Política de Segurança Cibernética

1. OBJETIVO

A Política de Segurança Cibernética da Appless tem como objetivo estabelecer diretrizes, princípios e responsabilidades para proteger os ativos digitais, ambientes cloud, APIs e sistemas da organização contra ameaças cibernéticas. A segurança cibernética é tratada como uma prioridade estratégica, integrada aos processos e à governança da empresa.

Todas as fases do ciclo de segurança cibernética são contempladas de forma proativa pela Appless, refletindo o compromisso com a proteção de dados e a continuidade dos serviços. As fases incluem:

  • Planejamento: definição de políticas, arquitetura de segurança e requisitos técnicos;
  • Execução: implementação de controles e práticas seguras em todos os sistemas e APIs;
  • Monitoramento: uso de ferramentas como AWS CloudTrail, CloudWatch e integrações com Cloudflare;
  • Avaliação de Riscos: revisões periódicas conforme NRM-007, incluindo testes de segurança e auditorias;
  • Resposta e Aprendizado: análise de incidentes e aplicação de melhorias contínuas.
2. ABRANGÊNCIA

Esta política se aplica a todos os colaboradores, fornecedores, prestadores de serviços e parceiros que possuam acesso a sistemas críticos e dados sensíveis da Appless. Abrange todos os serviços e operações da Appless realizados em ambiente de computação em nuvem, como AWS, Azure, Cloudflare e MongoDB Atlas.

3. TERMOS E DEFINIÇÕES

Consultar o MNL - 001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais

4. PAPEIS E RESPONSABILIDADES
4.1 Chief Executive Officer (CEO)

O CEO é responsável por aprovar oficialmente todas as políticas e normas institucionais, garantindo que estejam alinhadas com os objetivos estratégicos da Appless. Também é responsável por validar e formalizar a nomeação de papéis críticos, como o Encarregado pelo Tratamento de Dados (DPO), CISO e CTEO. Deve supervisionar o cumprimento das políticas de segurança e assegurar que a organização mantenha um ambiente seguro e em conformidade com regulamentações vigentes.

4.2 Chief information security officer (CISO)

O CISO é o responsável pela implementação e gestão das estratégias de segurança da informação na Appless.

4.3 Gestor de TI/SI

É responsável por coordenar e supervisionar a conformidade da Appless com as políticas e os procedimentos relacionados à confidencialidade, integridade e segurança de seus ativos de informação, tais como:

  • Tomar decisões de alto nível relativas às políticas, normas e procedimentos de Segurança da Informação e seu conteúdo, aprovando os documentos e as exceções a essas políticas com antecedência, se necessário;
  • Coordenar (dentro da periodicidade estabelecida pelos normativos ou padrões de mercado) uma avaliação formal de riscos para identificar novas ameaças, vulnerabilidades e identificar os controles apropriados para mitigar novos riscos;
  • Revisar, pelo menos uma vez por ano, as políticas, normas e procedimentos de Segurança da Informação para mantê-los adequados aos requisitos de negócios emergentes ou ameaças de segurança;
  • Certificar-se de que terceiros, com quem as informações da Appless são compartilhadas, sejam contratualmente obrigados a aderir aos requisitos desta política e a reconhecer que são responsáveis pela segurança dos dados.
  • Assegurar que as conexões com terceiros sejam gerenciadas e documentadas conforme os requisitos desta política;
  • Divulgar as políticas, normas e procedimentos de segurança de informações da Appless para todos os colaboradores e prestadores de serviço envolvidos no suporte aos serviços do AWS;
  • Garantir que em caso de transferência de função de um colaborador ou prestador de serviço envolvido no suporte aos serviços AWS seus acessos sejam readequados às novas atividades.
  • O Gestor de TI/SI é equivalente ao CISO para efeito de Normas, Políticas e Procedimentos da Appless
4.4 Diretor de Proteção de Dados (DPO) ou Encarregado de Proteção de Dados

O DPO (Data Protection Officer) ou Encarregado de Proteção de Dados é o responsável por garantir que as atividades da Appless estejam em conformidade com as leis de proteção de dados pessoais, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD), e pelas boas práticas de segurança da informação.

