Política de Segurança Cibernética - Duspay

Esta Política de Segurança Cibernética estabelece as diretrizes e práticas adotadas pela Duspay para proteger nossos sistemas, dados e usuários contra ameaças cibernéticas. Ela aplica-se a todos os funcionários, contratados e usuários de nossos serviços.

1. Objetivo

A Duspay está comprometida em proteger a confidencialidade, integridade e disponibilidade de suas informações e sistemas contra ameaças cibernéticas. Esta política tem como objetivo:

• Estabelecer padrões para a segurança de sistemas e informações
• Proteger contra acesso não autorizado ou uso indevido de dados
• Minimizar riscos de violações de segurança
• Garantir conformidade com regulamentações aplicáveis
• Promover uma cultura de segurança cibernética em toda a organização

2. Princípios de Segurança

Nossa abordagem de segurança cibernética baseia-se nos seguintes princípios fundamentais:

2.1 Defesa em Profundidade

Implementamos múltiplas camadas de controles de segurança para proteger nossos sistemas e dados.

2.2 Princípio do Menor Privilégio

Usuários e sistemas têm apenas os privilégios mínimos necessários para realizar suas funções.

2.3 Segurança por Design

Consideramos aspectos de segurança desde a concepção de todos os sistemas e processos.

2.4 Resposta a Incidentes

Mantemos um plano de resposta a incidentes para detectar, responder e recuperar de violações de segurança.

3. Controles de Segurança

3.1 Proteção de Dados

• Todos os dados sensíveis são criptografados em trânsito e em repouso
• Implementamos controles de acesso baseados em função (RBAC)
• Dados são classificados conforme sua sensibilidade e criticidade
• Backups regulares são realizados e testados periodicamente

3.2 Segurança de Sistemas

• Todos os sistemas possuem patches de segurança atualizados
• Antivírus e antimalware estão instalados em todos os endpoints
• Firewalls e sistemas de detecção/prevenção de intrusão estão implementados
• Monitoramento contínuo de sistemas e redes é realizado

3.3 Segurança de Aplicações

• Realizamos testes de segurança regulares em nossas aplicações
• Implementamos práticas seguras de desenvolvimento (OWASP Top 10)
• Validamos todas as entradas de usuário para prevenir injeção
• Gerenciamos adequadamente sessões e autenticação

3.4 Segurança Física

• Data centers possuem controles de acesso físico rigorosos
• Equipamentos são protegidos contra acesso não autorizado
• Políticas de mesa limpa e tela limpa são implementadas

4. Responsabilidades

4.1 Equipe de TI

• Implementar e manter controles de segurança
• Monitorar sistemas para atividades suspeitas
• Responder a incidentes de segurança
• Conduzir treinamentos de segurança

4.2 Funcionários

• Seguir todas as políticas de segurança
• Proteger credenciais de acesso
• Reportar atividades suspeitas
• Participar de treinamentos de segurança

4.3 Usuários

• Manter senhas seguras e únicas
• Não compartilhar credenciais de acesso
• Reportar atividades suspeitas em suas contas

5. Gerenciamento de Incidentes

Possuímos um Plano de Resposta a Incidentes que inclui:

• Processos para identificação e classificação de incidentes
• Procedimentos de contenção e erradicação
• Processo de recuperação de sistemas
• Análise pós-incidente e lições aprendidas
• Notificação a autoridades e clientes quando aplicável

6. Conformidade e Auditoria

• Realizamos auditorias regulares de segurança
• Conduzimos avaliações de risco periódicas
• Mantemos conformidade com regulamentações aplicáveis (LGPD, PCI DSS, etc.)
• Documentamos e revisamos políticas anualmente

7. Treinamento e Conscientização

Todos os funcionários recebem treinamento regular em segurança cibernética, incluindo:

• Identificação de phishing e engenharia social
• Práticas seguras de manuseio de dados
• Procedimentos para reportar incidentes
• Boas práticas de segurança em dispositivos móveis

8. Disposições Finais

Esta política será revisada anualmente ou conforme necessário para refletir mudanças em nossas operações ou no cenário de ameaças. Violações desta política podem resultar em ações disciplinares, incluindo possível rescisão de contrato ou medidas legais.

Para reportar vulnerabilidades de segurança ou incidentes, entre em contato com nosso time de segurança em: security@duspay.com.br