PrêmiosBenefíciosIntegraçõesTaxasAplicativoCompareF.A.Q
Entrar
Criar Conta
PrêmiosBenefíciosIntegraçõesTaxasAplicativoCompareF.A.Q
EntrarCriar Conta
← Voltar ao início

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA

Última atualização: 21/10/2025

1. OBJETIVO

A presente Política tem por finalidade estabelecer princípios, diretrizes e controles destinados à proteção dos ativos de informação e infraestrutura tecnológica da Creedx Tecnologia Ltda, assegurando a confidencialidade, a integridade e a disponibilidade dos dados, bem como a conformidade com as normas legais e regulatórias aplicáveis, incluindo a Lei nº 12.965/2014 (Marco Civil da Internet) e a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

2. ABRANGÊNCIA

Esta Política aplica-se a todos os colaboradores, prestadores de serviços, parceiros comerciais, fornecedores e quaisquer terceiros que, direta ou indiretamente, tenham acesso às informações, sistemas, redes ou recursos tecnológicos da Creedx, independentemente do meio de acesso ou do vínculo contratual.

3. PRINCÍPIOS FUNDAMENTAIS

A segurança da informação na Creedx é orientada pelos seguintes princípios:

  • Confidencialidade: as informações devem ser acessadas apenas por pessoas devidamente autorizadas.
  • Integridade: deve ser preservada a exatidão, completude e confiabilidade das informações.
  • Disponibilidade: os dados e sistemas devem estar acessíveis sempre que necessário ao desempenho das atividades corporativas.
  • Autenticidade e Responsabilidade: cada ação ou transação eletrônica deve ser rastreável e atribuível ao respectivo responsável.

4. GOVERNANÇA E RESPONSABILIDADES

  • Alta Administração: responsável pela aprovação, monitoramento e revisão desta Política, garantindo sua integração à cultura corporativa.
  • Setor de Compliance e Segurança da Informação: encarregado da implementação, atualização, fiscalização e comunicação das diretrizes aqui estabelecidas.
  • Colaboradores e Terceiros: obrigados a cumprir integralmente as disposições desta Política e a reportar imediatamente qualquer evento que represente risco, falha ou violação de segurança.

5. CLASSIFICAÇÃO E CONTROLE DA INFORMAÇÃO

As informações sob custódia da Creedx são classificadas conforme seu grau de sensibilidade e criticidade, devendo ser tratadas de acordo com os níveis de proteção correspondentes:

  • Informações Públicas: de livre acesso, cuja divulgação não gera impacto à empresa, como comunicados e materiais institucionais.
  • Informações Internas: restritas a colaboradores e parceiros previamente autorizados, como manuais e relatórios administrativos.
  • Informações Confidenciais: sujeitas a rigoroso controle de acesso e medidas técnicas de segurança, como dados pessoais, financeiros, contratuais e registros de transações.

Todos os dados devem ser armazenados e processados em conformidade com o nível de classificação, mediante segregação de acessos, registros de auditoria e políticas de retenção e descarte seguro.

6. SEGURANÇA LÓGICA E CIBERNÉTICA

A Creedx adota práticas de segurança baseadas em padrões reconhecidos internacionalmente, como a norma ISO/IEC 27001, incluindo medidas técnicas e administrativas destinadas a prevenir e mitigar riscos.

São empregados mecanismos de criptografia de ponta a ponta, autenticação multifator (MFA), firewalls, sistemas antivírus e antimalware, monitoramento contínuo de rede e testes periódicos de vulnerabilidade.

Backups criptografados são realizados de forma sistemática, armazenados em ambientes seguros e testados regularmente para garantir a integridade e a disponibilidade dos dados.

O acesso lógico aos sistemas é concedido conforme o princípio do menor privilégio e revisado periodicamente. Todas as atividades relevantes são registradas em logs de auditoria protegidos contra alteração ou exclusão não autorizada.

7. SEGURANÇA FÍSICA E AMBIENTAL

O acesso físico a instalações, data centers e equipamentos da Creedx é restrito a pessoas devidamente autorizadas e monitorado por sistemas de controle de entrada e videovigilância.

Equipamentos críticos são mantidos em áreas seguras, com proteção contra incêndio, umidade e variações elétricas. Documentos físicos confidenciais são armazenados em locais trancados e descartados mediante procedimentos de destruição segura.

8. GESTÃO DE ACESSOS E IDENTIDADES

Cada usuário possui credenciais únicas, intransferíveis e protegidas por mecanismos de autenticação robustos.

O acesso a sistemas e dados é concedido de acordo com a necessidade funcional e imediatamente revogado em casos de desligamento, alteração de função ou término de contrato.

