Políticas Maxxii AgroPay
BEM-VINDO ÀS POLÍTICAS E REGRAS DA MAXXII AGROPAY !
É um prazer ter você aqui e explicar um pouco como é importante e quais as Regras e Diretrizes em relação as operações e informações dos clientes, e as atividades adotadas pela Maxxii para que tenhamos um fluxo de operações dentro da maior segurança nas transações e cuidados com as informações tratadas.
Caso você tenha alguma informação postada que não esteja clara, entre em contato com a gente que será um prazer atendê-los pelo site: contato@maxxiiagrobank, ou em nosso formulário de contato.
RELAÇÃO DE POLÍTICAS ::
Política de Privacidade e Cookies | LGPD
Política de Segurança a Informação - PSI
Política de PLD/FT e Segurança da Informação
Termo de Uso
Código de Ética
Política de Privacidade e Cookies | LGPD ::
Classificação da Informação:
( x ) Público ( ) Interno ( ) Confidencial ( ) Restrito
Área Responsável:
Compliance
Versãol:
01
Aprovação:
Diretor de Compliance
Data de Emissão:
01/06/2026
Esta Política refere-se especificamente ao nosso comprometimento e atividades em relação a informações tão importante que são seus Dados Pessoais, de como os tratamos, protegemos e utilizamos de forma responsável, seja ele um usuário normal, cliente ou parceiro.
Também, alguns pontos que devem ser observados com atenção, mas não se preocupe! Caso tenham alguma dúvida, sugestão ou relatar um problema, entre diretamente conosco pelo dpo@maxxiiagropay.com.br que teremos um enorme prazer em conversar. Vamos la !
Vale destacar que esta Política de Privacidade e suas diretrizes, estão vinculadas a Política de Segurança Cibernética - PSI, acima.
Colhimento automático de dados
Para sua tranquilidade, esclarecemos que não há coleta automática de dados pessoais sem o seu expresso consentimento.
As informações coletadas de forma automática, que são geralmente armazenadas no seu navegador via cookies, não permitem a sua identificação direta. É importante notar que a desativação desses cookies pode afetar sua experiência de navegação em nosso site.
Para fins de conformidade com a legislação vigente, informamos que dados de acesso são coletados automaticamente e armazenados de forma segura nos registros.
Categoria de Tipo de Dados Colhidos.
Coletamos informações em três categorias: aquelas que você nos fornece diretamente, as que são obtidas automaticamente durante o uso dos Serviços e dados provenientes de outras fontes.
Informações Fornecidas por Você
Coletamos dados que você nos concede ao interagir com canais como Ouvidoria e Área Comercial, ou ao preencher formulários de contato. Estes podem incluir:
-
Dados de contato (como nome, detalhes da empresa, e-mail, telefone, endereço para correspondência e país de residência).
-
Comunicações enviadas (como mensagens via formulário ou Ouvidoria).
-
Informações adicionais fornecidas (como respostas a pesquisas ou feedback).
A não disponibilização de certas informações é opcional, mas pode, por consequência, impedir seu registro ou acesso completo aos nossos Serviços.
Coleta Automática de Informações.
Ao utilizar nossos Serviços, coletamos automaticamente dados sobre seu navegador, dispositivo e padrões de uso. Esta coleta inclui: endereço de IP, localização aproximada, atividade no site (visualizações e recursos utilizados), tipo de dispositivo/navegador/sistema operacional, página de origem, preferências de localidade, operadora de celular, registros de data/hora e metadados de arquivos. Parte dessa coleta é realizada por meio de cookies e tecnologias similares. Para mais detalhes e opções de gerenciamento, consulte a seção “Seus Direitos como Titular de Dados”.
Informações de Outras Fontes
Podemos obter dados sobre você de fontes disponíveis publicamente ou comercialmente, conforme permitido pela legislação, incluindo diretórios, mídias sociais, anunciantes, parceiros de negócios e Clientes.
Como Suas Informações São Compartilhadas
O compartilhamento de suas informações é realizado estritamente nas seguintes situações:
-
Internamente: Com empresas do nosso time da MAXXII AGROPAY e colaboradores, visando a execução e gestão eficazes dos Serviços.
-
Provedores de Serviços: Com terceiros que nos auxiliam na operação do negócio e na prestação dos Serviços (como processamento de pagamentos, hospedagem, segurança, análises, legal/fiscal). Esses provedores são contratualmente obrigados a aderir a esta Política, utilizando seus dados apenas para a finalidade determinada.
