Segurança da Informação

Priorizamos a segurança dos seus dados, adotando práticas e tecnologias em conformidade com a lei.

Banco Digital Pay Turismo

Guia Orientativo de Segurança da Informação

Boas práticas e medidas básicas para apoiar um ambiente mais seguro no tratamento de dados pessoais.

Apresentação e objetivo

A Lei nº 13.709/2018 (LGPD) representa um marco regulatório sobre o tratamento de dados pessoais, com pilar importante voltado à proteção de dados, envolvendo segurança da informação, governança de dados e gestão de riscos.

Como competência da ANPD, a LGPD determinou em seu art. 55-J, XVIII, a edição de normas, orientações e procedimentos simplificados, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.

Este guia é endereçado aos agentes de tratamento de dados que, por seu tamanho e limitações, muitas vezes não possuem especialistas em segurança da informação e necessitam aprimorar práticas relacionadas ao tratamento de dados pessoais, nos termos dos arts. 46, 47, 48 e 49 da LGPD.

O Guia apresenta medidas de segurança da informação para proteger dados pessoais sob a guarda da Pay Turismo.

Segurança da informação relacionada a dados pessoais

Segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação, prevenindo, detectando e combatendo ameaças digitais.

Um ponto central é o gerenciamento de riscos: identificar, quantificar e gerenciar riscos relacionados à segurança da informação para equilibrar oportunidades e minimizar vulnerabilidades e perdas.

Ainda que não obrigatório, recomenda-se que o gerenciamento de riscos de segurança seja realizado periodicamente, como parte de boa governança e suporte à tomada de decisões.

Tratamento de dados pessoais

A LGPD define “tratamento” como toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, etc.), nos termos do art. 5º, inciso X.

Dados pessoais (art. 5º, I) são informações relacionadas a pessoa natural identificada ou identificável.

Dados pessoais sensíveis (art. 5º, II) incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.

Dados sensíveis possuem regras mais rigorosas; por isso, as bases legais do art. 7º (dados pessoais) diferem das hipóteses do art. 11 (dados pessoais sensíveis).

Obrigações da LGPD sobre segurança

A LGPD introduz o Princípio da Segurança (art. 6º, VII) e detalha obrigações de segurança da informação relacionada a dados pessoais nos arts. 46 a 49.

Art. 46

Agentes de tratamento devem adotar medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas; e observar tais medidas desde a concepção do produto/serviço até a execução.

Art. 47

Agentes de tratamento e qualquer pessoa que intervenha em fases do tratamento obrigam-se a garantir a segurança da informação prevista na Lei, inclusive após o término do tratamento.

Art. 48

Trata da comunicação de incidentes de segurança à ANPD e ao titular quando houver risco ou dano relevante (assunto objeto de normatização específica).

Art. 49

Sistemas de tratamento devem ser estruturados para atender requisitos de segurança, padrões de boas práticas, governança e princípios gerais previstos na LGPD e normas regulamentares.

Segurança nos agentes de tratamento

As obrigações previstas (arts. 46, 47, 49 e 50) refletem boas práticas internacionais e podem exigir investimentos conforme complexidade e caso concreto.

As medidas a seguir são sugestões de boas práticas e devem ser complementadas por outras necessárias para promover segurança no fluxo informacional da organização.

Medidas administrativas

Política de Segurança da Informação (PSI)

A PSI consiste em diretrizes e regras para planejar, implementar e controlar ações de segurança da informação, sendo recomendada para organizações de qualquer porte.

Embora não obrigatória, a PSI é incentivada por evidenciar boa-fé e diligência na proteção de dados pessoais sob custódia e por guiar a gestão de segurança.

Exemplos de controles: cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, antivírus, entre outros.

Conscientização e treinamento

Pessoas são fator crítico para o sucesso das medidas de segurança e proteção de dados; recomenda-se conscientização por treinamentos e campanhas.

  • Como utilizar controles de segurança de sistemas de TI no trabalho diário.
  • Como evitar incidentes comuns (vírus, phishing, links desconhecidos, pop-ups maliciosos).
  • Manter documentos físicos com dados pessoais guardados (não expostos em mesas).
  • Não compartilhar logins e senhas; bloquear o computador ao se afastar.
  • Seguir orientações da PSI e incentivar reporte de incidentes e vulnerabilidades.