4.5 Equipe de TI/SI

É responsável por assegurar o correto cumprimento dos requisitos de segurança dos componentes de sistemas AWS frente aos requerimentos desta política, desta forma, este time deverá executar atividades que incluem o planejamento de segurança, a educação e a conscientização dos usuários, dentre outras, como:

  • Apoiar a criação, manutenção e revisão das políticas, normas e procedimentos de Segurança da Informação;
  • Implementar os padrões estabelecidos nas políticas, normas e procedimentos de Segurança da Informação;
  • Manter e executar os procedimentos de resposta aos alertas e incidentes, incluindo o escalonamento quando necessário;
  • Monitorar e analisar alertas de segurança;
  • Revisar logs diariamente, reportar e acompanhar exceções identificadas;
  • Restringir e monitorar o acesso a área sensível, assegurando que os controles lógicos apropriados estejam implementados onde as informações confidenciais estiverem presentes.
4.6 Colaboradores e Prestadores de Serviço Appless

Todos os usuários devem conhecer a importância dos ativos e reconhecer a sua responsabilidade sobre estes recursos. Os colaboradores e prestadores de serviço devem estar atentos a possíveis incidentes que ameacem os sistemas e as informações da Appless. Suas responsabilidades são:

  • Entender quais são as consequências de suas ações em relação às práticas de segurança e agir em conformidade com as políticas, normas e procedimentos;
  • Adotar a filosofia "Segurança é responsabilidade de todos" para apoiar a Appless a atingir seus objetivos de negócios;
  • Manter o conhecimento atualizado sobre o conteúdo da Política de Segurança da Informação.
5. DIRETRIZES

A Appless implementa controles de segurança cibernética alinhados às melhores práticas do mercado (CIS, PCI DSS, ISO/IEC 27001) e diretrizes internas estabelecidas nas NRMs e PLTs. A abordagem inclui processos robustos de hardening, gestão de riscos e desenvolvimento seguro.

A política de segurança cibernética é composta por um conjunto de normas que abrangem diversas áreas críticas da segurança da informação exigidos pela Resolução 4.893. A seguir, detalham-se as principais diretrizes e o motivo da conformidade de cada uma:

