Dúvidas?

Política de Segurança da Informação
Flycred Suporte e Fomento Mercantil LTDA

Proteção robusta de dados e sistemas, em conformidade com PCI DSS, LGPD e padrões internacionais

1. Objetivo

Estabelecer diretrizes, controles e responsabilidades para garantir a confidencialidade, integridade e disponibilidade das informações e ativos de tecnologia da informação da empresa, protegendo contra ameaças, vazamentos, fraudes e incidentes.

2. Abrangência

Essa política aplica-se a todos os colaboradores, diretores, terceiros, prestadores de serviços e parceiros que tenham acesso aos sistemas, dados ou infraestrutura tecnológica da empresa.

3. Fundamentos legais e normas aplicáveis

  • LGPD (Lei Geral de Proteção de Dados) — proteção de dados pessoais no Brasil. 

  • PCI DSS — padrão de segurança para quem processa, transmite ou armazena dados de cartões de pagamento. 

  • Princípios de Segurança da Informação: confidencialidade, integridade e disponibilidade 

  • Boas práticas nacionais e internacionais de segurança e compliance

4. Princípios e diretrizes de segurança

  1. Confidencialidade: informações só acessíveis por pessoas autorizadas

  2. Integridade: dados e sistemas protegidos contra alterações não autorizadas

  3. Disponibilidade: sistemas e serviços disponíveis de forma adequada aos usuários autorizados

  4. Responsabilidade: cada colaborador responde por seguir as normas e reportar incidentes

  5. Princípio do menor privilégio: acesso estritamente necessário

  6. Transparência e documentação: todos os controles, procedimentos e mudanças devem ser documentados

  7. Melhoria contínua: revisão e aperfeiçoamento constante dos controles

5. Escopo de controle e ativos

Inclui, entre outros:

  • Sistemas de processamento de pagamentos e transações

  • Bancos de dados com dados sensíveis (clientes, cartões, credenciais)

  • Infraestrutura de rede (firewalls, roteadores, switches)

  • Softwares internos, APIs e integrações

  • Equipamentos (servidores, desktops, dispositivos móveis)

  • Backups e ambientes de redundância

  • Sistemas de autenticação e controle de acesso

6. Controles de acesso e autenticação

  • Acesso baseado em função / perfil (RBAC)

  • Autenticação forte (MFA / 2FA) para acesso a sistemas críticos

  • Senhas com complexidade mínima e troca periódica

  • Log de auditoria e monitoramento de acessos

  • Revogação imediata de acessos em caso de desligamento ou mudança de função

7. Criptografia e proteção de dados

  • Criptografia em trânsito (TLS / SSL) para comunicação entre sistemas

  • Criptografia em repouso para dados sensíveis

  • Uso de chaves seguras, políticas de rotação de chaves

  • Tokenização ou mascaramento de dados sempre que possível

  • Proteção de dados de cartão conforme PCI DSS — não armazenar dados de verificação, PIN etc. 

8. Gestão de vulnerabilidades, testes e auditoria

  • Aplicação de patches de segurança regularmente

  • Testes de segurança, pentests periódicos

  • Escaneamento de vulnerabilidades e correções conforme criticidade

  • Auditorias internas e externas

  • Registro e acompanhamento de vulnerabilidades e controles

9. Monitoramento, detecção e resposta a incidentes

  • Sistemas de monitoramento (SIEM, IDS, IPS)

  • Alertas automáticos de comportamentos anômalos

  • Processo documentado de resposta a incidentes (identificação, contenção, erradicação, recuperação, lições aprendidas)

  • Notificação de incidentes relevantes às autoridades competentes e titulares afetados, conforme LGPD

10. Governança e responsabilidades

  • Diretoria / alta administração: aprovar, patrocinar e revisar a política

  • Equipe de Segurança / TI / Compliance: implementar controles, monitorar e conduzir auditorias

  • Gestores de área: garantir que suas equipes cumpram as normas

  • Usuários e colaboradores: seguir procedimentos, participar de treinamentos e reportar incidentes

11. Treinamentos e conscientização

  • Treinamentos obrigatórios para todos os colaboradores, fornecedores e prestadores

  • Campanhas periódicas de conscientização sobre phishing, senhas, boas práticas

  • Testes de segurança sociais simuladas (ex: campanha de phishing interno)

12. Política de backups e continuidade

  • Backups regulares e armazenamento seguro, em local remoto e criptografado

  • Planos de recuperação de desastre (DRP) e continuidade de negócios

  • Testes periódicos de restauração e validação de integridade de backup

13. Avaliação, revisão e vigilância

  • Revisão anual da política e dos controles

  • Atualizações conforme mudança regulatória, de risco ou tecnológica

  • Relatórios de conformidade periódicos ao comitê ou diretoria

Twitter Instagram Facebook-f Whatsapp

É fácil, é Konntrol. Simples assim.

Instagram Facebook-f Whatsapp

Políticas

Serviços

Atendimento

 
Seg. a sexta: 9h às 18h e Sábado das 10h as 16h (exceto feriados)

© 2026 KonntrolPay. Todos os direitos reservados.
CNPJ: