IPS . finance

Segurança e privacidade

Protegendo as informações que nossos clientes e parceiros nos confiam.

A IPS lida com informações financeiras e pessoais sensíveis em cada transação que a plataforma sustenta. Nosso arcabouço de segurança e programa de privacidade são construídos nos padrões apropriados a um operador regulado de pagamentos: conformidade LGPD para proteção de dados, alinhamento PCI DSS para dados de portador de cartão, tratamento criptografado de dados em trânsito e em repouso, segregação de funções nas funções operacionais e monitoramento contínuo do estado de segurança da plataforma.

Como tratamos dados pessoais.

A Lei Geral de Proteção de Dados (LGPD) rege o tratamento de dados pessoais no Brasil. O programa de privacidade da IPS é construído para cumprir a LGPD em todas as operações voltadas ao cliente. O programa opera sobre os princípios que a LGPD estabelece: base legal para o tratamento, limitação de finalidade, minimização de dados, qualidade, retenção limitada a finalidades legítimas, segurança e responsabilização. Um Encarregado de Proteção de Dados é designado e disponível pelo canal de contato com o DPO. O DPO recebe e responde a solicitações de titulares — acesso, correção, exclusão, portabilidade, oposição, revisão de decisões automatizadas — nos prazos legais que a LGPD estabelece. O DPO também atua como ponto de contato da empresa com a ANPD (Autoridade Nacional de Proteção de Dados) em quaisquer matérias que demandem engajamento regulatório. Os dados dos clientes são utilizados apenas para as finalidades para as quais foram coletados. Dados pessoais coletados para KYC são utilizados para fins de KYC e AML. Dados pessoais coletados para processamento de transações são utilizados para processamento de transações e os correspondentes requisitos de compliance e auditoria. Dados pessoais não são vendidos, não são fornecidos a terceiros para fins de marketing e não são utilizados para finalidades além daquelas descritas na política de privacidade.

Como protegemos dados e operações.

O arcabouço de segurança da IPS segue as práticas apropriadas a um operador regulado de pagamentos. Controles operacionais específicos incluem criptografia de dados em trânsito e em repouso usando algoritmos criptográficos padrão de indústria; segregação de funções entre engenharia, operações e compliance; controles de acesso baseados no princípio do menor privilégio; monitoramento contínuo do estado da plataforma e de eventos de segurança; e procedimentos de resposta a incidentes alinhados a requisitos regulatórios e contratuais. Detalhes operacionais específicos — padrões de segmentação de rede, procedimentos de gestão de chaves, configurações de provedores de identidade, as ferramentas específicas de segurança utilizadas — não são expostos em documentação pública. Expor esses detalhes ajudaria maus atores. Bancos parceiros, auditores e reguladores com necessidade legítima de conhecê-los os recebem sob acordos apropriados de compartilhamento de informações.

Dados de portador de cartão tratados conforme padrões PCI DSS.

Quando as operações da IPS envolvem dados de cartão — incluindo fluxos inbound funded por cartão de clientes estrangeiros — o tratamento atende ao Payment Card Industry Data Security Standard (PCI DSS). As funções de dados de cartão são terceirizadas a provedores validados PCI DSS, e a IPS não armazena, processa ou transmite dados de portador de cartão em seus próprios sistemas. A classificação específica PCI DSS está descrita na página de Atestações. O documento de atestação em si não é publicamente baixável. A atestação pode ser fornecida a adquirentes, bandeiras de cartão e estabelecimentos sob acordos apropriados de compartilhamento de informações.

Dados criptografados em trânsito e em repouso.

Todos os dados transmitidos entre sistemas da IPS, entre a IPS e bancos parceiros e entre a IPS e clientes são criptografados usando criptografia de transporte padrão de indústria. Todos os dados armazenados dentro dos sistemas da IPS são criptografados em repouso usando criptografia simétrica padrão de indústria. As chaves criptográficas são gerenciadas por controles apropriados à sensibilidade dos dados subjacentes e ao arcabouço regulatório aplicável. Dados pessoais e dados financeiros são armazenados em sistemas lógicos separados com controles de acesso apropriados. Os fluxos de dados entre sistemas acontecem por APIs auditadas, e não por acesso direto ao banco de dados. A trilha de auditoria de acesso a dados sustenta o princípio de responsabilização da LGPD e os requisitos mais amplos de auditoria aplicáveis a operações financeiras reguladas.

Atestações atuais que sustentam nossa postura.

As atestações e certificações atuais que a IPS mantém estão listadas na página de Atestações. A lista de atestações é atualizada à medida que novas certificações são conquistadas ou as existentes renovadas.