  • NRM-001 - Norma de Gestão de Documentos: Estabelece padrões e procedimentos para a gestão adequada de documentos sensíveis e críticos, garantindo integridade, disponibilidade e confidencialidade da informação documentada.
  • NRM-002 - Norma de Segurança de Redes: Estabelece controles e procedimentos para proteger redes internas e externas contra ataques cibernéticos, garantindo a segurança e integridade. Inclui mecanismos avançados de firewall, segmentação de rede e monitoração contínua.
  • NRM-003 - Norma de Gestão e Classificação da Informação: Define critérios para classificação e proteção das informações processadas, armazenadas ou transmitidas pela Appless, com base em seu nível de criticidade e sensibilidade.
  • NRM-004 - Norma de Retenção e Proteção de Dados Pessoais e Transacionais: Estabelece diretrizes para armazenamento seguro, tratamento e proteção de dados pessoais e transacionais como o arranjo de pagamentos PIX.
  • NRM-005 - Norma de Controles Criptográficos: Define procedimentos para a aplicação de criptografia em dados críticos e sensíveis, garantindo que a confidencialidade e integridade sejam preservadas durante o armazenamento e transmissão.
  • NRM-006 - Norma de Proteção contra Malware: Define procedimentos para prevenção, detecção e mitigação de malware, ransomware e outras ameaças digitais. Inclui o uso de soluções antivírus e antimalware, além de medidas proativas para identificação de ameaças.
  • NRM-007 - Norma de Gestão de Riscos: Estabelece um processo estruturado para identificação, análise, mitigação e monitoramento de riscos relacionados a ativos de informação da Appless, incluindo serviços de nuvem e aplicações críticas.
  • NRM-008 - Norma de Desenvolvimento Seguro: Estabelece práticas e procedimentos para garantir que o desenvolvimento de sistemas e aplicações ocorra de maneira segura, prevenindo vulnerabilidades e alinhando-se aos requisitos de conformidade e melhores práticas de mercado.
  • NRM-009 - Norma de Gestão de Mudanças: Define processos para controle e aprovação de mudanças em ambientes críticos, garantindo que alterações sejam planejadas, documentadas e avaliadas quanto aos seus impactos na segurança.
  • NRM-010 - Norma de Gestão de Acessos e Usuários: Estabelece procedimentos para controle de acessos privilegiados e gestão de identidades, garantindo que apenas usuários autorizados possam acessar recursos críticos.
  • NRM-012 - Norma de Monitoramento de Sistemas e Tratamento de Logs e Eventos: Define diretrizes para o monitoramento contínuo dos sistemas e aplicações da Appless, identificando atividades suspeitas e mitigando riscos em tempo real.
  • NRM-013 - Norma de Testes de Segurança em TI e Sistemas: Estabelece procedimentos para a realização de testes periódicos de segurança, incluindo pentests e avaliações de vulnerabilidades em sistemas e aplicações críticas.
  • NRM-014 - Norma de Gestão Admissão, Movimentação e Desligamento Pessoal: Define os procedimentos de segurança relacionados ao ciclo de vida dos colaboradores e prestadores de serviços, garantindo a gestão adequada de acessos e dados relacionados.
  • NRM-015 - Norma de Gestão de Fornecedores: Define os critérios de seleção, contratação e monitoramento de fornecedores que possuam acesso a dados críticos ou sistemas da Appless.
  • NRM-016 - Norma de Gestão de Incidentes: Estabelece procedimentos para resposta e mitigação de incidentes de segurança, garantindo que eventos relevantes sejam tratados de maneira eficiente e documentada.
  • NRM-017 - Norma de Gestão de Backup e Restore: Garante a disponibilidade e recuperação dos dados críticos através de processos adequados de backup e restauração, em conformidade com os requisitos para continuidade de operações. Os backups são realizados regularmente e armazenados de forma segura.
  • NRM-018 - Norma de Conscientização de Segurança da Informação: Define procedimentos para conscientização e treinamento dos colaboradores e prestadores de serviço, garantindo que todos compreendam e apliquem as políticas de segurança da Appless.
  • NRM-019 - Norma de Uso Aceitável de Ativos de Informação: Estabelece diretrizes para o uso adequado de ativos de informação, prevenindo abusos e garantindo que os recursos sejam utilizados de forma responsável.
  • NRM-020 - Norma de Hardening: Define procedimentos de endurecimento de sistemas e aplicações, garantindo que configurações seguras sejam aplicadas para mitigar riscos e prevenir ataques.
  • NRM-021 - Norma de Sanção Disciplinar: Estabelece procedimentos para aplicação de sanções proporcionais ao descumprimento das diretrizes estabelecidas nas políticas e normas da Appless.
  • NRM-025 - Norma de Aplicação Segura da Política de Privacidade: Estabelece diretrizes para proteção de dados pessoais e transacionais, garantindo sua integridade, disponibilidade e confidencialidade. Inclui medidas de criptografia, controle de acesso e revisão periódica de conformidade.

O ambiente de nuvem é monitorado continuamente e em tempo real, utilizando sistemas dinâmicos que identificam e mitigam ameaças cibernéticas de forma proativa. A integridade dos sistemas e dados processados é assegurada por processos que seguem rigorosamente as diretrizes estabelecidas nas Normas, Políticas e Procedimentos da Appless.

Os dados pessoais e transacionais são protegidos de acordo com a LGPD e as normas do Banco Central do Brasil, incluindo o uso de criptografia, controles de acesso avançados e autenticação robusta.

