Como já explicamos em artigos anteriores, os subadquirentes ou subcredenciadores são os participantes do arranjo de pagamento responsáveis por habilitar o usuário final recebedor para a aceitação do instrumento de pagamento, emitido por uma instituição de pagamento ou por uma instituição financeira participante de um mesmo arranjo.
Os subadquirentes são intermediadores de pagamento e não participam do processo de liquidação das transações como credores perante o emissor. Assim, para atuar, é necessário que os subadquirentes firmem uma parceria com uma Adquirente, também chamada de Credenciadora, por meio de um processo de credenciamento e assinatura de contrato, assim como nas Bandeiras, que são Instituidoras dos arranjos de pagamento.
Esse processo de credenciamento, em geral, engloba uma análise profunda, baseada nas regras de conformidade do Banco Central do Brasil (BACEN), que vai desde as tecnologias e protocolos de segurança usados pelo subadquirente, até uma análise operacional e regulatória, com grande evidência nas áreas de compliance, segurança da informação e proteção de dados.
Por isso, neste artigo iremos citar as principais políticas na área de proteção de dados que são exigidas pelos instituidores de pagamento. Ressaltamos que cada instituidor possui suas próprias exigências e, a depender da empresa e da operação, poderá fazer solicitações diferentes.
1) Aviso de Privacidade
Também conhecido popularmente como “Política de Privacidade”, pode ser definido como o documento que traz transparência aos titulares sobre os dados coletados, finalidades, compartilhamentos com outras empresas, bases legais que justificam os tratamentos, direitos e canais de comunicação sobre privacidade.
2) Política de Segurança da Informação e de Segurança Cibernética
Conjunto de regras internas estabelecidas pela empresa que visam preservar a confidencialidade, integridade e disponibilidade dos dados, além de combater ameaças e riscos.
3) Plano de Respostas à Incidentes de Segurança e Remediação
Documento que demonstra como a empresa deve agir diante de um incidente de segurança, o que deve ser priorizado, quem são as pessoas que devem ser envolvidas e quais perguntas precisam ser respondidas, além dos passos para notificação de controladores de dados, titulares e Autoridade Nacional de Proteção de Dados (ANPD).
4) Política de Backup e Recuperação de Dados
Política que estabelece regras e rotinas de cópias de segurança e recuperação de dados, com o objetivo de evitar a indisponibilidade dos ativos da empresa, adotando medidas de segurança para manter a integridade e inviolabilidade das informações.
5) Política de Desenvolvimento Seguro de Software
Conjunto de regras que visa servir como um guia de boas práticas para desenvolvimento seguro de software, viabilizando a identificação de possíveis violações de segurança cibernética e falhas de desenvolvimento, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais.
6) Política de Uso Seguro de Serviços em Nuvem
Documento com o objetivo de garantir o uso seguro de tecnologias em nuvem, assim como definir as atividades associadas para proteger os sistemas de informação, redes, dados, bancos de dados e outros ativos de informação da empresa baseados em nuvem.
7) Política de Gerenciamento de Vulnerabilidades
Estabelece processo constante, proativo e, frequentemente, automatizado, com o objetivo de preservar a segurança dos sistemas empresariais diante de ameaças cibernéticas e violações de dados, a fim de permitir que a empresa seja capaz de identificar, avaliar e solucionar potenciais fragilidades de segurança.
8) Política de Hardening
Normas criadas para diminuir as superfícies de ataque, tornando mais difícil para hackers explorarem falhas de segurança e, assim, proteger melhor os ativos de informação e a integridade dos sistemas da empresa.
Conclusão
Como é possível observar toda a documentação é extremamente técnica e precisa ser elaborada com o apoio de um jurídico especializado.
Vale lembrar que, além da elaboração dos documentos nos padrões de compliance do Banco Central, os subadquirentes também necessitam de apoio na implementação dessas políticas, na revisão periódica dos documentos e na fiscalização de suas aplicações, uma vez que os adquirentes poderão fazer solicitações e auditorias a qualquer tempo, inclusive após o processo de credenciamento.
Por Natália Martins Nunes