Segurança

HOME / INSTITUCIONAL / Segurança

 Nosso site é feito pela plataforma da Betalabs, que utiliza da Amazon Web Services Technology, sendo esta, qualificada para executar as melhores práticas de segurança exigidas pelo mercado.

 A infraestrutura da Amazon Web Services utiliza uma avançada defesa para ajudar a proteger a privacidade do cliente. Todos os dados são armazenados em datacenters altamente seguros.

 A Amazon Web Services gerencia dúzias de programas de conformidade em sua infraestrutura. A segurança é escalada de acordo com o uso. Não importando o tamanho da empresa, a infraestrutura da Amazon Web Services foi criada para manter os dados sempre seguros.

 Todas as aplicações e dados trafegam em ambiente protegido por criptografia SSL, a mesma tecnologia utilizada pela maioria dos internet bankings.

 A plataforma da Betalabs roda em estrutura protegida por um sofisticado firewall, com monitoramento constante e detecção de atividades suspeitas em tempo real.

 A plataforma conta com rotinas automáticas de backup que garantem a recuperação de dados, inclusive em caso de desastres estruturais.

 Para recebimento dos valores pagos por nossos usuários utilizamos do serviço da Pagar.me. Para o Pagar.me transparência é fundamental, por isso, preparamos este aviso para informar de forma clara e direta como e em que momentos utilizamos cookies em nossos sites, portais e plataformas ("Plataformas").'

A menos que você, Comprador, preencha algum cadastro ou interaja com o Pagar.me em situações específicas, nós apenas utilizamos seus:

(I) Dados de transações e/ou pagamentos (incluindo nome, dados do meio de pagamento elegido, inclusive cartão, e outras informações eventualmente fornecidas por nossos clientes, que possuem relação direta com você) para processar e confirmar transações no contexto da prestação de nossos serviços, bem como para proteger você, o Pagar.me (e seus clientes) de fraudes.

(II) Dados bancários (nº da conta bancária e agência) somente no caso de estorno de boletos.

(III) Dados de Endereço, para compor as informações que asseguram a autenticidade da compra realizada, de acordo com a Solução contratada pelo cliente Pagar.me;

(IV) Dados de compras (produtos no carrinho, valor da compra) realizadas por você, em nossos clientes;

(V) Anotações realizadas pelos clientes sobre compras ou clientes;

(VI) Dados provenientes de integração com serviços antifraude ou de conciliação financeira que o lojista faça uso.

 É muito importante você saber que todas as nossas operações de Tratamento de Dados respeitam padrões de segurança internacionais aplicáveis ao nosso setor, como, por exemplo, as diretrizes PCI-DSS (Payment Card Industry – Data Security Standard), que inclui, entre diversos requisitos de segurança, a criptografia dos Dados de cartões.

Na maior parte das situações aqui levantadas, o Pagar.me será considerado Operador de Dados, tendo em vista sua atividade principal no fornecimento das Soluções.

É muito importante você saber que todas as nossas operações de Tratamento de Dados respeitam padrões de segurança internacionais aplicáveis ao nosso setor, como, por exemplo, as diretrizes PCI-DSS (Payment Card Industry – Data Security Standard), que inclui, entre diversos requisitos de segurança, a criptografia dos Dados de cartões.

Na maior parte das situações aqui levantadas, o Pagar.me será considerado Operador de Dados, tendo em vista sua atividade principal no fornecimento das Soluções.

Informamos que nos casos em que o Pagar.me estiver atuando na condição de Operador, os direitos elencados no item 6 deste termo deverão ser solicitados diretamente ao Controlador, ou seja, ao cliente dos serviços Pagar.me.

1. Aviso de privacidade

Este Aviso de Privacidade estabelece as diretrizes adotadas pelo Pagar.me Pagamentos S.A. (CNPJ nº 18.727.053/0001-74) que visam assegurar a privacidade e a segurança das informações tratadas no âmbito da oferta e disponibilização de Soluções e Plataformas aos Usuários.

