O objetivo desta Política de Privacidade e Proteção de Dados ("Política") é fornecer orientações sobre as diretrizes aplicáveis à privacidade e proteção dos dados pessoais de clientes, funcionários, terceiros, prestadores de serviços, fornecedores e parceiros aos quais a [Credipay] ("Credipay") tem acesso em decorrência de suas atividades, estabelecendo as regras sobre a coleta, uso, armazenamento, compartilhamento e eliminação de dados pessoais, de acordo com as leis, regulações e melhores práticas de mercado.
Este documento detalha o compromisso do Credipay com a segurança de dados e conformidade com a Lei nº 13709/2018, a Lei Geral de Proteção de Dados Pessoais (“LGPD”), destacando nossas práticas de coleta de dados, padrões de criptografia, protocolos de autenticação e adesão a frameworks de segurança líderes do setor.
Todos os membros da Credipay, incluindo trabalhadores terceirizados, estagiários e jovens aprendizes ("funcionários") das empresas do grupo Credix, doravante referidos conjuntamente como "Empresa", bem como terceiros, prestadores de serviços e/ou fornecedores que tenham acesso a dados pessoais dessas empresas.
1.1. Esta Política objetiva demonstrar o compromisso da Empresa com:
1.1.1. Garantir a privacidade e proteção dos dados pessoais coletados de clientes, funcionários, terceiros, prestadores de serviços, fornecedores e parceiros, com base no desempenho de suas atividades.
1.1.2. Adotar diretrizes que assegurem ampla conformidade com leis, regulações e melhores práticas relacionadas à proteção de dados pessoais.
1.1.3. Promover transparência com os titulares de dados e outras partes interessadas sobre como a empresa processa dados pessoais.
1.1.4. Adotar medidas eficazes e preventivas para proteger os dados pessoais em relação ao risco de incidentes de segurança envolvendo estes dados.
2.1. Estão sujeitos a esta Política:
2.1.1. Todos os dados pessoais fornecidos ou coletados no contexto da prestação de serviços pela Empresa a seus clientes para aceitar pagamentos eletrônicos, incluindo a captura, transmissão, processamento de informações e liquidação de transações, bem como a prestação de outros serviços e produtos relacionados.
2.1.2. Todos os dados pessoais de funcionários, terceiros, prestadores de serviços, fornecedores e parceiros fornecidos ou coletados no contexto de obrigação contratual, legal ou regulatória ou qualquer outro dado pessoal.
3.1. Os dados pessoais coletados podem variar de acordo com o relação mantido com a Empresa e são classificados entre os seguintes grupos:
3.1.1. Dados pessoais fornecidos pelo titular: Dados inseridos ou encaminhados pelo titular dos dados ou seu representante legal, decorrentes do contato, registro ou contrato com a Empresa, podendo incluir, mas não se limitando a, os seguintes dados: nome completo, CPF, informações sobre a empresa da qual é sócio, proprietário, representante legal ou agente, endereço completo, informações bancárias, endereço de email e número de telefone.
3.1.2. Informações coletadas a partir do uso dos serviços: Dados relacionados ao uso de métodos de pagamento eletrônico, coletados pela Empresa e transmitidos e/ou compartilhados com terceiros no contexto e limite necessário para o processamento e liquidação de transações de pagamento eletrônico ou para a transmissão de informações não financeiras, objeto de serviço prestado pela Empresa.
3.1.3. Dados pessoais coletados a partir do uso de websites e aplicativos: Dados relacionados ao acesso e navegação no website, páginas e aplicativos da Empresa, contendo informações de identificação do dispositivo (Data, Horário e IP). A geolocalização do titular dos dados também pode ser utilizada a fim de prevenir fraudes e para fins de segurança e proteção de crédito.
3.1.4. Dados pessoais coletados em redes sociais e plataformas: Dados coletados a partir das interações feitas pelos titulares dos dados por meio das redes sociais e/ou plataformas da Empresa.
3.1.5. Dados financeiros pessoais: Dados relacionados ao status financeiro ou de crédito do titular, como renda, patrimônio, inadimplência, score de crédito e dados do Sistema de Informações de Créditos do Banco Central, conforme a legislação aplicável em vigor.
3.1.6. Dados pessoais de menores de 18 anos: A Empresa somente irá coletar e processar os dados pessoais de menores de 18 anos nos termos do artigo 14 da LGPD e conforme as leis aplicáveis.
4.1. Os dados pessoais serão coletados por meios éticos e legais e armazenados em um ambiente seguro e controlado, pelo período exigido pela lei ou regulação aplicável. A Empresa concorda em tomar todas as medidas razoáveis para manter a confidencialidade absoluta e estrita de todos os dados pessoais aos quais tem acesso ou dos quais possa ter ou vir a ter conhecimento sobre em relação a transações, titulares, dados de cartões e métodos de pagamento, de seus clientes, bem como indivíduos diretamente relacionados aos clientes, aos quais obtém acesso devido à prestação de serviços pela Empresa, relação de emprego, relação contratual ou de parceria, sendo proibida a atribuição e/ou permissão de acesso de terceiros a tais informações, exceto nos casos descritos nesta Política e determinados por lei.
4.2. A Empresa utiliza todas as informações coletadas por meio do preenchimento do cadastro, adicionadas pelo usuário em seu website ou aplicativo, coletadas diretamente dos clientes ou automaticamente, para os seguintes propósitos: (i) prestação de serviços; (ii) ampliação de ofertas de marketing e divulgação de produtos e serviços relevantes aos clientes, funcionários e parceiros; (iii) costumização e melhoria dos produtos e serviços oferecidos; e (iv) prevenção de fraudes e perdas financeiras, entre outros casos que possam divergir das práticas convencionais.
4.3. Em certos casos, a Empresa também poderá processar dados pessoais quando necessário para o cumprimento de obrigações legais ou regulatórias ou exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
4.4. A Empresa também poderá processar dados pessoais com base em seus legítimos interesses, sempre dentro dos limites das expectativas do titular dos dados e nunca em prejuízo dos interesses, direitos e liberdades fundamentais do titular dos dados.
4.5. A Empresa poderá processar dados pessoais sensíveis para prevenção de fraudes ou pesquisas, caso em que a anonimização será garantida sempre que possível. Além disso, poderá processar esses dados com o consentimento do titular.
4.6. As informações coletadas também poderão ser utilizadas para fins publicitários, como o envio de comunicações e novidades de interesse dos clientes atuais e potenciais, e de terceiros. Nesses casos, o objetivo será atender melhor ao público-alvo oferecendo produtos que se encaixem em suas necessidades e perfil.
4.7. As informações coletadas também poderão ser usadas para análise de perfil, identificação, gestão e tratamento de riscos potenciais, para então oferecer e contratar produtos e/ou serviços e outras atividades de gestão de riscos, visando também a segurança dos clientes e usuários.
4.7.1 Os dados também podem ser usados para a análise de atividades relacionadas à proteção de crédito, como avaliação e gestão de riscos e avaliação do status financeiro e patrimonial, cobrança, cessão de crédito, atividades relacionadas à informação e consulta a entidades de proteção ao crédito e score de crédito.
4.8. Também para o cumprimento de obrigações legais, regulatórias e autorregulatórias, como: auditoria, conformidade, prevenção à lavagem de dinheiro e financiamento do terrorismo, reporte à Receita Federal, medidas de prevenção à fraude, fornecimento de informações ao Banco Central do Brasil e outros órgãos competentes no Brasil e no exterior, reporte de transações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras), entre outras atividades.
