Política de Segurança Cibernética
Protegemos seus ativos informacionais com os mais altos padrões de segurança digital, garantindo confidencialidade, integridade e disponibilidade de suas informações.
Versão: 1.0 | Data de Aprovação: 18/07/2025 | Vigência: 18/07/2025 a 18/07/2026
1. Introdução
A DBX Instituição de Pagamento Ltda. estabelece, por meio deste documento, sua Política de Segurança Cibernética, com o objetivo de proteger seus ativos informacionais contra ameaças internas e externas, deliberadas ou acidentais, assegurando a confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade das informações tratadas.
Conformidade Regulatória
Esta política está alinhada à Resolução nº 4.893/2021 do Banco Central do Brasil e às melhores práticas internacionais de segurança cibernética.
2. Abrangência
Esta política se aplica a:
- Todos os colaboradores, estagiários e terceiros da DBX
- Fornecedores e prestadores de serviço com acesso aos sistemas da DBX
- Infraestrutura tecnológica, sistemas, dados, processos e canais de atendimento
3. Princípios Norteadores
- Confidencialidade: acesso à informação apenas por usuários autorizados
- Integridade: proteção contra modificações não autorizadas
- Disponibilidade: garantia de acesso contínuo aos dados e sistemas
- Autenticidade: validação de identidades e comunicações legítimas
- Rastreabilidade: registro seguro e auditável de todas as ações críticas
4. Governança de Segurança Cibernética
- A Alta Administração da DBX é responsável por supervisionar e aprovar as diretrizes desta política
- A empresa mantém uma estrutura de governança, incluindo um Responsável pela Segurança da Informação com reporte direto à administração
- Um Plano Diretor de Segurança Cibernética (PDSC) está em implementação e será revisado anualmente
5. Gestão de Riscos Cibernéticos
A DBX realiza análise e avaliação periódica de riscos cibernéticos, com base em frameworks reconhecidos:
Metodologia de Avaliação
- ISO 27005 - Gerenciamento de riscos de segurança da informação
- NIST SP 800-30 - Guide for Conducting Risk Assessments
- Classificação por criticidade que impactam decisões de investimento em segurança
Escopo de Avaliação
- Riscos oriundos de fornecedores, integradores e parceiros
- Avaliação de serviços em nuvem
- Análise de vulnerabilidades internas e externas
6. Controles Técnicos e Administrativos
6.1. Controles de Acesso
- Adoção de autenticação multifator (MFA) para todos os acessos privilegiados
- Controle baseado em perfis e no princípio do menor privilégio
- Políticas rígidas de senha, com periodicidade e complexidade definidas
6.2. Proteção de Perímetro e Infraestrutura
- Uso de firewalls, IDS/IPS, VPNs e segmentação de rede
- Monitoramento 24/7 de tráfego e eventos de segurança (SIEM)
- Atualizações automáticas de segurança em sistemas e endpoints
6.3. Criptografia e Proteção de Dados
Padrões de Criptografia
Criptografia de dados em repouso e em trânsito, conforme padrões AES-256 e TLS 1.2+.
Controle de chaves criptográficas por meio de módulo HSM (Hardware Security Module).
- Classificação e rotulagem de informações críticas e confidenciais
- Gerenciamento seguro de chaves criptográficas
6.4. Backup e Continuidade de Negócios
Estratégia de Backup 3-2-1
3 cópias dos dados, 2 mídias diferentes, 1 fora do ambiente principal.
Testes regulares de restauração.
- Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD) formalizados
7. Resposta a Incidentes Cibernéticos
A DBX mantém um Plano de Resposta a Incidentes estruturado e abrangente:
Processo de Resposta
- Fluxos e responsáveis definidos para cada tipo de incidente
- Classificação por severidade e impacto
- Notificações ao Banco Central, clientes e órgãos competentes seguindo prazos regulamentares
- Documentação completa e análise para ações corretivas e preventivas
8. Monitoramento e Auditoria
Ferramentas de Monitoramento
- Monitoramento contínuo de sistemas e redes
- Geração e retenção de logs de segurança
- Integração com threat intelligence para detecção proativa
Auditoria e Conformidade
- Auditorias internas e externas independentes
- Verificação de controles e conformidade
- Relatórios executivos para a alta administração
9. Treinamento e Conscientização
- Treinamentos obrigatórios anuais sobre segurança da informação e LGPD
- Simulações de ataques (ex: phishing) para testar e educar os usuários
- Ações contínuas de conscientização, com campanhas internas e cartilhas
10. Relacionamento com Terceiros
- Contratos com fornecedores devem conter cláusulas de segurança cibernética e confidencialidade
- Avaliações de risco são realizadas antes da contratação e periodicamente
- Terceiros críticos são auditáveis e sujeitos à Política de Segurança da DBX
- Due diligence em segurança para novos parceiros
11. Conformidade e Penalidades
Medidas Disciplinares
O descumprimento desta política poderá resultar em medidas disciplinares, inclusive rescisão contratual ou ações judiciais, conforme a gravidade do ato.
A DBX garante o tratamento ético e seguro de denúncias sobre violações de segurança cibernética.
12. Revisão e Atualização
Esta política será revisada anualmente, ou sempre que houver:
- Mudanças relevantes nos ambientes tecnológicos ou normativos
- Identificação de vulnerabilidades críticas
- Incidentes cibernéticos de impacto material
- Alterações regulamentares significativas
Aprovação
Matheus Veloso Horst
Sócio-Administrador da DBX Instituição de Pagamento Ltda.
Data: 18 de julho de 2025
Vigência: 18 de julho de 2025 a 18 de julho de 2026
Informações da Empresa
DBX INSTITUIÇÃO DE PAGAMENTO LTDA.
CNPJ: 02.507.780/0001-96
Endereço: AV JOSE CUSTODIO DE OLIVEIRA 2717, Campo Mourão - PR
E-mail de contato: contato@digitalbx.com.br
SAC: ouvidoria@digitalbx.com.br
Canais de Contato para Segurança
Incidentes de Segurança: security@digitalbx.com.br
Vulnerabilidades: reportar via canal seguro no aplicativo
Suporte 24/7: Disponível através do aplicativo