1.APRESENTAÇÃO

1.1 Declaração de Intenção de Alta Administração

A Dotz afirma, por meio dessa política, seu comprometimento em assegurar a disponibilidade, a integridade e a confidencialidade das informações que lhe foram confiadas pelas partes interessadas, incluindo clientes, direção, colaboradores, investidores e outros parceiros de negócios. A Alta Administração da Dotz determina que todos os seus colaboradores atuem no sentido de impedir a ocorrência de problemas de segurança envolvendo as informações sob sua posse ou responsabilidade, bem como contribuam para resultados de qualidade nos negócios através do respeito e cumprimento da presente política e demais normativos internos. .


1.2. Objetivo

Definir diretrizes para garantir a segurança das informações corporativas, buscando o equilíbrio entre performance e confiabilidade, objetivando a perenidade dos negócios do Grupo Dotz, fundamentadas nos seguintes itens:

  • Alinhamento dos objetivos estratégicos de Segurança da Informação e Privacidade com os objetivos de negócio das empresas
  • Redução dos impactos decorrentes de eventos de Segurança da Informação.
  • Identificação dos principais riscos de segurança da informação e privacidade aplicáveis ao negócio.
  • Disseminação das normas e diretrizes de segurança da informação e privacidade a todos os profissionais do Grupo Dotz, terceiros aplicáveis e qualquer pessoa relacionada a expansão dos negócios do Grupo Dotz.
  • Cumprimento do Código de Conduta do Grupo Dotz, bem como de todas as leis e regulamentações aplicáveis e em vigor relacionadas a proteção de dados, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD).
  • A Presidência, a Diretoria Executiva e o Comitê de Segurança da Informação e Privacidade de Dados estão comprometidos com uma gestão efetiva de Segurança da Informação no Grupo Dotz. Desta forma, adotam todas as medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização
  • Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação às necessidades da companhia e as leis vigentes.
  • O Grupo Dotz abrange a prevenção, detecção e mitigação de vulnerabilidades e incidentes cibernéticos. Nosso objetivo primordial é assegurar a resiliência operacional e a continuidade dos negócios a longo prazo, sustentada por uma postura proativa em segurança cibernética..

1.3. Abrangência

Esta política se aplica a todos os usuários da informação do Grupo Dotz, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a Dotz, tais como colaboradores, ex-colaboradores, prestadores de serviço e ex-prestadores de serviço, que possuíram, possuem ou virão a possuir acesso às informações da Dotz e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura do Grupo Dotz.


1.4. Referências

  • Política de Privacidade do Grupo Dotz (Externa)
  • NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos.
  • NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção da privacidade — Controles de segurança da informação
  • NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes.
  • LEI Nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais (LGPD) Princípios da Segurança da Informação.

1.5. Definições

Segurança da Informação (SI): Proteção contra o uso ou acesso não autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas. A SI não está limitada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, de qualquer forma.

O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. A SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros.

Privacidade: A privacidade de dados é o direito de gerenciar como suas informações pessoais são coletadas e utilizadas.

ISO: Organização Internacional de Normalização, responsável por desenvolver e publicar normas técnicas e padrões internacionais.

LGPD: Lei Geral de Proteção de Dados (Lei n° 13.709 de 14 de agosto de 2018).

ANPD: (Autoridade Nacional de Proteção de Dados) é responsável por fiscalizar, regular e zelar pela proteção de dados pessoais no país.

BACEN: Banco Central do Brasil (BACEN ou BCB) é a autoridade monetária central do Brasil.

SGSI: Gestão de Segurança da Informação


2. PAPÉIS E RESPONSABILIDADES

2.1. Diretoria Executiva:

  • Promover e aprovar as atividades do Sistema de Gestão de Segurança da Informação e Privacidade.