Ao utilizar as Plataformas e Soluções Pagar.me, o Usuário declara estar ciente do disposto neste Aviso de Privacidade.

Termos definidos e interpretação

Para melhor compreensão deste Aviso de Privacidade, a sessão Termos Definidos e Interpretação define os termos iniciados com maiúsculas, assim como regras de interpretação aplicáveis a este Aviso de Privacidade.

2. Coleta de dados pessoais

O Pagar.me poderá Tratar Dados Pessoais: (i) fornecidos pelo Usuário por meio do preenchimento de cadastro perante o Pagar.me ou Afiliadas; (ii) coletados, inclusive automaticamente, durante a utilização das Soluções e Plataformas; (iii) compartilhados, armazenados ou transmitidos, incluisve em nome de nossos clientes, durante a utilização das Soluções e Plataformas por Usuários e Compradores.

Nesses casos, os seguintes tipos de Dados Pessoais poderão ser Tratados:

Dados cadastrais: como nome, número de telefone, e-mail, endereço (inclusive IP), número de identidade e CPF, nacionalidade dentre outras informações que poderão ser solicitadas inclusive em campos de cadastro, úteis para viabilizar a prestação das Soluções e Plataformas;

Dados bancários: como número da conta e agência bancária, dentre outros semelhantes;

Dados de contato para publicidade: aqueles que auxiliem o Pagar.me e/ou Afiliadas a contatar indivíduos com fins de envio de material publicitário ou outros tipos de propaganda, incluindo números de telefone, endereço para correspondência, e-mail, perfis em redes sociais.

Dados de interação: caso o Usuário tenha utilizado algum canal de contato para falar com o Pagar.me, poderão ser armazenados os dados da ligação ou do contato via chat, a gravação da mensagem e/ou o conteúdo do que foi dito aos colaboradores ou prepostos do Pagar.me.

Caso o Usuário tenha interagido com a marca Pagar.me em redes sociais, sites e aplicativos, poderão ser coletados Dados fornecidos pelo Usuário ou gerados a partir das interações feitas.

Cookies: que podem envolver endereço IP, horários de acesso as Soluções e Plataformas, identificadores relacionados a cookies, web beacons ou tecnologias semelhantes que possuam a capacidade de identificação de dispositivos e navegadores. Para saber detalhadamente como utilizamos cookies, consulte o Aviso de Cookies.

Dados de transações: que podem incluir informações referentes a cartão e/ou outros meios de pagamento, forma de pagamento, número de parcelas e valores transacionados em operações de clientes que utilizam nossas Soluções, nos termos das normas e regulamentos como o PCI e o sigilo bancário.

Dados de localização: que indicam a localização de Usuários das Soluções e Plataformas, obtidos por meio de tecnologias como bloqueio de IP.

Cookies e outras tecnologias

Os Aplicativos e Soluções Pagar.me podem utilizar cookies, nos limites do disposto em política específica (e que podem envolver os seguintes Dados: endereço IP, horários de acesso, identificadores relacionados a cookies, web beacons ou tecnologias semelhantes que possuam a capacidade de identificação de dispositivos e navegadores). Esta coleta de informações busca possibilitar e aprimorar a navegação e a experiência do Usuário.

Dados de terceiros

Os Usuários são responsáveis por quaisquer Dados de terceiros que por eles forem obtidos e disponibilizados, publicados ou compartilhados por meio das Soluções e Plataformas, confirmando que possuem base legal para fornecê-los à Pagar.me.

3. Finalidade do tratamento de dados pessoais

Os Dados Pessoais coletados, são tratados de forma ética e conforme os mais confiáveis padrões de segurança e confidencialidade.

Nos casos em que o Pagar.me estiver atuando como Operador, o Controlador é quem definirá finalidade e base legal para o Tratamento.