A segurança cibernética está integrada nas principais políticas Appless:

PLT-001 – Política de Segurança da Informação:
Define os controles gerais de segurança adotados pela Appless (confidencialidade, integridade e disponibilidade da informação), com base nas normas ISO 27001, ISO 27017, LGPD e nas exigências do Bacen. Aplica-se aos ambientes cloud, ativos internos e integrações com instituições parceiras.

PLT-002 – Política de BYOD (Dispositivos Pessoais):
Estabelece diretrizes para o uso seguro de dispositivos pessoais por colaboradores e terceiros, especialmente em ambientes cloud e remotos. Define regras de acesso, segregação de dados, revogação e conformidade.

PLT-003 – Política e Procedimentos de DPIA:
Prevê o procedimento de Avaliação de Impacto à Proteção de Dados Pessoais (DPIA) conforme a LGPD e a Resolução Conjunta nº 6/2023. Embora atualmente não haja necessidade de realização do DPIA, a Appless mantém estrutura preparada para executá-lo sempre que operar dados de alto risco.

PLT-004 – Política de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD/FT):
Documenta os controles técnicos de rastreabilidade e segurança implementados pela Appless para apoiar instituições contratantes nas obrigações de PLD/FT. Não abrange KYC, que é de responsabilidade exclusiva da instituição contratante (ex: Cellcoin).

Versão 1.0 Página 7 De 11

Política de Privacidade – Política de Privacidade e Proteção de Dados Pessoais:
Estabelece que a Appless não coleta nem trata dados pessoais de clientes finais. Aplica-se exclusivamente ao site institucional. Dados internos (colaboradores e prestadores) são tratados com base na LGPD, de forma limitada, e conforme os princípios de minimização, segurança e finalidade.

6. SOBRE A RESPONSABILIDADE DE COLABORADORES, PRESTADORES DE SERVIÇO, FORNECEDORES E CLIENTES DA APPLESS COM A SEGURANÇA CIBERNÉTICA
6.1 Responsabilidades dos Colaboradores e Prestadores de Serviço

Com base no TRM-003 – Termo de Responsabilidade e Compromisso com a Segurança da Informação, os colaboradores e prestadores assumem sigilo e proteção da informação, devendo garantir a confidencialidade, integridade e disponibilidade das informações acessadas através das condutas:

  • Uso de autenticação multifator (MFA);
  • Proteção de telas e dados sensíveis em ambientes compartilhados;
  • Utilização apenas de redes seguras e autorizadas;
  • Proibição de compartilhamento de senhas ou acessos;
  • Obrigação de reportar incidentes de segurança imediatamente;

Acessos a sistemas críticos (AWS, MongoDB, etc.) exigem maior responsabilidade, e são auditáveis.

Sanções previstas: Violação das normas pode acarretar advertência, desligamento, ou medidas legais (conforme NRM-021).

6.2 Uso de Dispositivos Pessoais (BYOD)

Com base no TRM-001 – Termo de Adesão à Política de Dispositivos Individuais (BYOD) o uso de notebook, smartphone ou tablet pessoal é permitido somente com autorização formal da Appless. O colaborador se compromete a:

  • Manter os dispositivos atualizados, com antivírus e senhas fortes;
  • Não armazenar dados da empresa localmente nem os compartilhar com terceiros;
  • Comunicar incidentes de perda, extravio ou acesso indevido imediatamente;
  • Autorizar, quando necessário, a remoção remota de dados corporativos;
  • Consentir com monitoramento restrito ao ambiente corporativo, conforme a LGPD.
6.3 Devolução de Acessos e Encerramento de Vínculo

Com base no TRM-002 – Termo de Devolução de Acessos, ao encerrar o vínculo com a Appless, o profissional declara que:

  • Todos os acessos e credenciais foram entregues ou revogados;
  • Não possui mais nenhum dado, backup ou cópia de informações da empresa;
  • Todos os dados corporativos foram removidos de dispositivos pessoais;
  • Está ciente de que o uso ou retenção indevida pode acarretar medidas administrativas e legais.
6.4 Responsabilidades de Fornecedores