5.1. O acesso de terceiros à informação coletada pela Empresa é exclusivamente para o cumprimento dos fins estabelecidos nesta Política e dentro dos limites necessários para a realização de atividades relacionadas ao curso de seus negócios, e pode ser realizado, incluindo, mas não se limitando a:
5.1.1. Provedores de arranjo de pagamento e membros desses arranjos;
5.1.2. Redes de transferência eletrônica de fundos;
5.1.3. Bancos de compensação e liquidação;
5.1.4. Prestadores de serviços que realizam operações comerciais e/ou de processamento de informações para a Empresa e/ou atividades relacionadas às atividades da Empresa e que foram subcontratados pela Empresa;
5.1.5. Parceiros da Superintendência de Marketing;
5.1.6. Auditores independentes;
5.1.7. Agências de cobrança, serviços de proteção ao crédito e órgãos similares;
5.1.8. Órgãos regulatórios competentes.
5.2. O uso das informações coletadas pela Empresa, em qualquer um dos casos mencionados no item 5.1 acima, é feito exclusivamente para atender aos propósitos estabelecidos nesta Política, no desempenho das atividades da Empresa ou na oferta ao cliente de conteúdo específico a partir do uso das informações de maneira segura e abrangente sobre sua área de atuação, de forma criptografada sempre que possível e anonimamente quando apropriado.
5.3. A Empresa pode compartilhar informações agregadas com seus parceiros, desde que tais informações não sejam
pessoalmente identificáveis. Por exemplo, pode compartilhar informações para demonstrar tendências sobre o uso geral de seus serviços e/ou tendências e indicadores de mercado.
5.4. Sempre que se tornar necessário utilizar as informações coletadas pela Empresa para fins diferentes dos definidos nesta Política ou daqueles expressamente autorizados pelo titular dos dados, a Empresa informará diretamente o titular dos dados sobre este novo propósito e, quando necessário, deverá coletar nova autorização.\
5.5. Adicionalmente, é possível que algumas das transferências indicadas acima ocorram fora do território
brasileiro. Destinos podem incluir: Estados Unidos e União Europeia, ocasião em que a Empresa se compromete a fazê-lo apenas para países que ofereçam um grau de proteção para dados pessoais considerado adequado sob a legislação aplicável; ou por meio da adoção de garantias e salvaguardas, como cláusulas específicas, cláusulas padrão, padrões corporativos globais, entre outros; bem como por meio da coleta prévia de seu consentimento ou cumprimento das demais hipóteses autorizadas por lei.
5.6. A Empresa exige que todos os terceiros mantenham a confidencialidade das informações compartilhadas com eles ou às quais tenham acesso com base no exercício de sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos. No entanto, a Empresa não será responsável pelo uso indevido de tais informações, seja por terceiros ou seus funcionários, devido ao não cumprimento desta Política e obrigações contratuais assumidas por meio de seus próprios instrumentos.
5.7. A Empresa também requer que todos os terceiros contratados por ela cumpram todas as obrigações contidas nesta Política, e os terceiros estarão sujeitos às mesmas obrigações da Empresa, pelas atividades de processamento de dados realizadas, perante os titulares dos dados.
6.1. Para assegurar a segurança das informações coletadas e/ou fornecidas, a Empresa possui processos de segurança física, lógica, técnica e administrativa que são compatíveis com a sensibilidade das informações coletadas, cuja eficiência é avaliada periodicamente por meio de um processo de auditoria independente.
6.1.1 A Empresa utiliza uma infraestrutura de nuvem de ponta para garantir a gestão segura e a entrega de nossos serviços, priorizando a privacidade de nossos clientes. Utilizamos exclusivamente serviços de nuvem em conformidade com o SOC 2, que seguem os mais altos padrões de segurança da indústria.
6.2. A Empresa implementa novos procedimentos e melhorias tecnológicas contínuas para proteger todos os dados pessoais coletados e/ou transmitidos.
6.3. A Empresa utiliza os métodos e equipamentos mais recentes disponíveis no mercado para criptografar e anonimizar dados pessoais quando necessário. A criptografia nos permite proteger dados antes de serem transmitidos pela internet. Técnicas de criptografia tornam essas informações ilegíveis e impedem que outros as vejam antes de chegar ao nosso ambiente tecnológico.