2.2. Comitê de Segurança da Informação e Privacidade de Dados:

  • Definir, implementar, manter e aprimorar continuamente o Sistema de Gestão de Segurança da Informação (SGSI), em conformidade com a ISO 27001;
  • Implementar os controles de segurança da informação descritos na ISO 27002, a fim de proteger os ativos de informação da DOTZ, incluindo dados pessoais;
  • Identificar, avaliar e tratar os riscos relacionados à segurança da informação e à privacidade de dados, utilizando metodologias de análise de risco alinhadas com a ISO 27005;
  • Desenvolver e implementar planos de tratamento de riscos, incluindo a definição de controles, políticas, procedimentos e medidas de mitigação;
  • Assegurar a devida implementação dos seguintes aspectos:
    • Segurança física e lógica (ISO 27002)
    • Controle de acesso (ISO 27002)
    • Criptografia (ISO 27002)
    • Gestão de incidentes de segurança da informação (ISO 27002)
    • Continuidade de negócios (ISO 27002)
  • Monitorar a eficácia dos controles implementados e realizar ajustes quando necessário;
  • Assegurar que as práticas de tratamento de dados pessoais estejam em conformidade com a legislação aplicável (ex: LGPD) e com as normas e padrões relevantes (ISO 27001, ISO 27002);
  • Manter-se atualizado sobre as mudanças na legislação e nas normas, e promover as adequações necessárias;
  • Desenvolver e implementar um plano de resposta a incidentes de segurança da informação e violações de dados pessoais, em conformidade com as melhores práticas e requisitos legais (ex: notificação de violações à ANPD e BACEN);
  • Coordenar as ações de resposta a incidentes, incluindo a investigação, contenção, erradicação e recuperação;
  • Buscar a melhoria contínua do SGSI e das práticas de segurança da informação e privacidade de dados, com base nos resultados de auditorias, incidentes de segurança, mudanças na legislação e nas melhores práticas do mercado.

2.3. Colaboradores, Terceiros, Fornecedores e demais partes interessadas pertinentes:

  • Cumprir as orientações desta política e demais políticas estabelecidas pela área de Segurança da Informação e Privacidade;
  • Zelar pela segurança das informações das empresas, informando quaisquer anormalidades percebidas na área de Segurança da Informação e Privacidade.

2.4. Segurança da Informação e Privacidade:

  • Estabelecer as diretrizes de segurança da informação e privacidade;
  • Conscientizar as partes interessadas pertinentes sobre a segurança da informação;
  • Identificar e reportar os riscos referentes à segurança das informações e Privacidade;
  • Estabelecer controles para mitigação dos riscos;
  • Manter e melhorar continuamente o sistema de gestão de segurança da informação;
  • Estabelecer as diretrizes da Política de Segurança da informação.

3. Diretrizes Gerais

Esta política demonstra nossa capacidade e integridade em lidar com todas as partes interessadas. Portanto, essa política assegura que:

  • As informações estão protegidas contra acesso não autorizado;
  • A confidencialidade da informação é mantida;
  • As informações não são divulgadas às entidades não autorizadas por meio de ações deliberadas ou descuidadas;
  • A integridade das informações é mantida para impedir modificações não autorizadas;
  • As informações estão disponíveis para usuários autorizados, quando necessário;
  • Sempre que ocorrer alterações legais, regulamentares, normativas e contratuais que impactem o negócio do Grupo Dotz, uma análise crítica é realizada a fim de que as adequações, se necessário, sejam realizadas;
  • Cada indivíduo tenha conhecimento adequado dos controles de gestão, dos controles operacionais e técnicos que ajudam a proteger os recursos e bens tecnológicos de informação do Grupo Dotz;
  • As metas e objetivos são divulgados para as partes interessadas envolvidas, para que cada indivíduo tenha uma compreensão adequada de seu papel e responsabilidade em relação à segurança da informação e privacidade e à missão do Grupo Dotz;
  • As políticas, procedimentos e práticas são comunicados às partes envolvidas do Grupo Dotz

3.1 Regulamentação

O Grupo Dotz e as partes interessadas envolvidas se comprometem a atender integralmente aos requisitos de segurança da informação e privacidade aplicáveis ou exigidos por regulamentações, estatutos, leis e/ou cláusulas contratuais.


3.4. Auditorias

Periodicamente, auditorias são realizadas para assegurar a eficácia do Sistema de Gestão de Segurança da Informação e Privacidade e de seus controles, bem como garantir a sua efetiva implementação e manutenção.


3.5. Continuidade de Negócios

O plano de continuidade de negócios é elaborado, mantido e testado periodicamente.
Os testes do plano de continuidade de negócios incluem a elaboração e simulação de cenários de incidentes cibernéticos, com foco primordial na garantia da continuidade dos serviços de pagamento e das operações críticas do Grupo Dotz.


3.6. Classificação da Informação

A DOTZ deverá fornecer aos seus colaboradores, por meio de um programa de disseminação da cultura de segurança, o conhecimento para garantir a segurança das informações.


3.7. Treinamento e Conscientização

O Grupo Dotz preza pelo fortalecimento da cultura e disseminação do conhecimento, para isso, possui implementado um programa que reforça e atualiza periodicamente tópicos relacionados à segurança da informação e Privacidade, bem como dispõe de treinamentos para todos os colaboradores e partes interessadas apropriadas.


3.8. Comunicação de Segurança Externa

O Grupo Dotz tem como responsabilidade comunicar os usuários finais dos produtos e serviços oferecidos sobre as melhores práticas e precauções de segurança cibernética, incluindo orientações para identificação de fraudes, proteção de credenciais e uso seguro da plataforma.