A seguir detalhamos cada uma das bases legais usadas no cenário em que o Pagar.me é Controlador dos Dados Pessoais:

(I) Cumprimento de obrigações legais e regulatórias: a Stone SCD pode vir a tratar Dados Pessoais com, por exemplo, finalidades de: cumprimento do Código Civil, do Marco Civil da Internet, Lei do Sigilo Bancário e de normas setoriais referentes à atuação de Instituições de Pagamento autorizadas pelo Banco Central do Brasil, prevenção a ilícitos dentre outras que venham a ser aplicáveis.

O Pagar.me é um PSP, regulado e supervisionado pelo Banco Central do Brasil, e, por esse motivo, deve guardar estrita observância aos normativos regulatórios aplicáveis, inclusive aqueles que impõem obrigações relativas à coleta, armazenamento e descarte de Dados.

Por esse motivo irá armazenar os dados cadastrais, de transações financeiras e bancários na estrita medida que determina a regulação do Banco Central do Brasil e normas da indústria de meios de pagamentos como o PCI (Security Standards Council). Sempre, ainda, observadas diretrizes que buscam assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

(II) Quando necessário para a execução de contrato: poderemos utilizar Dados Pessoais para a execução de um contrato, a fim de viabilizar a prestação das Soluções contratados, o que pode incluir, a depender das opções dos Usuários: cadastro e disponibilização das Soluções e Plataformas, bem como serviços correlatos como suporte e manutenção, atendimento, funcionalidades de gestão financeira dos negócios e liquidação financeira do valor líquido das transações prevista em contrato, empréstimo, funcionalidades de gestão financeira dos negócios e liquidação financeira do valor líquido das transações prevista em contrato.

Ainda, para efetivação de uma transação, a partir de Dados Controlados por nossos clientes, poderemos Tratar alguns Dados dos Compradores ou sellers de marketplace, nos termos dos serviços contratados pelos clientes Pagar.me.

(III) Com base no legítimo interesse: o Pagar.me poderá tratar Dados Pessoais com base em seu legítimo interesse, de seus clientes e Afiliadas, de acordo com os requisitos e limites legais para esse Tratamento. As atividades baseadas no legítimo interesse podem envolver a utilização de Dados Pessoais para:

Monitorar a utilização dos Serviços e Plataformas de forma pontual para verificar possíveis fraudes e ilícitos em casos específicos, com eventual compartilhamento de Dados Pessoais com Afiliadas e outras instituições autorizadas pelo Banco Central do Brasil, para fins de apuração das condutas descritas.

Precificação, aperfeiçoamento e atualização das Soluções e Plataformas, bem como criação de novos produtos e funcionalidades;

Analisar eventuais erros ou falhas em nossos Serviços e Plataformas;

Realizar vistorias internas necessárias para a correta prestação dos Serviços e Plataformas;

Monitorar o atendimento;

Construir indicadores de utilização dos Serviços e Plataformas e de atendimento;

Disponibilizar as informações necessárias aos Usuários (em razão da Solução contratada ou acesso às Plataformas);

Confirmar a identidade dos Usuários; e

Promover atividades promocionais e de marketing, e compartilhar Dados inclusive com o fim de ofertar produtos e serviços desenvolvidos por parceiros e/ou Afiliadas.

(IV) Por meio da coleta de consentimento: o Pagar.me poderá requerer consentimento para o Tratamento de Dados Pessoais que eventualmente não se encaixarem na hipótese de legítimo interesse ou outra base legal.

O Pagar.me poderá pedir consentimento para, por exemplo:

Coletar Dados para a pesquisa de novos produtos;

Realizar análises a fim de identificar e solucionar transtornos operacionais;

Suprir eventuais demandas e necessidades dos Usuários;

Prestar suporte necessário para utilização das Soluções e Plataformas;

Compartilhar Dados com parceiros do Pagar.me e/ou Afiliadas;

Ofertar produtos e serviços desenvolvidos por parceiros e/ou Afiliadas;

As Soluções e Plataformas poderão requisitar a transmissão de informações de localização, cabendo ao Usuário optar livremente pela opção mais adequada, segundo as suas preferências.