-
Parceiros de Marketing: Para a comunicação de publicidade e materiais promocionais direcionados.
-
Obrigações Legais: Em cooperação de boa-fé com autoridades governamentais e policiais, quando exigido ou permitido por lei, ou para proteger os direitos, segurança e propriedade da empresa e de terceiros.
-
Transações Corporativas: Em caso de fusão, aquisição, reorganização ou venda de ativos, sendo que o cessionário assumirá as obrigações e direitos previstos nesta Política.
-
Com Seu Consentimento: Mediante sua autorização prévia e específica.
Nota: Se você optar por compartilhar informações publicamente nos Serviços (ex: comentários), elas estarão acessíveis a qualquer pessoa que as visualize.
Seus Direitos como Titular de Dados
Você tem o direito de solicitar a qualquer momento:
-
Confirmação e Acesso: Receber confirmação de que seus dados estão sendo processados e acessar os dados pessoais armazenados.
-
Portabilidade: Obter uma cópia dos dados que você nos forneceu, em formato estruturado e legível por máquina.
-
Retificação: Solicitar a correção de dados incompletos, desatualizados ou incorretos.
-
Exclusão: Requisitar a eliminação de seus dados pessoais.
-
Oposição: Negar o processamento de seus dados pessoais.
-
Restrição: Solicitar a limitação do processamento de seus dados.
-
Reclamação: Apresentar uma reclamação junto à autoridades da MAXXII AGROPAY para uma revisão e tomada de decisão.
Base Legal para o Tratamento de Dados
Utilizamos seus dados em estrita conformidade com as bases legais definidas na legislação, tais como:
-
Cumprimento de obrigações legais (incluindo as regulamentações do Banco Central).
-
Execução do contrato e prestação dos Serviços.
-
Atendimento ao legítimo interesse do controlador ou de terceiros.
-
Seu consentimento.
Retenção de Dados
Reteremos suas Informações Pessoais pelo período estritamente necessário para a prestação dos Serviços, cumprimento de obrigações legais, resolução de disputas e aplicação de políticas. Os períodos são definidos considerando o tipo e a finalidade da coleta, visando o descarte de informações não utilizadas em tempo hábil.
COOKIES
Uso de Cookies e Tecnologias Similares
Nós e nossos parceiros utilizamos cookies — pequenos arquivos alocados em seu dispositivo — e outras tecnologias para otimizar sua experiência. Eles são utilizados para facilitar a navegação, ativar recursos automáticos, lembrar preferências, ajudar a exibir anúncios relevantes e compilar dados estatísticos (incluindo via Google Analytics).
Os cookies utilizados incluem:
De sessão (excluídos ao fechar o navegador), persistentes (salvos para reconhecer visitas recorrentes) e de terceiros (definidos por serviços externos de análise).
Você pode remover os cookies nas configurações do seu dispositivo, mas alertamos que a desativação pode limitar a funcionalidade do nosso Site e impactar sua experiência online.
Nota sobre Terceiros: Esta Política não se aplica a sites ou partes externas. Encorajamos a leitura das políticas de privacidade de todas as partes a quem você divulga informações.
Segurança e Transferência de Dados
Adotamos as melhores práticas globais de segurança da informação, utilizando fornecedores de qualidade reconhecida e ambientes configurados para a máxima proteção de seus dados.
O armazenamento de dados pessoais é prioritariamente realizado em território nacional. Caso haja necessidade de transferência internacional, esta é feita exclusivamente para países com regulamentação de proteção de dados compatível, garantindo um nível adequado de segurança.
Comunicações de Marketing
Podemos utilizar seus dados de contato (nome, e-mail, telefone) para enviar materiais promocionais sobre nossos serviços. Respeitando seu direito à privacidade, todas as comunicações contêm um meio claro para que você possa cancelar o recebimento dessas ofertas (opt-out).
Privacidade de Menores
Nosso Site não é direcionado a crianças. Não permitimos o uso de nossos serviços por menores sem a autorização prévia dos pais ou responsável legal. Caso um responsável descubra que seu filho forneceu dados sem consentimento, solicitamos contato imediato através do e-mail dpo@maxxiiagropay.com.br.
Atualizações da Política de Privacidade
Reservamo-nos o direito de modificar esta Política periodicamente. Alterações significativas entrarão em vigor imediatamente após a publicação da versão revisada no Site. Seu uso contínuo da Plataforma após o aviso constitui aceitação e consentimento com os novos termos.
