Entrar
Documento Legal

Política de Segurança da Informação e Cibernética

Documento oficial da Marcha, operada por MARCHA HUB DE SOLUCOES LTDA. Versão integral disponível diretamente nesta página.

Título do documentoPolítica de Segurança da Informação e Cibernética
Razão SocialMARCHA HUB DE SOLUCOES LTDA
CNPJ07.811.335/0001-39
EndereçoAV BRIG FARIA LIMA, 1811, ANEXO ESC 1119
BairroJARDIM PAULISTANO
Cidade/EstadoSAO PAULO - SP
CEP01.452-001
Natureza JurídicaSociedade Empresária Limitada
PorteME
VersãoV1.0.01
AprovadorDiretoria Executiva
Data da Aprovação20/01/2026
Próxima Revisão
Responsável pela PolíticaZijie Pan
Classificação da InformaçãoInterna

1.Resumo

A Política de Segurança da Informação e Cibernética é o documento que expressa o posicionamento da MARCHA HUB DE SOLUCOES LTDA em relação à proteção das suas informações, dados e ativos digitais. É dever de todos os colaboradores, parceiros e terceiros seguir as orientações contidas neste documento para mantermos a elevada confiabilidade e credibilidade do nosso ecossistema de pagamentos e honrarmos nosso compromisso para garantia da Confidencialidade, Integridade e Disponibilidade (CID) da informação. Esta política reflete o compromisso da Marcha com a segurança cibernética no contexto de suas atividades como PST/Gateway, incluindo o processamento de transações, o armazenamento de dados de lojistas e a proteção de seu código-fonte e Propriedade Intelectual (PI), assegurando proteção adequada contra ameaças cibernéticas e cumprimento das melhores práticas do setor.

2.Objetivo

Estabelecer as diretrizes estratégicas para compor um programa abrangente de Segurança da Informação e Cibernética na Marcha, definindo princípios, responsabilidades e controles necessários para proteger os ativos tecnológicos críticos da plataforma, dados de clientes e parceiros, bem como assegurar a continuidade e integridade das operações de pagamento digital.

3.Abrangência e Escopo

A Política de Segurança da Informação e Cibernética é aplicável a todos os colaboradores, fornecedores, consultores, prestadores de serviços, parceiros comerciais e demais terceiros que tenham acesso aos sistemas, tecnologias de informação, dados ou instalações da Marcha. Esta política abrange todas as informações processadas, armazenadas ou transmitidas pela instituição, independentemente do formato ou meio utilizado. É de propriedade da Marcha toda a informação gerada, processada ou custodiada por meio de seus recursos, incluindo:

  1. Informações Abrangidas
    1. Propriedade Intelectual e Ativos Tecnológicos: Código-fonte do Gateway e do Software Antifraude, algoritmos, bases de dados de know-how, configurações de segurança, chaves criptográficas e demais recursos tecnológicos que configuram a PI da Marcha.
    2. Dados de Clientes e Transações: Informações cadastrais de Lojistas e Consumidores (dados pessoais), histórico transacional, documentos de identificação, informações de contas bancárias e demais dados relacionados aos serviços prestados.
    3. Informações Operacionais: Dados sobre processamento de pagamentos, transferências, gestão de chargebacks, contratos, acordos de parceria e informações sobre contrapartes (IPs/Adquirentes).
    4. Informações Corporativas: Estratégias de negócio, informações financeiras da instituição, relatórios gerenciais e políticas internas.
  2. Princípios de Utilização Toda informação de propriedade ou custodiada pela Marcha deve observar os seguintes princípios:
    1. Finalidade Específica: Somente deve ser utilizada pelos colaboradores ou terceiros contratados para fins profissionais relacionados às atividades de gateway ou, em outros casos, com autorização formal.
    2. Classificação Adequada: Deve ser classificada segundo critérios de confidencialidade, integridade e disponibilidade definidos nesta política. O código-fonte e os algoritmos possuem a classificação máxima de Confidencialidade Crítica.
    3. Proteção Integral: Deve ser protegida contra modificação, destruição, divulgação não autorizada e acesso por pessoas não autorizadas, em aderência à LGPD.
    4. Retenção Controlada: Deve ser armazenada pelo tempo determinado pela Marcha e/ou legislação vigente, sendo recuperada somente quando necessário e por pessoal autorizado.