Quando for solicitado consentimento do Usuário para coletar qualquer tipo de Dado, o Usuário poderá ou não fornecê-lo, sendo informado pelo Pagar.me das consequências de sua negativa.

(V) Para a defesa de direitos em processos judiciais, administrativos ou arbitrais: poderão ser armazenados e compartilhados Dados Pessoais, para eventual defesa dos direitos e interesses do Pagar.me em quaisquer tipos de conflitos, especialmente ações judiciais.

(VI) Para análise e proteção ao crédito: utilizamos Dados para análise de crédito nas Soluções que demandem tais Tratamentos.

(VII) Para garantia da prevenção à fraude e à segurança dos Titulares, nos processos de identificação e autenticação de cadastro nas Plataformas e Soluções Pagar.me, o que pode incluir dados biométricos.

4. Compartilhamento dos dados

Respeitados os limites legais, os Dados Pessoais que Tratamos poderão ser compartilhados com:

Afiliadas, visando inclusive a oferta e disponibilização das Soluções e Plataformas, incluindo em situações de uso de infraestrutura compartilhada; a viabilização de acesso as Soluções e Plataformas; cobrança e recuperação de crédito e a oferta de produtos e soluções desenvolvidos por Afiliadas.

Fornecedores de tecnologia parceiros, no Brasil e exterior, para prover a infraestrutura técnica necessária à oferta das Soluções e Plataformas.

Instituições autorizadas pelo Banco Central do Brasil e integrantes do mercado de meios de pagamentos que auxiliam a Pagar.me na prestação de Soluções e Plataformas.

Terceiros que prestem inclusive de serviços antifraude, com fins a manutenção da segurança dos Usuários e das Soluções e Plataformas, em casos específicos.

Autoridades competentes e outras instituições autorizadas pelo Banco Central do Brasil, bem como com Afiliadas, sempre que cabível, de forma pontual, para apurar possíveis fraudes em casos específicos.

O Pagar.me poderá adotar técnicas de anonimização, a exemplo da aleatorização e generalização, para proteção dos Dados que vierem a ser repassados as Afiliadas.

Além dessas hipóteses, os Dados poderão ser compartilhados quando o Usuário autorizar, de acordo com as informações fornecidas no momento da solicitação da autorização pelo Pagar.me.

5. Segurança e confidencialidade dos dados

O Pagar.me atua no sentido de implementar medidas de segurança que protejam os sistemas e bases de Dados, envidando os melhores esforços na proteção das Soluções e Plataformas contra tentativas de violações ou acessos clandestinos à sua base de Dados. Dentre as medidas estão a utilização de criptografia dos Dados, o controle de acesso de informações, a utilização de firewalls e a implementação de política interna de segurança da informação, arquitetura da solução de software com prevenção a invasão, utilização de HTTPS.

O Tratamento de Dados é realizado utilizando computadores e/ou ferramentas de tecnologia da informação habilitadas, seguindo procedimentos organizacionais e meios estritamente relacionados aos objetivos estabelecidos neste Aviso de Privacidade e o acesso aos Dados é restrito a colaboradores devidamente autorizados pelo Pagar.me, o que garante a devida utilização dos Dados por parte dos colaboradores.

Apesar dos esforços do Pagar.me, considerando a natureza e arquitetura da internet, o que inclui elementos que não estão sob o razoável controle do Pagar.me, não é razoável garantir que agentes mal-intencionados não conseguirão ter acesso ou fazer uso indevido dos Dados Pessoais, dado se tratar de um risco inerente à utilização de sistemas informatizados.

A fim de atender aos melhores padrões internacionais de segurança e proteção de Dados, o Pagar.me pode utilizar parceiros localizados no exterior para disponibilizar infraestrutura técnica necessária à oferta dos nossos serviços.