3.9. Tratamento de Incidentes

Os incidentes de segurança ocorridos no Grupo Dotz devem ser reportados para área de Segurança da Informação e Privacidade através do canal oficial da Companhia , sendo este o e-mail: [email protected] (Computer Security Incident Response Team).
Considera-se um incidente de Segurança da Informação qualquer evento de segurança da informação que tenha impacto no Grupo Dotz, levando à necessidade de resposta e recuperação. São exemplos eventos da seguinte natureza:

  • Indisponibilidade de sistemas;
  • Vazamento de informação;
  • Perda, roubo ou furto de equipamento contendo informações corporativas;
  • Mau funcionamento ou sobrecarga de sistema devido a ataques internos, ou externos;
  • Uso ou acesso aos sistemas de informação sem autorização;
  • Não conformidade com políticas e diretrizes de Segurança da Informação e Privacidade;
  • Desvio dos controles de Segurança da Informação implantados na Dotz;
  • Violação de acesso a áreas críticas contendo informações corporativas ou a sistemas.

Os incidentes devem ser registrados e priorizados conforme a classificação de impacto, criticidade e a análise da causa raiz (root cause analysis) para evitar recorrências, os quais são detalhados em procedimentos específicos e alinhados diretamente à relevância para as atividades operacionais da instituição. Dessa forma, é possível definir quando se faz necessário o acionamento do grupo de resposta a incidentes, que, por sua vez, deliberará quanto ao acionamento do plano de continuidade de negócios, essas ações de resposta visam controlar e mitigar os efeitos de incidentes relevantes nas atividades da Dotz, minimizando interrupções e perdas.

O Grupo Dotz abrange também o tratamento de incidentes de segurança da informação, incluindo a análise de causa e impacto que envolvam ou que forem reportados por fornecedores e parceiros de negócios, para que possa garantir a rastreabilidade e o controle eficaz dos efeitos em todas as interações.


3.10. Comunicação e Compartilhamento de Informações de Segurança

O Grupo Dotz realiza iniciativas de compartilhamento de informações sobre ameaças e incidentes com outras instituições do setor financeiro ou autoridades reguladoras, conforme o BACEN.

Conforme a regulamentação do Banco Central do Brasil (BACEN), o Grupo Dotz se compromete a comunicar proativamente a contratação ou alteração de serviços de processamento, armazenamento de dados e computação em nuvem.


3.11. Segurança da Informação no Gerenciamento de Projetos

A Segurança da Informação é integrante participativa do planejamento, execução e entrega de qualquer projeto especial ou de rotina, que altere o padrão da infraestrutura ou ainda no desenvolvimento de aplicações no ambiente do Grupo Dotz.

Um dos papéis mais relevantes neste aspecto é avaliar os requisitos ou as necessidades solicitadas, a fim de verificar a conformidade com os objetivos e diretrizes da Segurança da Informação, bem como se estão sendo contempladas em todas as fases dos projetos.

Ademais, a Segurança da Informação é responsável por avaliar e identificar os riscos e propor a melhor solução, visando atender os objetivos da Segurança da Informação e Privacidade, bem como os objetivos do projeto e/ou negócio.


3.12. Controles de SI para redução de incidentes e vulnerabilidades

3.12.1. Autenticação

Implementação de mecanismos robustos de autenticação, utilizando as melhores tecnologias atuais disponíveis, para garantir o acesso seguro aos sistemas.

3.12.2. Criptografia

Utilização de criptografia para proteger dados em trânsito e em repouso, assegurando a confidencialidade das informações.

3.12.3. Prevenção e detecção de intrusão

Implementação de sistemas de prevenção e detecção de intrusão para monitorar e proteger a rede contra atividades maliciosas.

3.12.4. Prevenção de vazamento de informações

Adoção de medidas para prevenir o vazamento de dados, incluindo monitoramento de canais de saída e políticas para dispositivos removíveis.

3.12.5. Testes e varreduras de vulnerabilidades

Realização periódica de testes, varreduras de vulnerabilidades e avaliação de segurança (pentest) para identificar e corrigir falhas de segurança.

3.12.6. Proteção contra softwares maliciosos

EDR (Endpoint Detection and Response) soluções avançadas que monitoram continuamente atividades em endpoints (computadores, servidores, dispositivos móveis), detectam comportamentos anômalos e respondem a ameaças em tempo real, indo além das capacidades de um antivírus tradicional.

