Políticas
Política de Segurança da Informação (PSI)
Última atualização em 18/02/2026 às 18:24
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) - GOATCOM
1. Introdução e Objetivo
1.1. A presente Política de Segurança da Informação (PSI) da Goatcom estabelece as diretrizes, normas e padrões de segurança a serem seguidos por todos os colaboradores, prestadores de serviço e parceiros. Como subadquirente, a Goatcom atua sob rigorosas regulamentações, visando a conformidade com a Resolução BCB nº 85/2021.
1.2. O principal objetivo desta PSI é salvaguardar os ativos de informação, assegurando a Confidencialidade, Integridade e Disponibilidade (CID) dos dados e sistemas. A adesão a esta política é essencial para proteger a reputação da empresa, mitigar riscos financeiros e manter a confiança no ecossistema de pagamentos.
2. Escopo e Aplicabilidade
2.1. Esta Política abrange todos os ativos de informação da Goatcom, incluindo:
- Sistemas de Informação: Plataformas de processamento de pagamentos, CRM, sistemas financeiros e de monitoramento de fraude.
- Dados: Informações de clientes (pessoais e transacionais), dados de cartões (em conformidade com PCI-DSS) e dados estratégicos.
- Infraestrutura Tecnológica: Servidores, equipamentos de rede, dispositivos móveis e infraestrutura de nuvem.
- Recursos Humanos: Todos os funcionários, diretores, prestadores de serviços e parceiros comerciais.
3. Governança e Responsabilidades
3.1. Papéis e Responsabilidades
| Papel | Responsabilidades Chave |
|---|---|
| Diretoria Executiva | Aprovação formal da PSI, alocação de recursos e promoção da cultura de segurança. |
| Diretor de Segurança Cibernética | Liderar a implementação da PSI, gerenciar riscos e atuar como ponto focal com o BACEN. |
| Comitê de Segurança | Revisar atualizações da PSI, deliberar sobre incidentes graves e avaliar novas tecnologias. |
| Colaboradores | Cumprir as diretrizes da PSI, proteger ativos e reportar incidentes imediatamente. |
3.2. Gestão de Riscos de Segurança da Informação
3.2.1. A Goatcom adota uma abordagem proativa que inclui a identificação contínua de ameaças, análise de impacto, tratamento de riscos e monitoramento da eficácia dos controles implementados.
4. Classificação da Informação
4.1. A Goatcom adota um sistema de classificação em quatro níveis para garantir a proteção adequada de acordo com a sensibilidade dos dados:
| Nível | Descrição | Exemplos |
|---|---|---|
| 1. Pública | Divulgação sem restrições. | Material de marketing, comunicados de imprensa. |
| 2. Interna | Uso exclusivo dos colaboradores. | Manuais de procedimento, e-mails corporativos. |
| 3. Confidencial | Divulgação pode causar danos significativos. | Estratégias de negócio, contratos com parceiros. |
| 4. Restrita | Altíssima sensibilidade (Sigilo Bancário/LGPD). | Dados de clientes, dados de cartões, chaves criptográficas. |
5. Controle de Acesso e Identidade
5.1. Baseado nos princípios de Privilégio Mínimo e Necessidade de Conhecer. Cada usuário possui uma identidade única e o compartilhamento de credenciais é estritamente proibido.
5.2. Requisitos de Segurança:
- Senhas Fortes: Mínimo de 12 caracteres, complexidade obrigatória e troca a cada 90 dias.
- MFA (Múltiplo Fator de Autenticação): Compulsório para acessos remotos (VPN), consoles de administração e sistemas críticos.
- Segregação de Funções (SoD): Responsabilidades divididas para evitar que um único indivíduo controle processos críticos.
- Revogação de Acessos: Em caso de desligamento, os acessos são removidos em até 2 horas.
6. Segurança em Meios de Pagamento e PCI-DSS
6.1. A Goatcom adere estritamente aos requisitos do PCI-DSS. Implementa tokenização e mascaramento do PAN, além de proibir terminantemente o armazenamento de dados sensíveis de autenticação (CVV/CVC) após a autorização.
6.2. A conformidade inclui varreduras de vulnerabilidade trimestrais (ASV), testes de penetração anuais e auditorias periódicas por QSAs.
7. Desenvolvimento Seguro de Software (DevSecOps)
7.1. A segurança é integrada em todas as fases do ciclo de vida de desenvolvimento (SDLC). Inclui revisão de código (SAST), testes dinâmicos (DAST) e análise de componentes de terceiros (SCA).
7.2. Vulnerabilidades críticas devem ser corrigidas em até 48 horas. Ambientes de Desenvolvimento, Homologação e Produção são rigorosamente segregados.
8. Gestão de Incidentes e Resposta a Ameaças
8.1. Monitoramento 24/7 através de sistemas SIEM e IDS/IPS. Todos os logs de segurança são retidos por no mínimo 5 anos.
8.2. O Plano de Resposta a Incidentes (PRI) contempla as fases de Preparação, Identificação, Contenção, Erradicação, Recuperação e Lições Aprendidas. Incidentes relevantes são comunicados ao Banco Central do Brasil conforme a Resolução BCB nº 85.
9. Continuidade de Negócios e Recuperação de Desastres
9.1. Backups diários armazenados em locais geograficamente distintos com testes de restauração semestrais. O Plano de Recuperação de Desastres (PRD) define objetivos de tempo (RTO) e ponto de recuperação (RPO).
10. Gestão de Terceiros e Cloud Computing
10.1. Fornecedores críticos passam por due diligence de segurança e devem cumprir requisitos contratuais de conformidade regulatória, direito de auditoria e notificação de incidentes.
11. Conscientização e Treinamento
11.1. Treinamentos anuais obrigatórios e campanhas regulares de conscientização (incluindo simulações de phishing) para fomentar uma cultura de segurança robusta.
12. Segurança Física e do Ambiente
12.1. Controle de acesso a áreas restritas via biometria, monitoramento por CFTV 24/7 e políticas de "Mesa Limpa e Tela Limpa". O descarte de mídias é realizado de forma segura e irreversível.
13. Auditoria e Conformidade
13.1. Auditorias internas anuais e submissão a auditorias externas regulatórias (BACEN) e de certificação (PCI-DSS). A PSI é revisada anualmente ou em resposta a mudanças significativas no cenário de ameaças.
14. Disposições Finais
14.1. O descumprimento desta Política sujeitará o infrator a medidas disciplinares, rescisão contratual e possíveis responsabilidades civis e criminais. Esta Política entra em vigor na data de sua aprovação pela Diretoria Executiva da Goatcom em 14 de Janeiro de 2026 (Versão 1.0).
14.2. GOAT COMMERCE LTDA - CNPJ: 60.126.754/0001-14
Nossa equipe de especialistas está pronta para ajudar você a escalar. Falar com um consultor agora.