4.Termos e Definições

  1. Ameaça: Fonte potencial de dano, incluindo ataques cibernéticos, fraudes, falhas de sistema ou ações maliciosas que visam comprometer a segurança.
  2. Ativo de Informação: Qualquer recurso que tenha valor para a Marcha e necessite proteção, incluindo o software/PI, sistemas de pagamentos, dados de clientes e reputação.
  3. Colaborador: Qualquer pessoa vinculada à Marcha que tenha acesso a informações ou sistemas no exercício de suas funções.
  4. Confidencialidade: Garantia de que a informação é acessível somente a pessoas com acesso autorizado, protegendo dados sensíveis de clientes e a PI contra divulgação.
  5. Disponibilidade: Prevenção contra interrupções na operação dos sistemas de pagamentos, assegurando que os serviços estejam disponíveis de forma contínua.
  6. Evidência Digital: Dados eletrônicos que apoiam a existência ou veracidade de alguma transação ou atividade, mantidos de forma a preservar sua integridade e autenticidade para fins de investigação de incidentes.
  7. Incidente de Segurança: Evento adverso, motivado por violação ou falha de controle, com probabilidade de comprometer a Confidencialidade, Integridade ou Disponibilidade da informação.
  8. Integridade: Salvaguarda da exatidão e completude da informação transacional e de liquidação, preservando sua originalidade e confiabilidade contra alterações não autorizadas.
  9. Terceiros: Entidades externas que prestem serviços para a Marcha, incluindo parceiros White Label, fornecedores de infraestrutura (Cloud) ou consultores.
  10. Vulnerabilidade: Brecha ou deficiência em sistemas ou processos que pode ser explorada por ameaças para comprometer a segurança da informação.

5.Estrutura de Governança

A governança da segurança da informação na Marcha é estruturada em níveis que asseguram implementação efetiva e gestão adequada dos controles:

  1. Políticas: Documentos de caráter estratégico que estabelecem os princípios fundamentais e objetivos de segurança. Este documento enquadra-se neste nível, definindo o framework geral de segurança.
  2. Normas: Documentos de caráter tático que regulamentam o uso específico de recursos tecnológicos e esclarecem responsabilidades detalhadas, orientando o uso seguro de sistemas e processos de pagamento.
  3. Procedimentos: Documentos de caráter operacional contendo instruções detalhadas sobre execução prática de tarefas, implementação de controles e resposta a situações específicas de segurança.

6.Diretrizes de Segurança

Os procedimentos e controles adotados contemplam as seguintes diretrizes fundamentais:

  1. Programa de Segurança Cibernética O programa abrange:
    1. Proteção Integral da PI: Proteger o código-fonte e algoritmos contra acesso não autorizado ou modificação.
    2. Classificação Adequada: Classificação dos dados sob critérios de CID, com níveis de proteção proporcionais à sensibilidade.
    3. Aderência ao PCI DSS: Implementação dos controles de segurança para o ambiente que processa dados de cartão, conforme exigido pelos Adquirentes e IPs parceiras.
    4. Continuidade de Negócios: Garantir a continuidade do processamento das transações críticas, conforme detalhado na Política de Riscos Operacionais.
    5. Comunicação de Incidentes: Estabelecer canais efetivos para comunicação imediata de quaisquer descumprimentos ou suspeitas de incidentes.
  2. Proteção do Ambiente Tecnológico
    1. Monitoramento Contínuo: Implementação de sistemas de monitoramento 24/7 para detecção proativa de ameaças, tentativas de intrusão e comportamentos anômalos.
    2. Segurança de Redes: Administração segura de redes de comunicação, incluindo segmentação adequada e controles de acesso na infraestrutura de Gateway.
    3. Computação em Nuvem: Gestão segura de serviços de cloud computing, assegurando a conformidade com as diretrizes do BACEN para a contratação de serviços de processamento em nuvem.
  3. Gestão de Ativos de Tecnologia da Informação
    1. Inventário de Ativos: Manutenção de inventário atualizado de todos os ativos, incluindo software proprietário (PI), hardware e dados utilizados nas operações.
    2. Ciclo de Vida: Gestão do ciclo de vida completo dos ativos, desde a aquisição até o descarte seguro de equipamentos e a destruição segura de dados.
  4. Notificação de Incidentes de Segurança Todos os colaboradores devem relatar imediatamente à área de Segurança da Informação qualquer suspeita de violação ou intrusão.
    1. Situações Críticas: Devem ser reportadas perdas de dispositivos, roubo de PI, tentativas de acesso não autorizado, suspeitas de fraude ou qualquer evento que possa comprometer a privacidade de dados de clientes (LGPD).
  5. Gestão de Controle de Acesso Os acessos aos sistemas e informações devem ser rigorosamente controlados e restritos ao princípio do menor privilégio.
    1. Revisão Periódica: Acessos devem ser revisados periodicamente.
    2. Cancelamento Tempestivo: Acessos devem ser cancelados imediatamente ao término do contrato de trabalho ou mudança de função (offboarding).
    3. Segregação de Funções: Implementação de segregação adequada para prevenir fraudes.
  6. Política de Senhas e Autenticação
    1. Autenticação Multifator (MFA/2FA): Implementação de MFA é mandatória para sistemas críticos, acessos remotos e contas com privilégios de administrador de rede ou sistemas de liquidação.
    2. Requisitos de Senhas: Senhas devem ser complexas e únicas, com alteração periódica.
    3. Bloqueio Automático: Configuração de bloqueio automático de sessão por inatividade.
  7. Processamento e Armazenamento de Dados
    1. Criptografia: Implementação de criptografia adequada para dados em trânsito e em repouso.
    2. Localização de Dados: Manter controle sobre a localização geográfica de processamento e armazenamento de dados sensíveis.
    3. Retenção e Descarte: Políticas claras de retenção e descarte seguro de informações transacionais e pessoais, em conformidade com o prazo legal.
  8. Gestão de Continuidade de Negócios A Marcha deve implementar planos abrangentes de continuidade de negócios (PCN), documentados, testados e revisados periodicamente, assegurando que seus serviços essenciais sejam mantidos.
    1. Testes Regulares: Realização de Testes de Estresse nos planos de continuidade para simular cenários adversos.
  9. Programa de Treinamento e Conscientização A Marcha promove cultura organizacional de segurança através de programas abrangentes de capacitação e conscientização, visando proteger os objetivos estabelecidos nesta política e os dados de clientes.

7.Atribuições e Responsabilidades

  1. Diretoria Executiva
    1. Aprovação e Governança: Aprovar e revisar esta Política e definir o apetite ao risco cibernético.
    2. Recursos e Apoio: Prover recursos necessários à implementação efetiva da segurança.
  2. Área de Segurança da Informação (Assegurada pela TI e Compliance)
    1. Coordenação e Supervisão: Coordenar e supervisionar a implementação dos procedimentos de segurança.
    2. Gestão de Incidentes: Receber, analisar criticamente e tomar medidas de resposta a incidentes.
    3. Melhoria Contínua: Revisar esta política anualmente e garantir conformidade com mudanças regulamentares.
  3. Áreas Operacionais
    1. Implementação de Controles: Administrar a segurança operacional em seus processos e sistemas, garantindo a adesão dos colaboradores às políticas.
  4. Área de Tecnologia da Informação (TI)
    1. Infraestrutura e Sistemas: Manter atualizada a infraestrutura tecnológica, implantar e manter controles e padrões de segurança, e tratar vulnerabilidades identificadas.
    2. Gestão de Acessos: Conduzir gestão centralizada dos acessos e implementar MFA em sistemas críticos.
  5. Área de Recursos Humanos
    1. Onboarding e Conscientização: Garantir que novos colaboradores leiam e declarem ciência sobre esta política.
    2. Offboarding: Coordenar com a TI para desativação tempestiva de acessos e recolher os recursos da instituição.
  6. Áreas Jurídica e de Compliance
    1. Suporte a Investigações: Apoiar a Segurança da Informação em investigações de incidentes e garantir a aplicação de sanções cabíveis.
    2. Conformidade Regulatória: Assegurar alinhamento desta política com as regulamentações (BACEN e LGPD).

