Política de Segurança da Informação

Esta Política de Segurança da Informação estabelece os princípios, diretrizes e controles adotados pela FLOW PAY para proteger informações, dados pessoais, transações financeiras e ativos tecnológicos utilizados em suas operações.

O objetivo é assegurar níveis adequados de confidencialidade, integridade, disponibilidade e conformidade com as normas legais e regulatórias aplicáveis ao setor de pagamentos.

5.1. O acesso a sistemas e dados é concedido com base no princípio do menor privilégio, limitado ao estritamente necessário para o desempenho das funções atribuídas.

5.2. São utilizados mecanismos de autenticação compatíveis com boas práticas de mercado, incluindo:

• Credenciais individuais e intransferíveis;
• Autenticação multifator (2FA), quando aplicável;
• Políticas de senha com requisitos mínimos de complexidade.

5.3. Os acessos são revisados periodicamente e revogados em caso de desligamento, alteração de função ou encerramento de contrato.

6.1. As comunicações eletrônicas utilizam criptografia em trânsito (TLS 1.2 ou superior, ou equivalente tecnicamente adequado).

6.2. Dados sensíveis são protegidos por mecanismos como criptografia, tokenização ou técnicas equivalentes, conforme aplicável.

6.3. A FLOW PAY não armazena dados completos de cartões de pagamento em ambiente próprio, observadas as regras dos arranjos de pagamento e padrões de segurança aplicáveis, como PCI-DSS, quando exigido.

7.1. Atividades relevantes em sistemas críticos são registradas por meio de logs de auditoria.

7.2. Os registros são armazenados com controle de acesso e retenção conforme exigências legais, regulatórias ou contratuais.

7.3. São utilizados mecanismos de monitoramento contínuo para identificação de comportamentos anômalos, tentativas de acesso indevido e eventos de segurança.

8.1. A FLOW PAY adota ferramentas automatizadas e procedimentos internos para prevenção, detecção e mitigação de fraudes.

8.2. Transações podem ser submetidas a análises de risco em tempo real ou posterior, podendo resultar em:

• Retenções preventivas;
• Bloqueios temporários;
• Solicitações de verificação adicional;
• Limitação operacional da conta.

As medidas adotadas visam preservar a segurança do ecossistema de pagamentos e o cumprimento de obrigações regulatórias.

9.1. A FLOW PAY mantém procedimentos internos para identificação, contenção, investigação e resposta a incidentes de segurança da informação.

9.2. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares de dados, serão adotadas as medidas previstas na legislação aplicável, incluindo eventual comunicação aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD), quando exigido.

9.3. As ações de resposta buscarão mitigar impactos, preservar evidências e restabelecer a normalidade operacional.

10.1. A FLOW PAY adota medidas destinadas à continuidade de suas operações, incluindo:

• Infraestrutura com mecanismos de redundância;
• Backups periódicos;
• Planos de contingência e recuperação de desastres.

10.2. Eventuais indisponibilidades decorrentes de manutenção programada, atualizações técnicas ou eventos de força maior poderão ocorrer, sendo adotados esforços razoáveis para minimizar impactos.

11.1. A infraestrutura tecnológica é mantida com atualizações periódicas, incluindo correções de segurança e melhorias técnicas.

11.2. São realizados testes de vulnerabilidade e avaliações técnicas, conforme práticas razoáveis de mercado e análise de risco.