Em 18 de outubro de 2021 a PagueVeloz Instituição de Pagamento Ltda. ("PagueVeloz") foi adquirida pela Serasa Experian. Nos meses subsequentes a compra foram realizadas diversas adequações nos procedimentos operacionais, Políticas Corporativas e ambiente de tecnologia entre as empresas.
A partir de 2022 a PagueVeloz aderiu as Políticas da Serasa Experian e abaixo estão destacados as diretrizes da Política de Segurança Cibernética:
A Serasa Experian mantém um abrangente programa de segurança da informação que contém controles adequados de acordo com a sensibilidade da informação. Tais controles são desenhados para:
• Garantir que a segurança e a confidencialidade das informações de clientes
• Proteger contra ameaças e riscos previstos que impactam a segurança da informação
• Proteger contra acesso não autorizado ou usar qualquer informação que possa resultar em prejuízos para
clientes
Somos certificados ISO27001 – (número 101-01077-IS).
Política de Privacidade link.
Nossa Política Global de Segurança da Informação é baseada na norma ISO 27001 (International Organization for Standization). A ISO 27001 disponibiliza um modelo para estabelecer, implantar, operar, monitorar, revisar manter e melhorar um Sistema de Gerenciamento de Segurança da Informação. Como parte do gerenciamento de políticas, um fórum da alta direção é usado para revisar e aprovar todas as novas políticas e mudanças para políticas existentes.
Na Experian, nós acreditamos que nosso pessoal é o ativo mais precioso. Todos os novos colaboradores do nosso time participam de treinamentos de segurança da informação e recertificam seus conhecimentos e habilidades nessa área através de um curso anual obrigatório de segurança. Todos os novos colaboradores também passam por uma análise de antecedentes criminais, credenciais educacionais e documentação.
A Serasa Experian acredita que uma maneiras de reduzir as vulnerabilidades em aplicações é construí-las de maneira segura. Todos os desenvolvedores da Serasa Experian são obrigados fazer treinamentos de segurança de aplicações. Todas as nossas aplicações devem passar por avaliações de segurança adequadas ao seu perfil de risco. Essas avaliações incluem teste estático (teste do código em si), teste dinâmico (a aplicação é sujeita a tentativas de exploração através de teste de penetração) e teste manual (uma pessoa age como um hacker para garantir que a aplicações não está sujeita a invasão/abuso).
A Serasa Experian implanta as mais recentes medidas para restringir o acesso eletrônico aos sistemas de nossos clientes para pessoas devidamente autorizadas e que assinam acordos de confidencialidade. Nós garantimos que todas as pessoas que acessam ou enviam materiais aos sistemas de clientes são identificadas de maneira única e autenticada. Nós garantimos o princípio de privilégio mínimo, ou seja, que o pessoal autorizado tem apenas o nível de acesso necessário para realizar suas funções de trabalho para esse cliente enquanto está provendo serviços para ele. Nosso ambiente de aplicações usa um modelo de rede de três camadas para servidores voltados ao assinante e usa um modelo de duas ou três camadas para os nossos servidores de aplicação com uma abordagem em camadas com redundância de firewalls e sistemas de proteção contra intrusos (IDS/IPS).
A Serasa Experian protege a confidencialidade e a integridade dos dados de nossos clientes que são transmitidos através de sua rede. Nós implantamos e mantemos técnicas de criptografia fortes padronizadas para proteger os dados de clientes quando transmitidas em redes abertas.Temos um programa de prevenção de vazamento de dados baseado em ferramenta DLP que controla todas as saídas de dados (internet, e-mail, cloud, portas USB e demais end-points) que controla o acesso e envio de informações através de regras definidas através de comitês locais e globais para proteção das informações de acordo com a Política de Segurança da Informação. O sistema é gerenciado por uma equipe responsável e, em caso de violação de regras possuímos procedimentos para resposta a incidentes.
A Serasa Experian implanta sistemas antivirus/antimalware e firewall pessoal para proteger os computadores da nossa rede. A atualização de assinaturas de antivírus é realizada diariamente.
A Experian assegura uma adequada segregação de funções entre seus colaboradores incluindo acesso aos sistemas e rede. O acesso é concedido apenas para indivíduos apropriados e aprovados baseados nas suas funções e necessidades de negócio. As funções são definidas de maneira que o usuário não tem oportunidade de esconder seus erros ou irregularidades.
Todas as conexões da rede da Experian são aprovadas, documentadas e rastreadas. Nossa rede foi desenhada para
assegurar uma arquitetura segura, segregação e redundância adequada. Os componentes da rede são configurados
de forma segura e implementados com serviços desabilitados, componentes removidos e senhas padrão alteradas.