3.12.7. Controles específicos para rastreabilidade da informação

Implementação de controles específicos voltados para a rastreabilidade da informação ao longo de seu ciclo de vida, garantindo a identificação clara de acessos, modificações e movimentações, de acordo com norma interna específica sobre gestão de logs.

3.12.8. Controle de Acesso e Segmentação de Rede

Implementação de controles de acesso e segmentação da rede para limitar o acesso não autorizado e conter a propagação de incidentes.

3.12.9. Cópias de Segurança

Cópias de informações, configuração de softwares e sistemas devem ser mantidas e testadas regularmente, de acordo com norma internas políticas específicas sobre backup, permitindo a recuperação de dados ou sistemas, se necessário. Para prevenir o vazamento de dados, devem ser usadas medidas como criptografia, controle de acesso e proteção física da mídia de armazenamento, quando aplicável.

3.13. Desenvolvimento Seguro de Sistemas

O desenvolvimento seguro é um requisito fundamental para a construção de serviços, arquiteturas, softwares e sistemas seguros no Grupo Dotz. Para alcançar esse objetivo, os seguintes aspectos devem ser considerados, com foco na integração de Privacy by Design e Privacy by Default:

  • Separação dos ambientes de desenvolvimento, teste e produção;
  • Observância do Ciclo de Vida de Desenvolvimento Seguro (SDLC):
    • Requisitos de Segurança e Privacidade na Fase de Especificação e Design: Incorporar requisitos de segurança e privacidade desde a concepção do projeto, aplicando os princípios de Privacy by Design, incluindo, sempre que possível, a minimização da coleta de dados, anonimização e pseudo-anonimização.
    • Pontos de Verificação de Segurança e Privacidade: Implementar pontos de verificação regulares em projetos para garantir a conformidade com os requisitos de segurança e privacidade.
    • Controle de Versão Seguro: Garantir a segurança no controle de versão, prevenindo alterações não autorizadas.
    • Treinamento e Conscientização: Fornecer treinamento contínuo em segurança de aplicações e privacidade para desenvolvedores, capacitando-os para prevenir, detectar e corrigir vulnerabilidades.
    • Privacy by Default: Implementar configurações de privacidade padrão que garantam a proteção dos dados dos usuários, exigindo ações explícitas para alterar essas configurações.
  • Testes de Sistemas com Proteção de Dados:
    • Evitar a cópia de informações sensíveis para ambientes de desenvolvimento e teste, a menos que controles de segurança e privacidade robustos sejam implementados.
    • Proteger informações sensíveis por meio de remoção ou mascaramento, quando utilizadas para testes.
  • Desenvolvimento Terceirizado:
    • Garantir que fornecedores terceirizados cumpram rigorosamente as políticas de desenvolvimento seguro e privacidade do Grupo Dotz.

Realizar auditorias regulares nos fornecedores para garantir a conformidade com as regras do Grupo Dotz.

3.14. Segurança nas comunicações

Todas as comunicações entre os ambientes tecnológicos do Grupo Dotz e as partes interessadas pertinentes devem utilizar canais de comunicações criptografados, utilizando cifras e algoritmos reconhecidamente seguros.

3.15. Proteção e Privacidade de Dados Pessoais

O Grupo Dotz demonstra seu comprometimento com a proteção e privacidade de dados e determina as diretrizes por meio da Política de Privacidade Externa, disponível em: https://privacidade.dotz.com.br/politica-de-privacidade.

3.16. Análise Crítica de Segurança da Informação

Anualmente, ou sempre que houver uma mudança significativa no modelo de negócio, a política de segurança da informação deve ser submetida a um processo formal de análise crítica, visando identificar as adequações necessárias.

3.17. Melhoria Contínua

A melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade é um compromisso de todos no Grupo Dotz e partes interessadas.

O Grupo Dotz possui o compromisso de adaptação contínua de suas estruturas organizacionais para atender as diretrizes da política de Segurança da Informação, visando a melhoria contínua dos nossos processos e nossas defesas.

4.DISPOSIÇÕES FINAIS

Qualquer exceção às regras estabelecidas na Política de Segurança da Informação e na Política Privacidade e suas políticas complementares deve ser direcionada à equipe de Segurança da Informação para análise do risco, seu registro, e envio para a deliberação da alçada competente e/ou Comitê de Segurança da Informação e Privacidade Dados.

O colaborador que fizer uso indevido ou não autorizado dos recursos das empresas, violar o controle de segurança, ou agir de qualquer modo que infrinja os termos dessa política, ficará sujeito à aplicação de medidas disciplinares legalmente previstas, podendo haver responsabilização penal, civil e/ou administrativa, na forma da legislação em vigor.

5. ANEXO

Não se aplica


Data da última atualização 31/07/2025