8.Monitoramento e Auditoria

  1. Monitoramento Contínuo
    1. Análise de Logs: Implementação de sistemas de análise de logs de segurança (SIEM) para detecção proativa de atividades suspeitas em sistemas críticos.
    2. Avaliações Regulares: Realização de avaliações periódicas de vulnerabilidades e Testes de Penetração (Pentesting) anuais.
  2. Auditoria Interna
    1. Programa de Auditoria: Estabelecimento de programa anual de auditoria interna para verificar o cumprimento desta política e a efetividade dos controles implementados.
    2. Planos de Ação: Acompanhamento de planos de ação para correção de deficiências identificadas em auditorias.

9.Gestão de Incidentes

  1. Classificação de Incidentes: Os incidentes são classificados conforme sua severidade (Crítico, Alto, Médio, Baixo), determinando o nível de resposta e os recursos a serem mobilizados.
    1. Níveis de Severidade ● Crítico (Nível 1): Incidentes que podem causar interrupção significativa dos serviços de gateway, vazamento de dados sensíveis de clientes ou comprometimento do código-fonte. ● Alto (Nível 2): Tentativas de ataque frustradas, falhas de segurança em sistemas secundários.
    2. Tempos de Resposta ● Crítico: Resposta imediata (até 15 minutos) e resolução em até 4 horas (conforme criticidade do SPB).
  2. Estrutura de Resposta a Incidentes (ERI)
    1. A Marcha mantém uma ERI para resposta a incidentes de segurança, composta por Coordenador de Incidentes, Analista de Segurança, Especialista em TI, e Representantes de Compliance e Jurídico.
  3. Procedimentos de Resposta
    1. Fase 1: Detecção e Reporte: Registro de incidentes no sistema de gestão em até 30 minutos.
    2. Fase 3: Contenção e Estabilização: Implementação de medidas urgentes para impedir a propagação do incidente (ex: isolamento de sistemas).
    3. Fase 4: Erradicação e Recuperação: Remoção completa da causa raiz e restauração dos sistemas a partir de backups limpos.
  4. Comunicação Durante Incidentes
    1. Comunicação Interna: Notificação imediata à Alta Administração para incidentes Críticos e Altos.
    2. Comunicação Externa: Notificação às Autoridades Reguladoras (BACEN/ANPD) e ao parceiro Celcoin, conforme exigências regulamentares, especialmente para incidentes que envolvam vazamento de dados pessoais (LGPD).

10.Considerações Finais

A Marcha reserva-se o direito de atualizar e modificar periodicamente esta Política, sempre que necessário para a manutenção da adequada proteção de seus ativos de informação.

  1. Vigência: Esta política entra em vigor na data de sua aprovação pela Diretoria Executiva.
  2. Atualizações: Revisões desta política serão realizadas no mínimo anualmente ou sempre que mudanças significativas no ambiente regulatório ou tecnológico assim exigirem.

11.Canais de Comunicação e Denúncias

Para reporte de violações ou suspeitas de incidentes de segurança, os colaboradores e terceiros devem utilizar os seguintes canais:

  1. Contatos Principais
    1. Segurança da Informação (Emergências Cibernéticas): [Placeholder para email ou telefone de emergência da Marcha - TI]
    2. Compliance e Ética: [Placeholder para email de Compliance da Marcha]
    3. Canal de Denúncias: [Placeholder para Canal de Denúncias da Marcha]
  2. Garantias de Proteção
    1. A Marcha garante: Confidencialidade das informações reportadas, Anonimato quando solicitado pelo denunciante e Não retaliação a denunciantes que estiverem agindo de boa-fé.
Esta página apresenta a versão integral e oficial deste documento em formato HTML. Opcionalmente, você pode baixar a versão em PDF.
← Voltar para Termos & Políticas