Política de Segurança Cibernética
Max Instituição de Pagamento Ltda.
Introdução
A Max Instituição de Pagamento autorizada a funcionar pelo Banco Central do Brasil (BCB), adota um conjunto de diretrizes e práticas voltadas à proteção dos seus ambientes digitais, garantindo a prevenção, detecção e mitigação dos riscos cibernéticos. A política está alinhada aos requisitos legais e regulatórios, incluindo a Resolução 85/2021, e reflete o compromisso da Max com a segurança da informação, continuidade dos negócios e a conformidade regulatória.
Objetivo
Nosso objetivo é prevenir, detectar e reduzir a vulnerabilidade a incidentes cibernéticos, assegurando a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas que utilizamos. Para isso, adotamos medidas de segurança compatíveis com nosso porte, perfil de risco e modelo de negócio, protegendo as informações de clientes e usuários finais.
Princípios fundamentais
- Proporcionalidade ao porte, perfil de risco e modelo de negócio.
- Segurança desde a concepção dos sistemas e processos.
- Defesa em profundidade, com camadas de controle complementares.
- Privilégio mínimo no acesso a recursos e informações.
- Rastreabilidade e prestação de contas.
- Melhoria contínua, com comprometimento da alta administração.
Diretrizes e controles adotados
Mantemos um conjunto integrado de controles de segurança. Entre as medidas adotadas estão a autenticação reforçada, com uso de múltiplos fatores (MFA) para acessos sensíveis, e a criptografia de dados em trânsito e em repouso. Empregamos mecanismos de prevenção e detecção de intrusões e de vazamento de informações, além de proteção contra softwares maliciosos. Mantemos cópias de segurança (backup) com testes periódicos de restauração e realizamos avaliação contínua de vulnerabilidades, incluindo testes de intrusão.
Aplicamos, ainda, controles de acesso rigorosos, com revisão periódica de permissões, e medidas de proteção e segmentação de rede com monitoramento de conexões. Mantemos a gestão segura de certificados digitais e de integrações via APIs e desenvolvemos ações de monitoramento e inteligência sobre ameaças no ambiente cibernético.
Proteção de dados pessoais. O tratamento de dados pessoais observa a Lei Geral de Proteção de Dados (LGPD). Os mecanismos de segurança são integrados à classificação das informações conforme sua relevância e sensibilidade.
Como participante direto do Pix e usuária da infraestrutura do Sistema Financeiro Nacional, aplicamos ainda requisitos adicionais de segurança a esses ambientes, incluindo isolamento dedicado e validação da integridade das transações.
Governança e Responsabilidades
A segurança cibernética conta com o comprometimento da alta administração: a Diretoria aprova a Política e designa um diretor responsável pela matéria perante o Banco Central do Brasil. As áreas de compliance, riscos e segurança da informação zelam pela aderência regulatória e operam os controles, enquanto colaboradores e prestadores de serviços têm o dever de usar os recursos com segurança e reportar incidentes. A efetividade das práticas é avaliada de forma contínua, com apoio de auditoria interna.
Cultura de segurança e responsabilidade de terceiros
Promovemos a capacitação contínua de nossos colaboradores em segurança cibernética. Os prestadores de serviços que tratam dados ou informações relevantes estão sujeitos a requisitos de segurança compatíveis com os nossos, formalizados em contrato. A contratação de serviços de processamento, armazenamento de dados e computação em nuvem segue critérios de governança e segurança previstos na regulamentação.