Segurança

Política de Segurança da Informação

Maximus Pay Soluções Intermediadora de Pagamentos LTDA — CNPJ: 58.821.568/0001-53

A Maximus Pay está comprometida em manter os mais altos padrões de segurança da informação para proteger os dados de nossos clientes, parceiros e da própria empresa. Esta política estabelece as diretrizes e controles de segurança implementados em nossa infraestrutura e processos operacionais.

1. Objetivo

Estabelecer diretrizes para a proteção da confidencialidade, integridade e disponibilidade das informações processadas pela Maximus Pay, garantindo a continuidade dos negócios e o cumprimento das regulamentações aplicáveis.

2. Criptografia e Proteção de Dados

  • Utilização de criptografia AES-256 para dados em repouso;
  • Protocolo TLS 1.3 para dados em trânsito;
  • Chaves criptográficas gerenciadas por HSM (Hardware Security Module);
  • Tokenização de dados sensíveis de cartão;
  • Hashing seguro para senhas e informações críticas.

3. Controles de Acesso

  • Autenticação multifator (MFA) obrigatória;
  • Princípio do menor privilégio;
  • Revisão periódica de acessos;
  • Segregação de funções críticas;
  • Logs de auditoria de todos os acessos;
  • Sessões com timeout automático.

4. Segurança da Infraestrutura

  • Ambiente em nuvem com certificação SOC 2 Type II;
  • Firewall de aplicação web (WAF);
  • Sistema de detecção e prevenção de intrusões (IDS/IPS);
  • Monitoramento 24/7 da infraestrutura;
  • Backup automatizado com teste de recuperação;
  • Segregação de ambientes (produção, homologação, desenvolvimento).

5. Monitoramento e Detecção

  • SIEM (Security Information and Event Management);
  • Análise comportamental de transações;
  • Alertas automáticos para atividades suspeitas;
  • Correlação de eventos de segurança;
  • Análise de vulnerabilidades periódica;
  • Testes de penetração regulares.

6. Conformidade e Certificações

  • Conformidade com PCI DSS (Payment Card Industry Data Security Standard);
  • Aderência às normas do Banco Central do Brasil;
  • Compliance com LGPD (Lei Geral de Proteção de Dados);
  • Certificação ISO 27001 (em processo);
  • Auditorias independentes anuais.

7. Gestão de Incidentes

  • Plano de resposta a incidentes documentado;
  • Equipe de resposta disponível 24/7;
  • Procedimentos de contenção e recuperação;
  • Comunicação com autoridades quando necessário;
  • Análise post-incidente e melhorias;
  • Testes regulares do plano de continuidade.

8. Treinamento e Conscientização

  • Programa de conscientização em segurança;
  • Treinamentos periódicos para colaboradores;
  • Simulações de phishing;
  • Políticas de segurança atualizadas;
  • Avaliação de conhecimento em segurança.

9. Segurança de Terceiros

  • Due diligence de segurança para fornecedores;
  • Contratos com cláusulas de segurança;
  • Monitoramento de terceiros críticos;
  • Avaliação periódica de riscos;
  • Acordos de confidencialidade (NDA).

10. Revisão e Melhoria Contínua

Esta política é revisada anualmente ou sempre que houver mudanças significativas no ambiente de negócios, tecnológico ou regulatório. Implementamos um processo de melhoria contínua baseado em métricas de segurança e feedback de auditorias.

Última atualização: 23/08/2025