Gerenciamento de contratos

Recomenda-se NDA com funcionários e gestão de contratos/aquisições para distribuir funções e responsabilidades, com observância à LGPD.

Em terceirização (ex.: serviços de TI), recomenda-se contratos com cláusulas de segurança da informação para proteção adequada de dados pessoais.

Medidas técnicas: controle de acesso

Controle de acesso é medida técnica para garantir que dados sejam acessados somente por pessoas autorizadas, por meio de autenticação, autorização e auditoria.

  • Implementar sistema de controle de acesso com níveis de permissão por necessidade (“need to know”).
  • Processos para criação, aprovação, revisão e exclusão de contas de usuários.
  • Impedir senhas fracas e exigir complexidade mínima; evitar senhas padrão (default).
  • Não permitir compartilhamento de contas e senhas entre funcionários.
  • Preferir MFA para acesso a sistemas/bases com dados pessoais (ex.: token, app autenticador, SMS/e-mail).

Segurança dos dados pessoais armazenados

Recomenda-se coletar e processar apenas dados necessários (princípios de finalidade e necessidade) e evitar armazenar dados “sem utilidade concreta”.

  • Para dados sensíveis, considerar técnicas como pseudonimização/criptografia.
  • Evitar transferir dados para mídias externas (pendrive/HD externo); se necessário, inventariar e cifrar.
  • Backups regulares, completos e armazenados em local seguro e distinto; evitar sincronização em tempo real para mitigar ransomware.
  • Eliminação: formatar mídias antes de descarte; quando impossível, destruir fisicamente (CD/DVD/papel).
  • Em descarte por terceiros, firmar contrato com cláusulas e registro de destruição.

Segurança das comunicações

Recomenda-se utilizar conexões cifradas (TLS/HTTPS) e/ou criptografia ponta a ponta, além de cuidados em e-mails e mensageria para reduzir risco de vulnerabilidades e links maliciosos.

  • Gerenciar tráfego de rede e instalar firewall; para web, considerar WAF.
  • Proteger e-mail com antivírus integrado, anti-spam e filtros.
  • Remover dados sensíveis/dados pessoais desnecessários em áreas públicas (ex.: site).
  • Quando houver dados sensíveis, considerar canal de acesso restrito para o cliente.

Programa de gerenciamento de vulnerabilidades

Recomenda-se manter sistemas e aplicativos atualizados, aplicar correções de segurança (patches), e usar antivírus/antimalware com varreduras periódicas e atualização contínua.

Dispositivos móveis

Recomenda-se aplicar aos dispositivos móveis controles equivalentes aos demais ativos (controle de acesso, MFA), guardá-los em locais seguros e, quando possível, separar dispositivos pessoais de institucionais.

Em caso de perda/roubo, considerar funcionalidades de apagamento remoto para reduzir riscos com dados pessoais.

Serviço em nuvem

Recomenda-se contratar serviço em nuvem com acordo de nível de serviço (SLA) contemplando segurança; avaliar aderência aos requisitos definidos; e definir requisitos de acesso, preferindo MFA.

Considerações finais

Este guia foi elaborado para disseminar boas práticas e medidas básicas de segurança da informação, apoiando um ambiente mais seguro no tratamento de dados pessoais.

O documento não tem efeito normativo vinculante e deve ser entendido como guia de boas práticas, passível de atualização e aperfeiçoamento sempre que necessário.

Referência: LGPD – Lei 13.709/2018 (Autoridade: ANPD).

Guia Orientativo de Segurança da Informação – Pay Turismo

Por que a Pay Turismo é diferente?

Somos especialistas em meios de pagamento para o setor turístico. Unimos tecnologia, agilidade e experiência em câmbio para atender tanto quem envia quanto quem recebe.

Vamos aproveitar os benefícios da conta digital Pay Turismo?

Entre em contato com nossa equipe e veja como podemos simplificar o seu dia a dia com soluções modernas e seguras.

Abra sua conta
Disponível no Google Play
Disponível na App Store
atendimento@payturismo.com.br
(11)99121-8334
www.payturismo.com.br