6. Por quanto tempo guardamos os dados

Os Dados Pessoais Tratados pelo Pagar.me serão armazenados pelo tempo necessário a execução das atividades, observando, sempre que aplicáveis, as disposições legais e regulatórias. Assim, mesmo quando a exclusão de Dados for solicitada pelo Titular de Dados, a Stone poderá manter os Dados caso ainda haja fundamento legal para tanto, de acordo com as seguintes diretrizes:

Somente poderão ser retidos Dados Pessoais estritamente necessários para o cumprimento das finalidades do Tratamento. O Usuário poderá solicitar a exclusão de Dados Pessoais desnecessários, excessivos ou Tratados em desconformidade;

Os períodos de retenção deverão ser cumpridos conforme a natureza dos Dados Pessoais e a finalidade do Tratamento e observar, sempre que aplicável, as disposições legais e regulatórias que indiquem um prazo específico de guarda de documentos; e

A retenção do Dado Pessoal deverá ser fundamentada e justificável, dependendo da finalidade do Tratamento.

7. Direitos dos titulares

Quando a lei n° 13.709 de 14 de Agosto de 2018 (Lei Geral de Proteção de Dados) entrar em vigor, o Pagar.me garantirá o cumprimento dos direitos aplicáveis referentes ao Titular de Dados Pessoais, respeitados os limites legais impostos:

Informação: o Titular de Dados Pessoais pode requerer a confirmação da existência de Tratamento de Dados Pessoais pelo Pagar.me. Em caso positivo, será garantido o acesso ao conteúdo armazenado, bem como informações sobre possível compartilhamento de Dados Pessoais, respeitados os limites técnicos e jurídicos.

Correção: é possível corrigir/atualizar informações inexatas ou desatualizadas.

Portabilidade: respeitados os limites técnicos e jurídicos, os Titulares podem requerer o recebimento de seus Dados em formato que seja comum, de forma a facilitar a portabilidade de Dados.

Revogação do consentimento: quando o consentimento for solicitado para o Tratamento de Dados, o Titular poderá optar a qualquer momento por sua revogação (opt-out), hipótese na qual será informado de suas consequências em relação a prestação das Soluções e acesso às Plataformas, por exemplo.

Exclusão dos dados: em alguns casos o Titular poderá solicitar a exclusão de seus Dados, caso não haja nenhuma previsão legal em contrário ou que determine a necessidade de manutenção dos Dados.

Nos casos em que o Pagar.me estiver atuando na condição de Operadora de Dados Pessoais, os direitos acima elencados deverão ser exercidos diretamente perante o Controlador de Dados.

8. Canal de contato

Para dúvidas ou solicitações, os usuários devem entrar em contato com o encarregado de proteção de dados pessoais da Stone Co por meios de um dos nossos canais de atendimento.

Endereço para correspondência: Rua Fidêncio Ramos, 308, Vila Olímpia, São Paulo-SP, CEP 04551-902

9. Alteração do aviso de privacidade

Este Aviso de Privacidade está sujeito a eventuais alterações e atualizações pelo Pagar.me, a qualquer tempo, para permitir a contínua melhoria de suas Soluções e Plataformas. Em caso de alterações relevantes, o Pagar.me dará publicidade a tais modificações.

É recomendado que os Titulares consultem regularmente este Aviso de Privacidade para estarem sempre atualizados com relação ao Tratamento de Dados pelo Pagar.me.

Este Aviso de Privacidade se restringe as Plataformas e Soluções Pagar.me, não abrangendo sites e plataformas de terceiros que eventualmente sejam mencionados e indicados, considerados ambientes externos.

Última atualização em 05 de julho de 2020.

10. Definições e interpretação

Termos definidos

Os termos abaixo descritos, quando aqui utilizados, terão os significados previstos abaixo, respectivamente:

Afiliadas

Significa as sociedades que integram o grupo econômico do qual faz parte o Pagar.me e/ou parceiros estratégicos do Pagar.me e eventuais prestadores de serviços ou subcontratadas.

