Declaração e Objetivo - A Política de Segurança Cibernética (“Política”) da Google Pay Brasil Instituição de Pagamento Ltda. (“Google Pay”) se baseia em princípios e diretrizes que visam a garantir a confidencialidade, integridade e disponibilidade de todos os dados e sistemas de informação utilizados pela Google Pay.
A Google Pay adota o ‘Programa de Segurança da Informação de Pagamentos’ do Google (“Programa”) que se aplica às entidades do Google no Brasil e no exterior, além de controles específicos que asseguram o cumprimento das leis e regulamentação local, com o objetivo de prevenir, detectar e reduzir ao máximo toda e qualquer vulnerabilidade relacionada com o ambiente de segurança cibernética.
Escopo e Publicidade - Essa Política se aplica e é divulgada para todos os funcionários, consultores, agentes, funcionários terceirizados e demais pessoas que trabalhem ou prestem serviços à Google Pay que têm acesso aos sistemas, recursos ou informações do Programa. A Política também se aplica a todos os serviços e operações regulados e relacionados a pagamentos da Google Pay.
A alta administração da Google Pay auxilia na disseminação e implementação das diretrizes da Política, de forma a assegurar sua efetividade e a melhora contínua do Programa.
Classificação de Dados - Todas as informações coletadas, processadas ou mantidas pela Google Pay (“Informações de Pagamentos”) recebem um nível de classificação de dados para garantir que recebam a proteção adequada.
Princípios da Proteção de Dados - Os princípios da proteção de dados da Google Pay observam os mais rigorosos requisitos aplicáveis. As tecnologias e práticas atendem ou excedem os padrões do setor quando se trata de proteção de dados pessoais contra acesso, divulgação ou modificação não autorizados, utilizando métodos que incluem criptografia, monitoramento, detecção de anomalias, registro e auditoria de todos os acessos e proteção de todos os dados com medidas proporcionais à sua sensibilidade.
Treinamento de Pessoal e Análise de Riscos - Os funcionários da Google Pay são obrigados a participar de treinamento sobre privacidade, segurança da informação todos os anos para garantir o tratamento adequado e proteção de todos os dados do cliente conforme o Programa. A Google Pay realiza análises de risco a fim de identificar e mitigar os riscos previsíveis à confidencialidade, integridade e disponibilidade das Informações de Pagamentos. A efetividade do Programa é monitorada e revisada periodicamente para avaliar se suas salvaguardas e controles são suficientes para mitigar os riscos técnicos e de negócio.
Salvaguardas Físicas e Técnicas – A Google Pay mantém controles de segurança física em todas as suas instalações, bem como salvaguardas técnicas, para impedir: acesso não autorizado a informações confidenciais, destruição de informações, divulgação não autorizada, adulteração de dados, vazamento de informações e ataques cibernéticos.
Todos os dispositivos com acesso aos serviços corporativos da Google Pay devem atender aos padrões de segurança de configuração definidos pelas diretrizes aplicáveis da Google Pay e cumprir os requisitos de sistema operacional e atualização rigorosamente projetados.
Política de Autenticação e Requisitos de Senha - A Google Pay também tem requisitos estritos de autenticação e autorização para proteger seus sistemas contra acessos não autorizados. A autenticação é necessária para acessar todos os sistemas que fornecem informações não-públicas. A robustez do mecanismo de autenticação deve ser compatível com a sensibilidade dos ativo(s) de informação.
Segurança de Engenharia de Sistema - A Google Pay adota procedimentos de criptografia robustos que englobam não apenas os dados em repouso, mas também os dados em trânsito.
Além disso, as políticas e práticas da Google Pay asseguram que as Informações de Pagamentos tenham cópias de segurança (backup) adequadas. Exceto quando exigido de outra maneira pelas leis e regulamentação brasileiras, as mídias de backup contendo dados confidenciais serão armazenadas para fins regulatórios/de manutenção e para facilitar a recuperação do serviço após um incidente.
Segurança de Rede - Todos os dispositivos com acesso aos serviços corporativos da Google Pay devem atender às diretrizes de rede, incluindo que: (i) as contas que dão acesso aos sistemas da Google Pay devem ser gerenciadas de acordo com as políticas aplicáveis; (ii) os logins nos sistemas devem usar as contas corporativas do funcionário e as credenciais associadas; (iii) as contas não utilizadas devem ser desativadas ou removidas do sistema; e (iv) a autenticação de contas deve usar um sistema de autenticação remota.
Monitoramento - Os sistemas e redes da Google Pay utilizados pela Google Pay são devidamente monitorados segundo os seguintes princípios:
- Os dispositivos devem ser configurados para registrar eventos (logs) - cada registro, cuja marcação de tempo deve usar microssegundos, será gravado em um sistema de registros adequado;
- Um plano de resposta para lidar com alertas de monitoramento de segurança deve ser elaborado para prevenir acessos não autorizados, perda de dados e disrupção de serviços. Esses alertas devem ser informados para uma Equipe de Gerenciamento de Incidentes que será responsável pela investigação.
- Um registro das ações realizadas durante a investigação de um incidente de segurança deve ser mantido e armazenado de maneira segura para preservar a cadeia de custódia.
Análise de Segurança de Produto – Via de regra, todos os produtos e serviços de pagamentos, incluindo novos recursos, produtos ou grandes mudanças em produtos já existentes, devem passar por uma análise de segurança completa antes do lançamento.
Resposta a Incidentes – A Google Pay adota um Plano de Ação e de Resposta a Incidentes avaliado e aprovado por sua Diretoria, que é testado e revisado pelo menos uma vez por ano. Esse teste anual visa a identificar as mudanças em processos, controles e documentação que são necessárias para melhor se preparar para incidentes de segurança.
Continuidade de Negócios e Recuperação de Desastres - A Google Pay possui um plano de continuidade de negócios e recuperação de desastres. O plano é seguido em casos de ameaça às operações ou à continuidade dos negócios durante uma emergência ou um evento disruptivo.
Revisão e Aprovação da Política - Esta Política deve ser revisada e atualizada pelo menos uma vez por ano e submetida à apreciação da Diretoria da Google Pay para aprovação.
Google Pay Brasil Instituição de Pagamento Ltda.