutura para a organização da segurança da informação, definindo funções e responsabilidades para gerenciar, discutir e aprovar itens relacionados. O Diretor Executivo é responsável pelos riscos de informação em toda a LaFinteca. Será estabelecido um quadro de gestão de riscos e uma organização de segurança da informação.

3.2 Gestão de riscos

A LaFinteca identifica, avalia e prioriza as ameaças aos riscos de segurança da informação. A aplicação de medidas de proteção baseia-se nos riscos associados aos ativos e processos de informação e na importância desses ativos para os processos e objetivos da empresa. Avaliações periódicas de risco são programadas para minimizar riscos considerados inaceitáveis (Tratamento de Risco).

3.3 Segurança de recursos humanos

Funções e responsabilidades de segurança de funcionários, contratados e terceiros são definidas e documentadas nas descrições de cargo, incluindo a Avaliação de Ativos de Informação e o Relatório de Incidentes. O princípio da segregação de funções é aplicado para evitar uso indevido ou abuso dos recursos.

Funcionários e contratados candidatos a cargos que exijam acesso privilegiado a sistemas críticos ou processamento de dados confidenciais são submetidos a verificações de antecedentes, incluindo pessoal temporário e terceirizado.

Todos recebem treinamento de conscientização sobre segurança, educação e atualizações regulares sobre políticas e procedimentos pertinentes às suas funções. Um processo disciplinar bem definido é aplicado em caso de descumprimento.

3.4 Gestão de ativos de informação

A LaFinteca mantém proteção adequada dos ativos de informação por meio de controles sobre o inventário de ativos, atribuição de propriedade, e classificação e rotulagem adequadas das informações.

3.5 Controle de acesso

Implementa-se controles de acesso lógico e físico onde são realizadas atividades de processamento de informações. Direitos de acesso são atribuídos pelo princípio da necessidade de saber e revistos periodicamente. A LaFinteca monitora e reporta atividades maliciosas na rede, analisa registros em busca de anomalias e garante testes de penetração anuais por especialistas terceirizados.

Senhas são armazenadas com criptografia unidirecional, em formato não legível por humanos. Requisitos mínimos para contas padrão:

  • Comprimento mínimo de 8 símbolos
  • Idade máxima de 90 dias
  • Histórico de 10 senhas antigas
  • Três de quatro critérios (maiúsculas, minúsculas, número, caractere especial)
  • Bloqueio de conta após 5 repetições durante 15 minutos
  • Alteração após o login inicial
  • Bloqueio de tela após 15 minutos de inatividade

Mensagens de erro não devem revelar se o nome de usuário ou senha está incorreto. Dicas de senha ou opções de recuperação que possam causar acesso não autorizado não são permitidas. Senhas nunca são exibidas de forma legível e são criptografadas durante a transmissão.

3.6 Controle de acesso remoto

Mecanismos de autenticação robustos são implementados para todas as conexões remotas:

  • Restrito apenas a usuários individuais autorizados.
  • Transmissões protegidas com criptografia suficiente, via VPN.
  • Autenticação multifatorial obrigatória.
  • Bloqueio automático após 5 tentativas incorretas, por 15 minutos.
  • Senhas padrão ou fornecidas são alteradas no primeiro acesso.
  • Conexões remotas são registradas e os registros revisados periodicamente.
  • Equipamentos da empresa protegidos contra roubo com criptografia de disco ou senhas de inicialização.

3.7 Criptografia

A LaFinteca adota controles criptográficos para proteger confidencialidade, autenticidade e/ou integridade das informações: criptografia para informações sensíveis em armazenamento e transmissão; assinatura digital ou MACs para verificar autenticidade ou integridade; técnicas para não repúdio; e autenticação criptográfica de usuários e entidades do sistema.

3.8 Segurança física e ambiental

Para evitar acesso físico não autorizado, danos e interferências, a LaFinteca adota controles adequados ao nível de classificação dos dados localizados e processados na empresa. A proteção dos ativos reduz o risco de acesso não autorizado e protege contra perdas ou danos.

