PayOTC
Segurança

Política de Segurança da Informação

Última atualização: 27 de abril de 2026

Esta Política descreve, em caráter público, os princípios e controles de segurança da informação adotados pela PayOTC Tecnologia Ltda.(“PayOTC”) para proteger informações de clientes, contrapartes, colaboradores e da própria PayOTC. As versões internas e os procedimentos operacionais detalhados são preservados em caráter confidencial, em razão do próprio interesse de segurança.

1. Princípios

  • Confidencialidade: acesso a informações restrito a pessoas autorizadas, conforme princípio do menor privilégio;
  • Integridade: proteção contra alteração ou destruição não autorizadas, com trilhas de auditoria;
  • Disponibilidade: garantia de acesso pelos usuários autorizados, dentro dos prazos e condições aplicáveis;
  • Defesa em profundidade: múltiplas camadas de controle, considerando que nenhuma camada isolada é suficiente;
  • Privacidade desde a concepção: aplicação dos princípios de privacy-by-design e privacy-by-default em produtos, serviços e processos.

2. Governança

A PayOTC mantém estrutura de segurança da informação com responsável formalmente designado, com autonomia para conduzir análises de risco, recomendar controles e reportar incidentes diretamente à alta administração. Todas as decisões relevantes são documentadas para auditoria e atendimento a demandas regulatórias.

3. Controle de acesso

  • Atribuição de acessos pelo princípio do menor privilégio e revisão periódica;
  • Autenticação multifator (MFA) obrigatória em sistemas críticos e em qualquer acesso administrativo;
  • Senhas robustas com requisitos mínimos de complexidade (combinação de letras maiúsculas, minúsculas, números e caracteres especiais), rotação periódica e armazenamento seguro em cofres corporativos;
  • Bloqueio automático após tentativas consecutivas de acesso incorreto;
  • Revogação imediata de acessos no encerramento de vínculos profissionais ou em alterações de função.

4. Proteção de endpoints e infraestrutura

  • Hardening de servidores e estações com configurações conforme benchmarks reconhecidos (CIS, NIST);
  • Antivírus e EDR (Endpoint Detection and Response) atualizados em dispositivos corporativos;
  • Atualização tempestiva de sistemas operacionais, aplicativos, bibliotecas e firmware, com gestão formal de patches;
  • Segmentação de rede e controles de firewall em camadas;
  • Hospedagem em provedores de nuvem reconhecidos (Google Cloud Platform / Firebase), com regiões e zonas redundantes.

5. Criptografia e proteção de dados

  • Criptografia em trânsito por TLS 1.2 ou superior em todas as comunicações externas;
  • Criptografia em repouso para dados sensíveis em bancos de dados, backups e armazenamento em nuvem;
  • Gestão segura de chaves criptográficas com rotação e segregação de ambientes;
  • Mascaramento e tokenização de dados quando aplicáveis, em especial em ambientes de teste e desenvolvimento;
  • Política de cabeçalhos de segurança no site (HSTS, CSP, X-Content-Type-Options, Referrer-Policy, Permissions-Policy).

6. Monitoramento e detecção

  • Coleta centralizada de logs de aplicações, serviços e infraestrutura, com retenção compatível com a legislação aplicável;
  • Monitoramento contínuo de eventos de segurança, com alertas automatizados para padrões suspeitos;
  • Trilhas de auditoria preservadas para investigação forense e atendimento a determinações de autoridades.

7. Gestão de vulnerabilidades

  • Varreduras de vulnerabilidade periódicas em aplicações, infraestrutura e dependências;
  • Testes de intrusão (pentests) realizados por terceiros independentes, com periodicidade mínima anual ou após alterações relevantes;
  • Programa contínuo de revisão de código e de bibliotecas de terceiros, com triagem de CVEs;
  • Plano de remediação proporcional à criticidade da vulnerabilidade.

8. Gestão de incidentes

  • Procedimento formal de resposta a incidentes, com papéis, comunicação interna e externa, contenção, erradicação, recuperação e lições aprendidas;
  • Comunicação tempestiva à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em caso de incidente envolvendo dados pessoais com risco ou dano relevante, conforme art. 48 da LGPD;
  • Comunicação às autoridades competentes (Banco Central, CVM, autoridades policiais e judiciais) quando requerido pela legislação aplicável;
  • Cooperação com clientes corporativos diante de incidentes que os afetem.

9. Backup e continuidade

Os procedimentos de backup, retenção, recuperação e continuidade operacional estão descritos no Plano de Continuidade de Negócios e envolvem snapshots automatizados, retenção segregada, testes periódicos de restauração e RTO/RPO definidos por sistema crítico.

10. Fornecedores e parceiros

  • Avaliação de risco e due diligence de segurança em fornecedores críticos antes da contratação;
  • Cláusulas contratuais de segurança da informação, proteção de dados, sigilo, auditoria e direito de descontinuidade;
  • Reavaliação periódica e monitoramento de incidentes que afetem fornecedores.

11. Conscientização e treinamento

Todos os colaboradores recebem treinamento inicial ao ingressar e reciclagens anuais sobre segurança da informação, engenharia social, phishing, proteção de dados e PLD/FT. Conteúdos são adaptados por função, com ênfase reforçada para áreas sensíveis.

12. Auditoria e melhoria contínua

A PayOTC submete-se a auditorias internas e independentes de segurança da informação, conformidade regulatória e proteção de dados, em periodicidade compatível com seus riscos. Os apontamentos são tratados em planos de ação com acompanhamento formal.

13. Atualização desta Política

Esta Política é revisada anualmente, ou em prazo menor diante de mudanças regulatórias, novos riscos ou recomendações de auditoria.

14. Contato

Comunicações relativas a segurança da informação podem ser encaminhadas para contato@payotc.com.br. Em caso de identificação de vulnerabilidade, solicitamos comunicação responsável (responsible disclosure) por este canal, com descrição técnica suficiente para reprodução e validação.