Compliance e Segurança da Informação

O Manual de Política de Segurança da Informação e Compliance da RupPay tem por objetivo aplicar e manter um Sistema de Gestão da Segurança da Informação, garantindo a integridade, a confidencialidade e a disponibilidade dos ativos relacionados ao negócio, em conformidade com os requisitos legais e regulatórios, buscando a melhoria contínua.

Este manual visa demonstrar os requerimentos para a conformidade com o negócio, exigências legais e/ou regulamentares, obrigações de segurança contratuais, políticas e padrões de segurança da RupPay.

A RupPay opera em conformidade com as seguintes legislações e normas:

• Lei nº 13.709/2018 (LGPD): Lei Geral de Proteção de Dados Pessoais
• Lei nº 9.613/1998: Prevenção e combate à lavagem de dinheiro
• Resolução BCB nº 4.658/2018: Política de Segurança Cibernética
• Resolução BCB nº 4.557/2017: Gestão de Riscos e Compliance
• Circular BCB nº 3.461/2009: Prevenção à lavagem de dinheiro
• ISO/IEC 27001:2013: Sistema de Gestão de Segurança da Informação
• ISO/IEC 27002:2013: Código de prática para controles de segurança
• ISO/IEC 27701:2019: Sistema de gestão de informações de privacidade

3.1. Política de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo

A RupPay adota rigorosas políticas de PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo), incluindo:

3.2. Conhecimento do Cliente (KYC - Know Your Customer):

• Verificação de identidade de todos os clientes antes da abertura de conta
• Coleta de documentação comprobatória (documentos pessoais, comprovante de residência)
• Verificação biométrica (selfie + documento)
• Análise de listas restritivas (OFAC, ONU, listas nacionais)
• Due diligence aprimorada para clientes de alto risco

3.3. Monitoramento de Transações:

• Monitoramento contínuo e automatizado de todas as transações
• Detecção de padrões suspeitos e operações atípicas
• Análise de compatibilidade entre transação e perfil do cliente
• Sistema de alertas para operações que demandam análise aprofundada

3.4. Comunicação ao COAF:

• Comunicação obrigatória de operações suspeitas ao Conselho de Controle de Atividades Financeiras (COAF)
• Manutenção de registros de transações por período mínimo de 5 anos
• Cooperação integral com autoridades competentes

3.5. Operações Vedadas:

A RupPay não processa transações envolvendo:

• Pessoas ou entidades constantes em listas de sanções internacionais
• Atividades ilegais ou produtos proibidos
• Países sob embargo ou sanções
• Operações sem origem comprovada de recursos

4.1. Controles de Segurança Física

A RupPay estabelece controles de segurança física para instalações e recursos de informação:

• Datacenters com certificação Tier III ou superior
• Controle de acesso biométrico às instalações críticas
• Sistemas de videomonitoramento 24/7
• Políticas de mesa limpa (clear desk) e tela limpa (clear screen)
• Descarte seguro de mídias e documentos confidenciais

4.2. Controles de Segurança Lógica

• Autenticação e Autorização: Autenticação multifator (MFA) obrigatória; Controle de acesso baseado em função (RBAC); Princípio do menor privilégio
• Criptografia: TLS 1.3 para dados em trânsito; AES-256 para dados em repouso; Chaves criptográficas gerenciadas por HSM (Hardware Security Module)
• Proteção de Rede: Firewalls de última geração (NGFW); Sistemas de detecção e prevenção de intrusão (IDS/IPS); Segmentação de rede por zonas de segurança; VPN para acesso remoto
• Proteção contra Malware: Antivírus e anti-malware em todas as estações; EDR (Endpoint Detection and Response); Análise comportamental de ameaças

4.3. Gestão de Vulnerabilidades

• Testes de penetração (pentest) semestrais por empresa independente
• Programa de Bug Bounty para pesquisadores de segurança
• Varreduras automatizadas de vulnerabilidades
• Patch management com SLA de correção crítica em 24h

5.1. Plano de Resposta a Incidentes

A RupPay mantém um Plano de Resposta a Incidentes de Segurança estruturado em fases:

• Detecção: Monitoramento 24/7 por SOC (Security Operations Center)
• Análise: Classificação e priorização do incidente
• Contenção: Isolamento para prevenir propagação
• Erradicação: Remoção da causa raiz
• Recuperação: Restauração de serviços afetados
• Lições Aprendidas: Análise pós-incidente e melhorias

5.2. Comunicação de Incidentes

• Notificação ao Banco Central em até 1 hora para incidentes relevantes
• Comunicação à ANPD em até 72 horas para vazamento de dados pessoais
• Transparência com clientes afetados conforme LGPD