Dados ou Dados Pessoais

Significa qualquer informação que seja capaz de identificar um Titular de Dados (de forma direta ou indiretamente), conforme legislação vigente.

Neste Aviso de Privacidade, trataremos como Dado ou Dado Pessoal todas as informações que se refiram a um Titular de Dados e que, por alguma razão, sejam tratadas pelo Pagar.me.

Plataformas

Significa todos os sites, portais e aplicativos moveis e/ou interface web, mantidos e disponibilizados pelo Pagar.me aos Usuários.

Soluções Pagar.me (ou Solução)

Significa todos os produtos e serviços atualmente disponibilizados ou que venham a ser desenvolvidos e oferecidos pelo Pagar.me aos Usuários.

Titular de dados

Significa a pessoa física a que se refere um Dado Pessoal, conforme legislação vigente. Este Aviso de Privacidade é destinado aos seguintes Titulares de Dados:

a) Usuário das Soluções e/ou Plataformas Pagar.me (ou simplesmente “Usuário”): pessoa física ou representante, preposto ou funcionário autorizado de pessoa jurídica, que efetivamente contrata e/ou utiliza as Soluções e Plataformas Pagar.me; ou,

b) Comprador: pessoa física ou preposto de pessoa jurídica, portador de cartão, pagador de boleto e/ou que se utiliza de outros meios de pagamento.

Atenção: o Pagar.me, assim como as demais empresas StoneCo, possui Avisos de Privacidade específicos para colaboradores, candidatos de processos seletivos e visitantes.

Tratamento

Significa toda operação realizada com Dados Pessoais, tais como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Controlador e operador

Os termos “Controlador” e “Operador” terão o significado que lhes é atribuído no art. 5º, da Lei nº 13.709 de 14 de agosto de 2018, conforme alterada.

Interpretação

Neste Aviso de Privacidade, exceto se expressamente indicado de modo diverso: (i) o índice e os títulos dos capítulos e das cláusulas são somente para fins de conveniência e não deverão afetar a interpretação deste Aviso de Privacidade e/ou de qualquer de seus dispositivos; (ii) referências a um documento ou contrato, incluindo este Aviso de Privacidade deverão ser consideradas como incluindo qualquer alteração, ajuste, modificação ou aditamento dos mesmos, celebrados de acordo com seus termos; (iii) os termos “incluir”, “inclui” e “incluindo” não são restritivos e devem conotar exemplificação; (iv) referências a qualquer pessoa deverão incluir seus sucessores e cessionários permitidos, herdeiros e representantes; (v) os termos “deste”, “neste” e “sob este” e outros termos de significado semelhante deverão se referir a este Aviso de Privacidade como um todo e não a alguma disposição em especial deste Aviso de Privacidade; (vi) as referências a “dias” deverão significar Dias Úteis; (vii) o singular inclui o plural e o plural inclui o singular, e uma referência ao masculino incluirá uma referência ao feminino e neutro; (viii) as referências a quaisquer Leis, de forma geral, deverão significar as Leis em vigor na data de assinatura deste Aviso de Privacidade e as referências a qualquer Lei específica deverão significar tal Lei específica, da forma como estiver em vigor na data de assinatura deste Aviso de Privacidade; e (ix) qualquer referência a um artigo, seção, cláusula, ou anexo é uma referência ao artigo, à seção, à cláusula deste Aviso de Privacidade a menos que seja indicado de outra forma.

Prevalência

Na hipótese de divergência entre o Aviso de Privacidade e eventuais anexos, prevalecerão os termos e condições deste Aviso de Privacidade, sendo que os anexos que tenham sido celebrados em data posterior prevalecerão sobre os anexos celebrados em datas anteriores.

O termo de segurança acima foi atualizado em 01/02/2022, por nossa equipe do Alfa Materiais. Com exceção do termo da Pagar.me, que foi atualizado pela equipe deles pela última vez em 05/07/2020.