Como Falar Conosco
Para exercer seus direitos como titular de dados ou para quaisquer questões relacionadas a esta Política, as solicitações devem ser enviadas ao nosso DPO (Data Protection Officer) pelo e-mail: dpo@maxxiiagropaypay.com.br. O prazo de resposta é de até 10 dias.
Informações de Contato
MAXXII AGROPAYAY – Instituição de Pagamento Ltda.
Av. Paulista, 1900 - 6 andar.
São Paulo - SP
+55 51 3373-5650
DPO
Patrícia Zillig
+55 11 9 4031 8419
Política de Segurança a Informação - PSI ::
Classificação da Informação:
( x ) Público ( ) Interno ( ) Confidencial ( ) Restrito
Área Responsável:
Tecnologia da Informação
Versãol:
01
Aprovação:
Diretoria Executiva
Data de Emissão:
01/06/2026
1.INTRODUÇÃO
A seguir, a Política de Segurança da Informação (PSI) para MAXXII PAY, que atua exclusivamente como prestadora de serviços de Banking as a Service (BaaS), com diretrizes focadas em segurança, conformidade regulatória do Banco Central do Brasil (BCB) e padrões de mercado.
2.OBJETIVO DA POLÍTICA
Estabelecer as diretrizes e responsabilidades relacionados à Segurança Cibernética e instituí-las para proteger a informação e os ativos tecnológicos da Instituição MAXXII PAY Soluções em Pagamentos Ltda, garantindo a Confidencialidade, a Integridade, a Disponibilidade e a Autenticidade dos dados e sistemas que suportam a operação de Banking as a Service (BaaS) por meio de Conta Digital, fornecimento de APIs. A Política visa garantir a confidencialidade, integridade e disponibilidade das informações, assegurando o seu uso adequado e a mitigação de riscos à segurança da informação, bem como o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e de outras normas vigentes.
3.BASE LEGAL E REGULATÓRIA
Resolução BCB Nº 85, de 8 de abril de 2021: Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
4.REGULAMENTAÇÃO RELACIONADA
- Política de Privacidade | LGPD
5.DESTINATÁRIOS
Esta Política se aplica a todos os ativos de informação da MAXXII Pay Soluções em Pagamentos Ltda, incluindo dados, sistemas, aplicativos, dispositivos e redes.
Esta Política se aplica a:
•Toda a força de trabalho da Maxxii Pay, incluindo colaboradores, estagiários, terceiros, parceiros, prestadores de serviços e todos que tenham relacionamento profissional junto a instituição.
•Todos os ativos de informação, sistemas, redes, APIs e processos, em qualquer forma (física ou eletrônica), que armazenem, transmitam ou processem dados críticos da IP e de seus clientes (Entidades Tomadoras e Clientes BaaS).
6.TERMOS E DEFINIÇÕES
Glossário:
A fim de uma melhor clareza em relação aos termos utilizados nesta Política e seguindo as referências e definições apresentadas no Art. 5 da LGPD, além da PORTARIA GSI/PRNº 93, DE 18 DE OUTUBRO DE 2021 – Glossário de Segurança da Informação do Gabinete de Segurança Institucional da PRESIDÊNCIA DA REPÚBLICA, segue alguns termos e suas respectivas definições:
INCIDENTE RELVANTE: eventos que comprometem a confidencialidade, integridade ou disponibilidade de dados em sistemas de informação.
CRIPTOGRAFIA: a criptografia é o processo de proteger informações ou dados usando modelos matemáticos para embaralhá-los de modo que apenas as partes que têm a chave para decifrar possam acessá-lo.
CRISE: evento que sucede um incidente de segurança com repercussões graves que afetam diretamente as operações da organização, a sua reputação e, possivelmente, a sua sobrevivência.
CONFIDENCIALIDADE: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados;
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
DISPONIBILIDADE: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;
INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
INTEGRIDADE: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
SEGURANÇA DA INFORMAÇÃO: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
TITULAR DO DADO: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
7.DIRETRIZES
A MAXXII PAY de modo a cumprir com a regulação vigente, por meio de sua área de Tecnologia da Informação, deve implementar e manter a presente Política compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio, de forma a assegurar o efetivo gerenciamento do seu risco de conformidade.
7.1 DADOS PESSOAIS:
A MAXXII PAY possui a “Política de Privacidade” que define os procedimentos e controles relativos à coleta, processamento, proteção e compartilhamento de informações pessoais, respeitando os direitos de privacidade, à intimidade, honra, e outros direitos reservados ao titular dos dados, seguindo as leis e regulamentações de proteção de dados aplicáveis.