6.3.1 No Credipay, utilizamos o Padrão de Criptografia Avançada de 256 bits (AES-256) para criptografar todos os dados, incluindo bancos de dados e armazenamento de arquivos. Essa criptografia serve como uma proteção vital à privacidade, restringindo o acesso do sistema e dos engenheiros a informações sensíveis e reforçando nosso compromisso com a privacidade do cliente.
6.3.2 Nossa abordagem para proteger dados durante a transferência envolve protocolos abrangentes de criptografia. Isso inclui a criptografia de todas as transferências de dados externas e internas, como chamadas de API e comunicações entre os serviços do Credipay, utilizando o Transport Layer Security (TLS). O uso do TLS, parte integrante do protocolo HTTPS para nossos pontos de extremidade de API, não apenas garante a segurança dos dados em trânsito, mas também garante sua integridade.
6.4. A Empresa somente autoriza o acesso de pessoas específicas ao local onde as informações pessoais são armazenadas, desde que esse acesso seja essencial, necessário e imprescindível para o cumprimento da atividade pretendida.
6.5. Para reforçar ainda mais a segurança, o Credipay implementa o protocolo Open ID Connect (OIDC) para autenticar todos as partes interessadas. Como uma extensão do OAuth2, o OIDC verifica as identidades dos usuários para permitir o acesso exclusivamente a usuários autorizados da Credipay. Além disso, ele gerencia autorizações detalhadas, concedendo aos usuários acesso a recursos específicos enquanto restringe o acesso a outros, mantendo assim um controle rigoroso sobre a acessibilidade dos dados.
6.6. A Empresa garante que os funcionários, terceiros ou parceiros que processam dados pessoais devem se comprometer a manter a absoluta confidencialidade das informações acessadas, bem como adotar as melhores práticas para o manuseio dessas informações, conforme estabelecido nas políticas e regulamentos internos.
6.7. Além dos esforços técnicos, a Empresa também adota medidas institucionais destinadas à proteção de dados pessoais, mantendo assim um programa de governança de privacidade aplicado às suas atividades e estrutura.
6.8. O acesso às informações coletadas é restrito aos funcionários e pessoas autorizadas. Qualquer pessoa que fizer uso indevido dessas informações estará sujeita às devidas sanções administrativas, disciplinares e legais.
6.9. Não obstante as medidas de segurança adotadas, a Empresa não será responsável por danos decorrentes de violações de segurança e/ou incidentes devido à ocorrência de qualquer fato ou situação pelo qual não seja responsável.
6.10. Ao processar as informações coletadas, a Empresa utiliza sistemas estruturados para atender aos requisitos de segurança e transparência, boas práticas e padrões de governança, e aos princípios gerais estabelecidos na LGPD.
7.1. Em conformidade com as regulamentações aplicáveis, no que diz respeito ao processamento de dados pessoais, a Empresa respeita e garante ao titular dos dados a possibilidade de apresentar solicitações com base nos seguintes direitos:
7.2. Parte dos direitos mencionados acima pode ser exercida diretamente pelo titular dos dados ou seu representante legal, a partir da gestão das informações de registro disponíveis na área logged in do site, enquanto outra parte dependerá do envio de uma solicitação ao nosso Responsável de Proteção de Dados ("DPO"), para mais avaliações e adoção das medidas necessárias. O canal para receber solicitações dessa natureza é o e-mail: legal@credix.finance.
7.3. Qualquer solicitação de exclusão de informações essenciais para a gestão do registro junto à Empresa implicará na rescisão de sua relação contratual, com a consequente cancelamento dos serviços então prestados, e os dados poderão ser mantidos para cumprir determinações legais ou regulatórias.
8.1. No caso de se tornar necessário divulgar dados pessoais, seja por cumprimento da lei, uma ordem judicial ou um órgão competente supervisionando as atividades realizadas pela Empresa e/ou terceiros, tais informações serão divulgadas apenas nos estritos termos e dentro dos limites necessários para sua divulgação, e os titulares das informações divulgadas, na medida do possível, serão notificados sobre tal divulgação, para que possam tomar medidas protetivas ou corretivas apropriadas.