O controle de identidades é revisado periodicamente pela área de Compliance e TI, assegurando que somente usuários ativos e autorizados mantenham acesso aos ambientes corporativos.

9. CONFIDENCIALIDADE E SIGILO PROFISSIONAL

Todos os colaboradores, parceiros comerciais e prestadores de serviço da Creedx firmarão termos de confidencialidade específicos, comprometendo-se a manter absoluto sigilo sobre quaisquer informações, dados pessoais, registros técnicos, credenciais, códigos, documentos, contratos ou comunicações a que tiverem acesso em razão de suas funções ou vínculo com a empresa.

O dever de sigilo subsiste mesmo após o encerramento do vínculo profissional ou contratual, sendo o descumprimento considerado falta grave e passível de responsabilização civil, administrativa e penal.

10. RESPOSTA A INCIDENTES E CONTINUIDADE DE NEGÓCIOS

Todo incidente de segurança cibernética, como invasão, vazamento, acesso indevido, perda ou corrupção de dados, deverá ser comunicado de forma imediata ao Comitê de Segurança da Informação, que procederá à análise e registro do evento.

Será instaurado processo interno de investigação técnica destinado à apuração das causas, avaliação dos impactos e adoção das medidas corretivas cabíveis, assegurando-se a rastreabilidade de todas as ações.

Caso o incidente envolva risco relevante aos titulares de dados, aos parceiros comerciais ou à integridade dos sistemas, serão observadas as obrigações legais de comunicação às autoridades competentes, inclusive à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central do Brasil e ao Conselho de Controle de Atividades Financeiras (COAF), quando aplicável.

A Creedx mantém um Plano de Continuidade de Negócios (PCN) destinado a garantir a rápida recuperação de dados e a restauração das operações críticas em até vinte e quatro horas após falhas graves, assegurando a mínima interrupção das atividades e a preservação da confiança dos usuários e parceiros.

11. PLANO DE RESPOSTA A INCIDENTES CIBERNÉTICOS (PRIC)

A Creedx mantém e atualiza periodicamente seu Plano de Resposta a Incidentes Cibernéticos (PRIC), documento complementar a esta Política, que define os procedimentos técnicos e administrativos para identificação, comunicação, contenção, análise e correção de incidentes de segurança.

O PRIC estabelece as responsabilidades do Comitê de Segurança da Informação, os prazos para comunicação interna e às autoridades competentes, e o modelo padrão de Relatório de Incidente, conforme exigido pela LGPD e demais normas aplicáveis.

A observância do PRIC é obrigatória para todos os colaboradores e parceiros que atuem em processos tecnológicos, operacionais ou de tratamento de dados pessoais.

12. USO ADEQUADO DOS RECURSOS TECNOLÓGICOS

Os recursos tecnológicos e as redes corporativas da Creedx destinam-se exclusivamente a finalidades profissionais. É vedada a utilização para fins pessoais, ilícitos ou que possam comprometer a integridade e a segurança dos sistemas.

A instalação de softwares ou aplicativos não autorizados é expressamente proibida.

O uso de dispositivos pessoais (BYOD) depende de autorização formal e deve atender aos requisitos mínimos de segurança definidos pela empresa, incluindo antivírus atualizado, senha de bloqueio e criptografia do dispositivo.

13. AUDITORIA, MONITORAMENTO E SANÇÕES

A Creedx realiza auditorias internas e externas com o objetivo de verificar o cumprimento das diretrizes desta Política e avaliar eventuais vulnerabilidades nos controles de segurança.

O descumprimento das obrigações aqui previstas constitui falta grave e poderá ensejar medidas disciplinares, administrativas e legais, sem prejuízo das sanções civis e criminais cabíveis.

14. INTEGRAÇÃO COM OUTRAS POLÍTICAS CORPORATIVAS

Esta Política integra o Programa de Governança de Segurança da Informação e Proteção de Dados da Creedx, devendo ser interpretada de forma complementar às demais normas internas, incluindo a Política de Privacidade e Proteção de Dados, a Política de Cookies, a Política Antifraude e a Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT).

Todas as diretrizes aqui previstas devem ser aplicadas de maneira harmônica, visando à conformidade integral com a legislação vigente e com as boas práticas de compliance e governança corporativa.

15. ATUALIZAÇÃO E VIGÊNCIA

Esta Política entra em vigor na data de sua aprovação pela Diretoria da Creedx e será revisada anualmente, ou sempre que houver alterações relevantes de ordem legal, tecnológica ou estrutural.

Versões anteriores permanecerão arquivadas para fins de auditoria e histórico institucional.