Conforme a NRM-015 – Norma de Gestão de Fornecedores e PLT-004 – Política de PLD/FT, fornecedores que tenham acesso a dados, sistemas ou ambientes da Appless devem:

  • Estar em conformidade com normas como LGPD, ISO/IEC 27001, PCI DSS;
  • Ser avaliados e monitorados periodicamente quanto à segurança de seus serviços;
  • Atender aos requisitos de acesso controlado, monitoramento e mitigação de riscos.
6.5 Responsabilidades de Clientes (visão contratual)

A Appless não interage diretamente com clientes finais nem realiza o tratamento de seus dados pessoais. Toda a coleta, tratamento e proteção de dados relacionados a transações Pix são de responsabilidade exclusiva da instituição contratante da API.
A Appless assegura que:

  • Nenhum dado pessoal de clientes finais é tratado ou armazenado pela empresa;
  • A infraestrutura disponibilizada atende aos requisitos técnicos e normativos de segurança, rastreabilidade e disponibilidade;
  • Os dados técnicos operacionais são protegidos conforme a LGPD e normas do Banco Central, como a Resolução nº 4.893.
6. SERVIÇOS PERMITIDOS

São permitidos todos os serviços de tecnologia que se alinhem com os requisitos de segurança cibernética da Appless, incluindo infraestrutura de nuvem AWS, Azure, Cloudflare, MongoDB Atlas, e serviços compatíveis com as diretrizes internas e regulamentações aplicáveis.

7. APROVAÇÃO

Esta política foi aprovada pelo CEO e pelo Departamento de Segurança da Informação da Appless.

8. REVISÃO E MANUTENÇÃO

A presente política será revisada anualmente ou sempre que ocorrerem mudanças significativas nos processos ou no ambiente tecnológico da Appless. A revisão será conduzida pelo Departamento de Segurança da Informação e submetida à aprovação do CEO.

9. APROVAÇÃO

Todo o conteúdo elaborado, antes de ser divulgado aos colaboradores, deve ser aprovado pelo CEO.

10. REVISÃO E MANUTENÇÃO

Este documento deverá ser revisado anualmente ou quando uma mudança significativa ocorrer na organização.

11. INFORMAÇÕES DO DOCUMENTO
Responsável Gestor SI/TI
Classificação Interna
12. REFERÊNCIAS

Documento

  • MNL-001 – Manual de Organização de Conceitos
  • NRM-002 – Norma de Segurança de Redes
  • NRM-005 - Norma de Controles Criptográficos
  • NRM-007 - Norma de Gestão de Riscos
  • NRM-008 - Norma de Desenvolvimento Seguro
  • NRM-009 - Norma de Gestão de Mudanças
  • NRM-010 - Norma de Gestão de Acessos e Usuários
  • NRM-012 - Norma de Monitoramento de Sistemas e tratamento de logs e eventos
  • NRM-013 - Norma de Testes de Segurança de TI e Sistemas
  • NRM-016 - Norma de Gestão de Incidentes
  • NRM-017 - Norma de Backup e Restore
  • NRM-018 - Plano de Conscientização de Segurança da Informação
  • NRM-019 - Norma Uso Aceitável Ativos
  • NRM-020 - Norma de Sanção Disciplinar
  • Resolução 4.893 do Banco Central do Brasil
  • PLT-001 - Política de Segurança da Informação
  • PLT-002 - Política de BYOD (Dispositivos Pessoais)
  • PLT-003 Política e Procedimentos de DPIA
  • PLT-004 - Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT)
13. HISTÓRICO DE VERSÕES
VERSÃO DATA AUTOR COMENTÁRIOS
1.0 19/03/2025 Deise Di Martini Ronn Criação do Documento
14. APROVAÇÃO DO DOCUMENTO
NOME CARGO/ÁREA
Flavio França CEO