Política de Segurança da Informação

Esta Política estabelece os princípios, diretrizes e responsabilidades para a Segurança da Informação e Cibernética da BlockRiver, em conformidade com a Resolução BCB nº 85/2021, ISO/IEC 27001 e 27701, e com o padrão PCI-DSS nível 1. Aplica-se a todos os colaboradores, terceiros, parceiros e fornecedores que tenham acesso a informações, sistemas ou dados sob gestão da BlockRiver.

A Política é aprovada anualmente pela Diretoria e pelo Conselho de Administração. A Diretoria de Segurança da Informação (CISO) reporta-se diretamente ao Diretor responsável perante o Banco Central pelas matérias de risco operacional e cibersegurança. Há Comitê de Segurança com reuniões mensais.

• Confidencialidade, Integridade e Disponibilidade (CID) • Mínimo privilégio e necessidade de conhecer • Defesa em profundidade e segregação de ambientes • Segurança desde a concepção (Security by Design) e por padrão • Resiliência e continuidade operacional • Melhoria contínua e aprendizado com incidentes

• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256) • MFA obrigatório para colaboradores e opcional-forte para clientes • Segregação de ambientes (dev, homologação, produção) • Monitoramento SIEM 24×7 por SOC próprio • Testes de intrusão trimestrais por empresas independentes (red team) • Gestão de vulnerabilidades com SLA baseado em severidade CVSS • WAF, anti-DDoS e proteção de APIs • Custódia de criptoativos em HSMs certificados FIPS 140-2 Level 3 • Cold storage majoritário (≥ 95% dos ativos)

Acessos são concedidos por perfil (RBAC), revisados trimestralmente e removidos imediatamente após desligamento. Acessos privilegiados exigem just-in-time approval e gravação de sessão. Credenciais de produção nunca trafegam em texto claro e são armazenadas em cofre centralizado.

Todo fornecedor com acesso a dados ou sistemas passa por due diligence de segurança antes da contratação e por revalidação anual. Contratos contemplam cláusulas de segurança, auditoria e notificação de incidentes em até 24h.

Equipe de CSIRT dedicada, com playbooks testados via exercícios de mesa (tabletop). Incidentes relevantes são comunicados ao Banco Central em até 3 dias úteis, conforme a Resolução BCB nº 85/2021. Incidentes com dados pessoais seguem o fluxo LGPD (ANPD e titulares).

Plano de Continuidade (PCN) e Plano de Recuperação de Desastres (DRP) testados semestralmente. RTO de 4 horas e RPO de 15 minutos para serviços críticos. Infraestrutura multi-AZ com replicação síncrona.

Colaboradores passam por treinamento de segurança na contratação e reciclagem anual. Campanhas de phishing simulado são conduzidas trimestralmente. Há código de conduta específico para manuseio de dados sensíveis.

Auditorias internas e externas independentes são conduzidas anualmente (SOC 2 Tipo II, ISO 27001). Relatórios resumidos ficam disponíveis a clientes institucionais sob NDA.

Esta Política é revisada anualmente ou sempre que mudanças relevantes no cenário de ameaças, na regulação ou na estrutura da BlockRiver exigirem. Versão vigente: v2.4 (abril de 2026).