5.3. Registro de Eventos

• Logs de todas as operações críticas e acessos a sistemas
• Armazenamento imutável de logs por período mínimo de 1 ano
• Análise de logs por SIEM (Security Information and Event Management)

6.1. Plano de Continuidade de Negócios (PCN)

• Análise de Impacto nos Negócios (BIA) anual
• Identificação de processos críticos e RTO/RPO definidos
• Plano de Recuperação de Desastres (DRP) testado semestralmente
• Site de recuperação em localização geograficamente distinta

6.2. Alta Disponibilidade

• Arquitetura redundante em múltiplas zonas de disponibilidade
• SLA de disponibilidade de 99,9% para serviços críticos
• Backups automatizados a cada 6 horas
• Testes de restauração trimestrais

7.1. Comitê de Segurança da Informação

Integrado por executivos das áreas de Tecnologia, Compliance, Jurídico e Operações, com as seguintes atribuições:

• Definição de estratégias para redução de riscos de segurança
• Aprovação de políticas e procedimentos de segurança
• Monitoramento de indicadores de segurança (KPIs/KRIs)
• Análise de incidentes relevantes
• Revisão anual da Política de Segurança da Informação

7.2. Treinamento e Conscientização

• Treinamento obrigatório de segurança para todos os colaboradores no onboarding
• Campanhas de conscientização periódicas (phishing simulado, engenharia social)
• Certificações profissionais incentivadas (CISSP, CISM, CEH)
• Políticas de uso aceitável de recursos tecnológicos

7.3. Responsabilidades dos Colaboradores

• Acessar somente informações necessárias para suas atividades (need-to-know)
• Manter confidencialidade de credenciais de acesso
• Reportar imediatamente incidentes de segurança suspeitos
• Não utilizar recursos da empresa para fins pessoais ou ilegais
• Cumprir políticas de classificação e tratamento de informações

8.1. Todos os prestadores de serviços que têm acesso a informações sensíveis da RupPay ou de seus clientes são submetidos a:

• Due diligence de segurança pré-contratação
• Cláusulas contratuais de confidencialidade e segurança
• Avaliações periódicas de conformidade
• Auditorias de segurança quando aplicável

8.2. Fornecedores críticos devem possuir certificações reconhecidas (ISO 27001, SOC 2, PCI-DSS quando aplicável).

9.1. A RupPay implementa programa robusto de governança de privacidade:

• Encarregado de Proteção de Dados (DPO) designado
• Privacy by Design em todos os novos projetos
• Relatório de Impacto à Proteção de Dados (RIPD) para tratamentos de alto risco
• Minimização de dados coletados (princípio da necessidade)
• Anonimização/pseudonimização quando possível

Para mais detalhes, consulte nossa Política de Privacidade.

10.1. Auditorias Internas:

• Auditorias de compliance trimestrais
• Revisões de controles de segurança mensais
• Verificação de conformidade com políticas internas

10.2. Auditorias Externas:

• Auditoria anual de demonstrações financeiras
• Auditoria de segurança da informação por empresa independente
• Avaliações de conformidade regulatória pelo Banco Central

10.3. Certificações Vigentes:

• ISO/IEC 27001:2013 (Segurança da Informação) - Em processo de certificação
• Conformidade com LGPD (Lei Geral de Proteção de Dados)
• Certificação PCI-DSS (para operações com cartões, quando aplicável)

11.1. Todos os colaboradores da RupPay devem aderir ao Código de Conduta e Ética que estabelece:

• Integridade e honestidade em todas as interações
• Respeito à diversidade e proibição de discriminação
• Vedação a conflitos de interesse
• Proibição de uso de informações privilegiadas (insider trading)
• Compromisso com sustentabilidade e responsabilidade social

11.2. Canal de Denúncias:

• E-mail: etica@ruppay.com
• Telefone: 0800-XXX-XXXX (ligação gratuita e confidencial)
• Garantia de anonimato e proteção contra retaliação

12.1. As diretrizes contidas neste manual são submetidas a:

• Revisão anual obrigatória pelo Comitê de Segurança
• Atualizações ad-hoc em resposta a mudanças regulatórias
• Análise de eficácia baseada em métricas e indicadores
• Ciclo PDCA (Plan-Do-Check-Act) de melhoria contínua

Para questões relacionadas a Compliance e Segurança da Informação:

• E-mail:compliance@ruppay.com.br
• Suporte:support@ruppay.com.br
• Telefone: +55 (11) 5192-0700