7.2 DESENVOLVIMENTO DE APLICAÇÕES E SISTEMAS: A MAXXII PAY possui princípios que garante o desenvolvimento seguro de aplicações e sistemas, cujos procedimentos seguem as boas práticas de mercado, como segregações de função, testes, homologação, e gestão de mudanças, garantindo que a segurança da informação esteja projetada e implementada no ciclo de vida do desenvolvimento dos sistemas de informação.
7.3 PROCESSAMENTO, ARMAZENAMENTO DE DADOS E COMPUTAÇÃO EM NUVEM:
As contratações de serviços de terceiros para o processamento e armazenamento de dados, e de computação na nuvem seguem todos os requisitos de segurança, avaliando a relevância do serviço contratado, criticidade, e a sensibilidade dos dados e das informações a serem processadas, armazenadas e gerenciados pelo serviço.Todos os prestadores deste tipo de serviço que são contratados pela MAXXII PAY passam por uma rígida avaliação de sua capacidade, garantindo sua conformidade (com a legislação e regulamentação em vigor, com as certificações exigidas e com os critérios de qualidade desejados), confidencialidade, integridade, disponibilidade e capacidade de recuperação. Estes prestadores garantem o acesso da MAXXII PAY, sempre que solicitado, aos seus relatórios de auditoria e as evidências dos controles de identificação e segregação dos dados.Toda nova contratação relevante, ou alteração contratual, de serviços de processamento e/ou armazenamento de dados na nuvem por parte da MAXXII PAY são comunicadas ao Banco Central do Brasil no prazo de até 10 dias após a contratação do serviço, contendo minimamente as seguintes informações: nome da empresa contratada, serviços contratados, e indicação dos países e regiões onde os serviços poderão ser prestados e os dados poderão ser processados, armazenados e gerenciados. Caso a operação do serviço contratado seja no exterior, deve ser verificada a existência de um convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados. No caso da inexistência de um convênio, deve ser solicitada a autorização para uso do serviço diretamente com o Banco Central do Brasil com no mínimo 60 dias de antecedência.Antes da assinatura do contrato com o prestador de serviços, deve ser definido quais são os países e as regiões dos países que podem ser utilizadas para processamento e armazenamento das informações, certificando que todos os requisitos estão sendo cumpridos. A MAXXII PAY mantém a disposição do Banco Central, por ao menos cinco anos, as informações contratuais e todos os documentos relativos ao contrato de prestação de serviços.
7.4 CÓPIAS DE SEGURANÇA (BACKUP):
A MAXXII PAY conta com documento específico a respeito das cópias de segurança, intitulado “Norma de Cópia de Segurança (Backup)”, onde são definidos os requisitos da organização para as cópias de segurança das informações, dos softwares e dos sistemas. A Instituição mantém o registro completo e exato das cópias de segurança, provendo documentação apropriada sobre os procedimentos de restauração da informação.
7.5 PROCESSO DE AUTENTICAÇÃO:
As regras relacionadas à configuração de senha são determinadas pela Área de Segurança da Informação, que adota os requisitos mínimos em conformidade com o definido pelo Órgão Regulador.Os colaboradores e terceiros contratados são responsáveis pela confidencialidade de suas respectivas senhas, lembrando que elas são individuais e intransferíveis. O padrão de configuração está descrito e publicado na documentação sobre Segurança da Informação elaborada e emitida pela MAXXII PAY.
7.6 CRIPTOGRAFIA – PROTEÇÃO DE CONTEÚDO:
A (s) chave (s) criptográfica (s) adotada (s), internamente, propõem a proteção de todos os conteúdos transmitidos, via VPN, evitando a interceptação por parte de cibercriminosos, hackers e espiões, bem como garantem a confidencialidade das mesmas contra-ataques ativos e passivos e, também, a autenticação de origem e destino, característica obrigatória de um protocolo confiável para distribuição de chaves.A Instituição utiliza mecanismo (s) de segurança e privacidade definidos conforme a documentação interna elaborada pela MAXXII PAY.