3.9 Segurança operacional

São criados procedimentos para utilização adequada e segura dos sistemas de processamento de informação, com planejamento de capacidade apropriado. Alterações na organização, processos, instalações e sistemas são controladas. Um Sistema de Monitoramento de Segurança detecta atividades não autorizadas. Existem controles de detecção, prevenção e recuperação contra códigos maliciosos. Cópias de segurança são feitas e testadas regularmente. A gestão de vulnerabilidades inclui análises trimestrais e testes de penetração anuais.

3.10 Segurança das comunicações

Redes informáticas são protegidas e informações copiadas para aumentar a disponibilidade. Mecanismos de segurança, níveis de serviço e requisitos de gestão de todos os serviços de rede — internos ou terceirizados — são incluídos nos contratos.

3.11 Aquisição, desenvolvimento e manutenção de sistemas

Requisitos de segurança são definidos na fase de análise para o desenvolvimento ou aquisição de software, com critérios de aceitação para sistemas e aplicações. Os ambientes de teste, desenvolvimento e produção são rigorosamente controlados. Informações em comércio eletrônico são protegidas contra atividades fraudulentas, disputas e acesso ou modificação não autorizados.

3.12 Relação com terceiros

A LaFinteca acorda com terceiros (especialmente empresas de TIC) requisitos de segurança da informação documentados para mitigar riscos de acesso aos ativos. Todos os requisitos são acordados com cada terceiro que possa acessar, processar, armazenar, comunicar ou fornecer infraestrutura de TI. A prestação de serviços é monitorada, revisada e auditada regularmente.

3.13 Gestão de incidentes

A LaFinteca mantém estrutura para gestão de incidentes de segurança com resposta eficaz, fornecendo meios para que todos os funcionários e contratados reportem incidentes e vulnerabilidades. Incidentes reportados são registrados, tratados e lições aprendidas são analisadas.

3.14 Continuidade de negócios

A LaFinteca cria e gerencia a estrutura que assegura a continuidade dos processos de negócio. O plano proporciona proteção adequada e recuperação oportuna contra interrupções de serviços críticos, é testado periodicamente e atualizado conforme as mudanças.

3.15 Conformidade

A LaFinteca realiza due diligence e considera todos os requisitos legislativos, regulatórios e contratuais aplicáveis. Funcionários agem de acordo com leis, regulamentos, direitos de propriedade intelectual, contratos de licença e políticas internas, sendo responsáveis por proteger as informações da empresa e processá-las conforme níveis de confidencialidade.

4. Aplicação de políticas

É responsabilidade de todos os funcionários e contratados cumprir as políticas de segurança da informação. Atos resultantes de negligência grave são classificados como incidentes de segurança graves quando resultam em:

  • Uso de informações e ativos corporativos para fins ilegais;
  • Acesso ou modificação não autorizados de informações;
  • Prejuízo à reputação da LaFinteca;
  • Danos a pessoas ou risco aos proprietários, funcionários, parceiros, clientes e ativos;
  • Exposição consciente a perda real ou potencial.

O descumprimento ou a violação intencional pode resultar em medidas disciplinares — incluindo rescisão contratual —, medidas previstas no direito do trabalho e/ou civil, e recuperação de danos. Toda violação deve ser comunicada imediatamente ao Gerente de Segurança.

5. Desvio da política

O desvio é permitido apenas em circunstâncias excepcionais: requisitos legais e regulamentares locais, limitações por localização geográfica, disponibilidade do produto ou outras condições específicas. Em todos os casos, o Gerente de Segurança deve ser comunicado.

6. Revisão de políticas

Esta política deve ser revista anualmente ou em caso de alterações significativas, para abordar novas ameaças, tecnologias e requisitos regulamentares.

Em caso de dúvidas, entre em contato pelo e-mail compliance@la-finteca.com.

The Portuguese version is the source-of-truth document. An official English translation is being prepared. For questions, contact compliance@la-finteca.com.