9.1. Esta Política pode ser alterada a qualquer momento, dependendo do objetivo ou da necessidade de adequação e cumprimento da disposição da lei, regulamentação ou sempre que a Empresa considerar necessário. As mudanças serão divulgadas por meio do site do Credipay. A utilização contínua dos serviços ou a prestação de serviços à Empresa, conforme o caso, após a divulgação das alterações, será considerada aceitação, por parte do cliente e de terceiros, em relação aos novos termos e condições.
Os funcionários, fornecedores ou outras partes interessadas que observarem qualquer desvio das diretrizes desta Política podem relatar o fato ao DPO. Internamente, o descumprimento das diretrizes desta Política levará à aplicação de medidas de responsabilização aos agentes que não a cumprem, de acordo com a gravidade do descumprimento e conforme as regulamentações internas, e é aplicável a todas as pessoas descritas no item "Âmbito" desta Política, incluindo a liderança e os membros do Conselho Executivo.
Oficiais, Funcionários e Prestadores de Serviços: Observar e garantir o cumprimento desta Política e, quando necessário, entrar em contato com o DPO para orientação em situações envolvendo conflito com esta Política ou na ocorrência de situações descritas nela. Agir de forma ética e responsável ao tomar conhecimento de qualquer incidente de segurança envolvendo dados pessoais, informando, de forma oportuna, as áreas apropriadas. Compreender o papel da segurança da informação e privacidade em suas atividades diárias e participar de programas de conscientização e educação. Privacidade e Proteção de Dados: Assessorar o Conselho Executivo sobre questões de privacidade e proteção de dados, com o objetivo de cumprir as leis e regulamentos aplicáveis, em particular a LGPD. Conselho Executivo: Deliberar, conforme recomendado pelo DPO, sobre os recursos para a implementação, manutenção e melhoria da Política de Privacidade, incluindo a realização de análises críticas periódicas do sistema, apreciando os resultados, métricas e indicadores.
Clientes: Indivíduo que se registrou no sistema da Empresa, para quem os dados pessoais que são objeto de trabalho se referem;
Dados pessoais: Qualquer informação relacionada a um indivíduo identificado ou identificável, como: nome, sobrenome, data de nascimento, documentos pessoais (CPF, RG, CNH, Carteira de Trabalho, passaporte, título de eleitor, entre outros), endereço residencial ou comercial, telefone, e-mail, cookies e endereço IP;
Dados pessoais sensíveis: Quaisquer dados pessoais sobre origem racial ou étnica, crença religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dados concernentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a um indivíduo;
Responsável de Proteção de Dados (“DPO”): Responsável pelo contato entre os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados ("ANPD"), bem como encarregado das iniciativas do Programa de Governança de Privacidade de Dados da Empresa.
Informação: Dados, processados ou não, que podem ser usados para produção e transmissão de conhecimento, contidos em qualquer meio ou formato;
Proteção de dados pessoais: Garantia aos titulares dos dados os direitos de acesso, correção, controle e confidencialidade das informações.
Partes interessadas: Todos os públicos-alvo relevantes com interesses pertinentes à Empresa, bem como indivíduos ou entidades que assumem algum tipo de risco, direto ou indireto, em relação à Empresa. Entre outros, os seguintes são destacados: acionistas, investidores, funcionários, sociedades, clientes, fornecedores, credores, governos, órgãos reguladores, concorrentes, imprensa, associações e entidades de classe, usuários de meios eletrônicos de pagamento e organizações não governamentais.
Terceiros: Pessoa física ou entidade jurídica, pública ou privada, que presta serviços à Empresa, em suas instalações ou remotamente, e que, no exercício de suas atividades, pode ter acesso a informações relacionadas aos negócios da Empresa ou de seus Clientes.
Titular dos dados: Indivíduo a quem os dados pessoais objetos de processamento se referem.
Transport Layer Security (TLS): Um protocolo criptográfico que fornece segurança de ponta a ponta dos dados enviados entre aplicativos pela Internet.
A Diretoria da Empresa é responsável por alterar esta Política sempre que necessário.