7.7 PREVENÇÃO E A DETECÇÃO DE INTRUSÃO:
A segurança cibernética é uma prioridade fundamental para nossa organização, e estamos empenhados em proteger nossos ativos digitais contra ameaças em constante evolução. Para fortalecer nossa postura de segurança, implementamos uma ampla gama de ferramentas avançadas de prevenção e detecção de intrusões. Essas ferramentas trabalham em conjunto para identificar, mitigar e responder prontamente a possíveis ameaças cibernéticas.Nossa infraestrutura de segurança abrange as seguintes soluções e práticas essenciais:
- Segurança de borda: Utilizamos tecnologia WAF que atua como uma barreira entre a aplicação web e os usuários que acessam seus serviços. Ele analisa o tráfego HTTP/HTTPS em tempo real, identificando e bloqueando padrões maliciosos de comportamento, como injeção de SQL, cross-site scripting (XSS), exploração de vulnerabilidades conhecidas (OWASP Top 10), entre outros ataques comuns.
- Monitoramento ativo: Utilizamos uma solução que nos permite acompanhar, em tempo real, a atividade dos nossos sistemas, redes, aplicações e usuários, com o objetivo de identificar comportamentos suspeitos, acessos não autorizados, falhas críticas e possíveis vetores de ataque.
- Atualizações de segurança nos sistemas operacionais e softwares: Mantemos nossos sistemas operacionais e softwares atualizados com as últimas correções de segurança e patches fornecidos pelos respectivos fornecedores. Essas atualizações garantem que nossos sistemas estejam protegidos contra vulnerabilidades conhecidas e exploits comuns;
- Logs de auditoria: São registros específicos voltados para acompanhar eventos relevantes do ponto de vista de integridade e segurança da informação como autenticações, alterações de permissões, modificações em dados sensíveis, acessos administrativos, tentativas de acesso negadas, entre outros. Todas as ferramentas e práticas mencionadas são complementadas por uma abordagem proativa de monitoramento, análise e resposta a incidentes de segurança. Também conduzimos regularmente avaliações de segurança, testes de penetração e auditorias internas para garantir a eficácia de nossas medidas de prevenção e detecção de intrusões. Estamos comprometidos em manter um ambiente cibernético seguro e em constante aprimoramento, protegendo nossos ativos e informações confidenciais contra ameaças em constante evolução.
7.8 MECANISMOS DE RASTREABILIDADE:
Tendo como processo extremamente importante para o bom funcionamento das operações e negócios, os sistemas utilizados pela Instituição possuem dados e fatos organizados, ou seja, possuem o registro das ações realizadas, bem como dispõem a capacidade de identificar de onde vem cada um dos registros, alertas e problemas de uma determinada área.
7.9 FORMALIZAÇAO E CONTROLES:
7.9.1 GESTÃO DE INCIDENTES CIBERNÉTICOS
Para a Instituição, um incidente de segurança cibernética é definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação levando a perda de um ou mais princípios básicos de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.
Devem ser considerados incidentes de segurança cibernética relevantes os que afetam os processos críticos de negócios, dados ou informações sensíveis que tenham impacto significativo sobre os clientes.Entre os Tipos de Ataques de Incidentes Cibernéticos, estão:
- Ataques por vírus/worms;
- Violação de dados resultando em perdas de dados de clientes e/ou daInstituição;
- Perda de dados devido a problemas de sistemas;
- Ataque de phishing baseado em e-mail;
- Exclusão de dados por parte de um administrador malicioso;
- Alteração dos dados do cliente;
- Exclusão ou corrupção de dados;
- Violação de dados resultando em perda de IP / dados sigilosos;
- Ataque de negação de serviço (DoS);
- Roubo de dados de clientes e/ou da Instituição;
- Roubo de dados sigilosos, entre outros.
Os registros dos incidentes de segurança cibernética, os planos de ações e de resposta, bem como o relatório anual, devem ser executados por meio de sistemas internos e diretórios próprios da MAXXII PAY. Esse processo deve ser registrado de forma ágil e clara, visando a documentação do apontamento e da resolução da falha detectada.
O Sistema utilizado para registro e guarda dos documentos visa garantir o atendimento às exigências descritas na Resolução BCB Nº 85, de 8 de abril de 2021.
Visando a priorização para a resolução de incidentes, devem ser utilizados os critérios estabelecidos na Matriz de Prioridades (modelo abaixo).
Para cada incidente registrado deve ser analisada e definida a respectiva “Priorização /Gravidade”, se o incidente for extremamente grave, urgentíssimo e com altíssima tendência a piorar com o tempo, o mesmo deve receber a pontuação conforme descrito a seguir:
7.9.2 DADOS SENSÍVEIS
MAXXII PAY segue o conceito determinado pelo Órgão Regulador referente a classificação dos dados e informações sensíveis, sendo no mínimo, dados cadastrais e demais informações que permitam a identificação de clientes, suas operações e posições de custódia.
