Política de Segurança da Informação

‍

Introdução

A presente Política de Segurança da Informação é estabelecida para proteger a confidencialidade, integridade e disponibilidade dos ativos de informação da Payflow. Cumpre a norma ISO/IEC 27001 e aplica-se a todos os colaboradores, prestadores de serviços e utilizadores externos que acedam ou utilizem os ativos de informação da Payflow.

‍

Objetivo

O objetivo desta política é garantir a proteção dos ativos de informação contra todas as ameaças, internas ou externas, deliberadas ou acidentais. Pretende ainda assegurar o cumprimento de todas as leis, regulamentos e obrigações contratuais aplicáveis.

A política define um quadro para estabelecer, rever e alcançar objetivos de segurança da informação e especifica as responsabilidades de colaboradores, prestadores de serviços e terceiros na proteção dos ativos de informação da Payflow.

Adicionalmente, esta política visa promover a sensibilização, formar os colaboradores e orientar os processos de tomada de decisão relacionados com a segurança da informação dentro da organização.

‍

Âmbito

A Payflow, empresa dedicada a oferecer soluções de bem-estar financeiro através do acesso ao salário sob demanda e da compensação flexível, com o objetivo de capacitar os utilizadores a gerir e melhorar as suas finanças pessoais, decidiu implementar um Sistema de Gestão da Segurança da Informação (SGSI) para melhorar os serviços prestados aos seus clientes.

Esta política aplica-se a todos os ativos de informação detidos, alugados, geridos ou de outra forma controlados pela Payflow, incluindo informação armazenada em suportes físicos ou eletrónicos, informação transmitida por redes ou canais de comunicação, bem como informação processada ou gerida por colaboradores, prestadores de serviços ou utilizadores externos.

‍

Objetivos

Os principais objetivos desta política são:

• Proteger a confidencialidade da informação para evitar a sua divulgação não autorizada.
• Assegurar a integridade da informação para prevenir alterações não autorizadas.
• Garantir a disponibilidade da informação para os utilizadores autorizados sempre que necessário.

Adicionalmente, a política procura assegurar o cumprimento das leis, regulamentos e obrigações contratuais aplicáveis, como o Regulamento Geral sobre a Proteção de Dados (RGPD) e a legislação nacional em vigor, promovendo simultaneamente a melhoria contínua do SGSI.

‍

Organização da Segurança e Responsabilidades

A Direção da Payflow é responsável por assegurar a liderança e o compromisso com a segurança da informação. Garante que existem recursos adequados para implementar e manter o SGSI e aprova as políticas e procedimentos de segurança da informação.

O Responsável do SGSI é responsável por desenvolver, implementar e manter o sistema de gestão da segurança da informação. Isto inclui a realização de avaliações de riscos, implementação de controlos adequados e reporte sobre a eficácia do SGSI à gestão de topo.

Os colaboradores, prestadores de serviços e utilizadores externos são responsáveis por cumprir esta política e todos os procedimentos relacionados com a segurança da informação. Devem comunicar qualquer incidente ou vulnerabilidade ao Responsável do SGSI e participar em programas de formação e sensibilização.

‍

Medidas de Segurança

Em conformidade com o nosso compromisso de proteger os ativos de informação e manter a integridade das operações, foram estabelecidas medidas de segurança que incluem:

• Recursos Humanos: Medidas para garantir que colaboradores, prestadores de serviços e terceiros conhecem as suas responsabilidades e têm a formação necessária para proteger os ativos de informação.
• Segurança Física: Medidas para proteger os ativos de informação contra acessos não autorizados, danos ou interferências.
• Gestão de Ativos: Identificação, classificação e proteção dos ativos de informação ao longo do seu ciclo de vida. Inclui inventário, atribuição de responsáveis, definição de diretrizes de uso e auditorias periódicas.
• Controlo de Acessos: O acesso aos ativos de informação é restrito a utilizadores autorizados. São implementados mecanismos robustos de autenticação e autorização, revistos periodicamente.
• Segurança de Redes: Proteção da infraestrutura de rede contra acessos não autorizados, violações e ameaças. Inclui firewalls, sistemas de deteção de intrusões e monitorização regular.
• Segurança das Operações: Medidas para preservar a integridade dos processos operacionais, incluindo monitorização e registo de atividades para deteção precoce de anomalias.
• Gestão de Configuração: Procedimentos para assegurar que todas as configurações de sistemas e ativos são geridas, documentadas e monitorizadas de forma sistemática.
• Desenvolvimento Seguro: Integração de práticas de segurança no ciclo de vida de desenvolvimento de software, incluindo revisões de código, avaliações de vulnerabilidades e testes periódicos.
• Gestão de Mudanças: Procedimentos para controlar e documentar alterações em sistemas e infraestruturas, reduzindo o risco de incidentes.
• Gestão de Riscos: Avaliações regulares para identificar e mitigar riscos aos ativos de informação, com monitorização contínua da eficácia dos controlos.
• Gestão de Dados: Classificação da informação segundo a sua sensibilidade e criticidade, com procedimentos de manuseamento adequados a cada nível.
• Gestão de Incidentes: Processos para detetar, responder e recuperar de incidentes de segurança. Todos os incidentes devem ser reportados e investigados.
• Continuidade do Negócio: Planos para assegurar a continuidade de funções críticas em caso de disrupções, testados e atualizados regularmente.
• Gestão de Terceiros: Definição e imposição de requisitos de segurança a fornecedores e parceiros, com avaliações periódicas de conformidade.
• Conformidade: Garantia do cumprimento das leis, regulamentos e obrigações contratuais relevantes. Auditorias regulares asseguram a conformidade com esta política e o SGSI.
• Sensibilização e Comunicação: Formação regular em segurança da informação para colaboradores, prestadores de serviços e terceiros.

‍

Melhoria Contínua

A Payflow está comprometida com a melhoria contínua das suas práticas de gestão da segurança da informação. São realizadas avaliações e revisões periódicas para identificar áreas de melhoria. Auditorias, relatórios de incidentes e sugestões de colaboradores são analisados para implementar melhorias. Indicadores e métricas são monitorizados para avaliar a eficácia dos controlos.

‍

Conformidade

A Payflow reserva-se o direito de auditar e/ou monitorizar as atividades dos colaboradores e a informação tratada através dos sistemas de informação.

Todos os colaboradores devem cumprir com a Política de Segurança da Informação e as Políticas Específicas de Segurança, estando cientes de que o incumprimento dará lugar a medidas disciplinares proporcionais à infração cometida.

‍