Voltar

Política de Segurança Cibernética

Última Atualização: 11 de fevereiro de 2026

1. Introdução

Esta Política estabelece as regras, procedimentos e controles de segurança da informação da GrowPlay (CNPJ: 64.796.015/0001-90). Nosso objetivo é garantir a Confidencialidade, Integridade e Disponibilidade dos ativos tecnológicos, protegendo nossos parceiros, colaboradores e a própria infraestrutura contra ameaças cibernéticas e vazamentos de dados.

Baseamos nossa governança no princípio de Privacy by Design e em uma abordagem orientada a riscos (risk-oriented), assegurando que a segurança seja parte integrante de cada processo da plataforma.

2. Normas de Referência

  • Lei nº 13.709/2018 (LGPD): Lei Geral de Proteção de Dados Pessoais.
  • Resolução CD/ANPD nº 2/2022: Regulamentação para agentes de tratamento de pequeno porte.
  • Standard PCI DSS v.4.0.1: Padrão internacional de segurança para a indústria de cartões de pagamento.

3. Definições Chave

CDE (Cardholder Data Environment)

Ambiente onde os dados de portadores de cartão são processados, armazenados ou transmitidos.

PAN (Primary Account Number)

O número do cartão de crédito.

Incidente de Segurança

Qualquer evento que resulte no acesso não autorizado, perda ou alteração de dados pessoais ou financeiros.

4. Governança e Responsabilidades

A GrowPlay adota uma estrutura operacional híbrida para deliberação de riscos:

  • Chief Compliance Officer (CCO): Responsável pela gestão do programa de privacidade e conformidade normativa.
  • Chief Technology Officer (CTO): Responsável pelo desenvolvimento e manutenção da infraestrutura de segurança.
  • Equipe DevOps: Implementação de controles técnicos, monitoramento 24/7 e resposta imediata a incidentes no ambiente CDE.

5. Diretrizes de Uso Aceitável e Proibições

Os ativos da GrowPlay (laptops, redes, servidores) devem ser usados exclusivamente para fins profissionais. São terminantemente proibidos:

  • Envio de PANs (números de cartão) não criptografados via e-mail, chat ou qualquer mensageiro instantâneo.
  • Compartilhamento de senhas ou credenciais de acesso, inclusive com familiares em regime de home office.
  • Introdução de programas maliciosos ou ferramentas de varredura de rede sem autorização prévia.
  • Uso de software pirata ou não licenciado pela empresa.
  • Contornar autenticações de segurança ou utilizar contas de terceiros.

6. Classificação da Informação

As informações na GrowPlay são classificadas em quatro níveis:

Nível 1 - Público

Relatórios anuais e comunicados à imprensa.

Nível 2 - Uso Interno

Memorandos, rotinas operacionais e minutas.

Nível 3 - Confidencial

Dados de clientes, planos de negócio e documentos do escopo PCI.

Nível 4 - Sensível

Dados pessoais sensíveis, dados de menores e informações sob Sigilo Bancário.

7. Procedimentos de Controle Cibernético

7.1. Segurança das Comunicações

  • Uso obrigatório de conexões cifradas TLS 1.2 ou superior.
  • Implementação de WAF (Web Application Firewall) para proteção contra ataques web.
  • Uso de MFA (Autenticação de Múltiplo Fator) para todos os acessos administrativos e serviços em nuvem.

7.2. Backup e Continuidade

A GrowPlay mantém rotinas de Backup (Cópia) e Restore (Recuperação) com redundância geográfica e testes de integridade periódicos para garantir que o sistema retorne em caso de desastres operacionais.

7.3. Auditoria e Monitoramento

A GrowPlay realiza auditorias mensais e monitoramento contínuo de logs. Qualquer dispositivo conectado à rede corporativa está sujeito a varreduras de conformidade.

8. Análise de Riscos e Ambiente PCI DSS

A gestão de riscos é contínua e revisada mensalmente. Grandes mudanças em sistemas operacionais ou novos provedores de nuvem disparam automaticamente uma nova Avaliação Interna de Risco (AIR). As políticas específicas para o escopo PCI DSS (Criptografia de dados de cartão, Monitoramento de Logs, Gestão de Vulnerabilidades) são tratadas em manuais técnicos detalhados, disponíveis para a equipe técnica e de compliance.

9. Capacitação

Todos os colaboradores que acessam dados do escopo PCI passam por treinamento obrigatório sobre:

  • Identificação de ataques de Phishing.
  • Política de mesa limpa (não deixar dados sensíveis expostos fisicamente).
  • Uso de gerenciadores de senhas seguros.

10. Vigência e Contato

Esta Política entra em vigor em 11 de fevereiro de 2026 e será revisada anualmente. Para reportar incidentes ou tirar dúvidas:

E-mail de Compliance: privacidade@growplay.io

E-mail de Suporte Técnico: devops@growplay.io

Reportar um Incidente de Segurança?

Entre em contato imediatamente com nosso time de compliance:

privacidade@growplay.io