A Área de Segurança da Informação executa procedimentos internos visando o tratamento e controle de dados de clientes e outros dados/informações classificados como sensíveis, abrangendo, no mínimo:
- Proteção das informações de cadastro e de operações realizadas pelo cliente contra acesso, ou destruição, não autorizado, vazamento ou adulteração;
- Concessão e administração de acessos individualizados a sistemas, bases de dados e redes; e
- Segregação de dados e controle de acesso, de forma a prevenir o risco de acesso não autorizado, de adulteração ou de mau uso das informações.
7.10 COMUNICAÇÃO URGENTE AO BANCO CENTRAL
Conforme a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, deve ser realizada a comunicação tempestiva ao Banco Central das ocorrências de incidentes relevantes e das interrupções de serviços relevantes (incidentes e serviços: somente os que configuram uma situação de crise pela Instituição) bem como das providências para reinício das atividades. É imprescindível que esse tipo de situação seja, também, devidamente registrado internamente pela Instituição.
7.11 PROTEÇÃO E REVISÃO DE REGISTRO DE EVENTOS (LOGS)
Os sistemas utilitários como gerenciador de banco de dados e outras ferramentas de gestão de rede, especialmente as que acessam dados em Produção, geram o Registro de Transações, é fundamental que os logs gerados sejam protegidos de alteração e deleção.
Para manuseio, troca e armazenamento de dados não deve ser permitido ao colaborador a extração indevida de informações, sem que seja formalizado um pedido, e aprovado pela Diretoria Executiva - CTO. Exceções devem ser deliberadas, somente, pela Diretoria Executiva – CTO.
7.12 ELIMINAÇÃO DE DADOS DE MÍDIA
As mídias de armazenamento permanente ou temporário de informações devem ter tratamento seguro para as situações de descarte, visando proteger a Instituição de exposição não autorizada de informações. Para mais informações sobre o tema, verificar a Política de Segurança da Informação.
7.13 RELATÓRIO – REGISTRO DE RESPOSTAS A INCIDENTES
A Gerência de Segurança da Informação deve preencher o relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro. É imprescindível a apresentação do respectivo relatório, à Diretoria Executiva, até 31 de março do ano seguinte ao da data-base. O relatório supracitado deve, obrigatoriamente, ser arquivado pelo período mínimo de 5 (cinco) anos e ser disponibilizado no site da MAXXII PAY.
8.RESPONSÁBILIDADES
8.1 DIRETORIA EXECUTIVA
- Indicar Diretor Responsável pela Segurança Cibernética perante o Banco Central do Brasil;
- Assegurar a disseminação das diretrizes da presente Política;
- Garantir que medidas corretivas sejam tomadas quando falhas de conformidade foremidentificadas;
8.2 TECNOLOGIA DA INFORMAÇÃO – T.I. – 1ª LINHA DE DEFESA
- Elaborar relatório, com periodicidade mínima anual, contendo ações implementadas e incidentes ocorridos no período;
- Disseminar esta Política, bem como a cultura da segurança cibernética em todas as áreas da MAXXII PAY;
- Cumprir as diretrizes estabelecidas nesta Política, por meio de processos e atividades compatíveis com a estrutura e complexidade da MAXXII PAY;
- Manter a documentação de todos os processos em diretório interno, organizados por atividade, processos, incidente passíveis de fácil localização do tratamento e histórico;
- Comunicar o Banco Central do Brasil, quando da contratação de serviços relevantes de armazenamento e dados na nuvem.
8.3 COMPLIANCE (2ª LINHA DE DEFESA)
- Avaliar a conformidade regulatória por meio de verificações de implementação de normas externas e elaboração/revisão de políticas junto à Tecnologia da Informação;
- Relatar sistemática e tempestivamente os resultados das atividades relacionadas com afunção de conformidade à Diretoria Executiva.
8.4 AUDITORIA INTERNA (3ª LINHA DE DEFESA)
- Verificar a atuação da 1ª e 2ª linha de defesa, garantindo a conformidade da empresa àsexigências legais e regulamentares.Elaborado por:Revisado por:AlteraçõesData:Cássio MarquesDiretoria ExecutivaVersão 01/202601/06/2026
Elaborado por:
Cássio Marques
Revisado por:
Diretoria Executiva
Alterações:
Versão 1
Data de Emissão:
01/06/2026