O acesso dos clientes na rede da Serasa Experian é dividido em três camadas. Cada camada da rede é separada
com uma camada de firewall appliance e é monitorada ativamente por IDS. Firewalls são configurados para permitir
apenas o tráfego de rede necessário para realizar negócios.
Adicionalmente às três camadas de proteção de vírus, nos varremos nossa rede e sistemas procurando vulnerabilidades. Nós temos padrões de segurança para configuração dos nossos sistemas que são mantidos por profissionais qualificados em administração de sistemas.
Nosso ambiente é avaliado periodicamente (semanal) baseado na Política de Segurança Global da Experian. Todas as vulnerabilidades identificadas são classificadas de acordo com a sua criticidade e possuem um prazo limite para correção, conforme abaixo:
| Severity | Description |
|---|---|
| Critical | Intruders could easily gain control of a host(s), which can lead to the compromise of the enterprise network. Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction and exploits are in the wild. |
| High | Intruders could possibly gain control of a host(s), or there may be potential loss of highly sensitive information. Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure. |
Vulnerabilities must be resolved within the timelines listed in the remediation table below:
| Infrastructure risk criticality | Flaw/Vulnerability Severity Not Allowed + Calendar Days to Remediate Flaw/Vulnerability | |
|---|---|---|
| Site Facing | Critical | High |
| Internet + Extranet | 15 Days | 30 Days |
| Intranet | 30 Days | 60 Days |
| Severity | Rating |
|---|---|
| Critical | CVSS 9.0 + |
| High | CVSS 7.0 - 8.9 |
| Medium | CVSS 4.0 - 6.9 |
| Low | CVSS 0.1 - 3.9 |
| None | CVSS 0.0 |
The Common Vulnerability Scoring System (CVSS) is an industry standard used to assign severity scores to vulnerability.
Temos uma ferramenta para gestão das vulnerabilidades de todas as plataformas detectadas (datawarehouse). O resultado do processo é apresentado nos comitês executivos de risco Local e Global para acompanhamento das ações e gerenciamento dos riscos.
América Latina focam os processos de continuidade de negócios e planejamento de recuperação de desastres em proteção e recuperação de pessoas, data centers e instalações. A estratégia de recuperação e infraestrutura é revisada regularmente para assegurar que novas tecnologias são constantemente incorporadas no planejamento. Estas melhorias desenvolvem o esforço de recuperação e o tempo objetivo de recuperação (RTO). Experian tem um time dedicado e profissionais certificados em recuperação de negócios que supervisionam, desenvolvem, mantêm e testam regularmente os planos de recuperação para todos os produtos e serviços.
Os Centros de Processamento de Dados são protegidos e monitorados 24/7. Nossos profissionais monitoram e gravam 24/7 todo ambiente através do circuito interno de câmeras. As câmeras fornecem imagens do interior, estacionamentos a todas as áreas de perímetro. O acesso às instalações é controlado através do uso de sistemas de controle de acesso eletrônico. Existem níveis de acesso controlados para áreas restritas que são aprovados apenas pela alta direção. O acesso a áreas seguras tais como o centro de processamento de dados e áreas de telecomunicação são restritos apenas a pessoas autorizadas e com justificativa de acesso. Estas áreas são protegidas com controles de acesso adicionais tais como CFTV, leitoras de cartão magnético e, em alguns casos, com controle de acesso biométrico. Todos os acessos são mantidos em trilhas de auditoria e são revisados periodicamente.
A Serasa Experian conta com um time de profissionais capacitados e qualificados para pronto atendimento e resposta a incidentes de segurança da informação. Nosso plano de resposta a incidentes, procedimentos e normas estão de acordo com os maiores frameworks de mercado como ISO27001, ISO27035, NIST SP800-61, PCI-DSS. Uma equipe global 24x7 está em constante análise dos logs das ferramentas de segurança, correlacionando as informações apresentadas e tratando os incidentes tão logo sejam detectados. Também contamos com um canal para reporte de incidentes que passam por um processo de triagem, avaliação e tratamento.
PagueVeloz - Blumenau
Rua Hermann Huscher, 113 - Sala 08
Edificio CR7 Alameda Business
Vila Formosa
CEP 89023-010 - Blumenau/SC
PagueVeloz - São Paulo
Rua Conselheiro Saraiva, 229 - 19º andar
Edifício K1 - Santana
CEP 02037-020 - São Paulo/SP
