TRUST · SECURITY · COMPLIANCE
Confiança é documentada, auditada e renovada a cada ano.
Esta página é o ponto único onde engenheiros, DPOs e times jurídicos conseguem as evidências que precisam para aprovar a PagNow — sem abrir um ticket, sem assinar um NDA preliminar.
ARQUITETURA DE SEGURANÇA
Quatro pilares, auditados de forma independente.
CRIPTOGRAFIA
AES-256 em repouso, TLS 1.3 em trânsito
Todos os dados sensíveis são tokenizados. Chaves gerenciadas em HSM FIPS 140-2 Level 3 com rotação automática.
SEGREGAÇÃO
Fundos de clientes isolados
Contas segregadas em bancos Tier-1 (Itaú, Santander, JPMorgan). Reconciliação diária auditada por terceiros.
REDUNDÂNCIA
Multi-região, multi-AZ
Produção em eu-west-1 e sa-east-1 com failover automático. RPO < 5min, RTO < 15min.
MONITORAÇÃO
SOC 24/7 + resposta a incidentes
Detecção em tempo real, runbooks versionados, pós-mortem público em até 7 dias após qualquer Sev-1.
CERTIFICAÇÕES
Auditorias públicas. Reports sob NDA para o resto.
PCI DSS L1
2026.01.15 → 2027.01.15
Payment Card Industry Data Security Standard — Level 1
All card data environments (acquiring, tokenization, vault)
Auditor
KPMG Brasil
SOC 2 Type II
2025.11.30 → 2026.11.30
AICPA Service Organization Control 2
Security, availability, confidentiality, processing integrity
Auditor
Mazars
ISO/IEC 27001:2022
2025.08.22 → 2028.08.22
Information Security Management System
Production infrastructure, customer data, engineering processes
Auditor
BSI Group
LGPD · Lei 13.709/2018
2026.02.10 → Annual
Lei Geral de Proteção de Dados
Brazilian personal data processing · ANPD compliant
Auditor
Internal DPO + Mattos Filho
GDPR · Art. 30/32
2026.02.05 → Annual
General Data Protection Regulation
EU/EEA personal data · DPIA completed · DPO appointed
Auditor
Internal DPO + Bird & Bird
BACEN Nº 55.238
2024.06.30 → Renewable
Instituição de Pagamento
Licensed payment institution under Resolução BCB nº 80/2021
Auditor
Banco Central do Brasil
SUB-PROCESSADORES
Todos os terceiros que tocam dados de clientes.
Lista mantida por força de GDPR Art. 28. Notificamos alterações com 30 dias de antecedência via email registrado no DPA.
| Fornecedor | Finalidade | Região | Dados processados |
|---|---|---|---|
| Amazon Web Services | Primary cloud infrastructure | eu-west-1, sa-east-1 | All production data |
| Cloudflare | CDN, DDoS mitigation, WAF | Global | Edge traffic metadata |
| Fireblocks | Crypto custody (MPC) | EU, US | Wallet keys, on-chain addresses |
| Chainalysis | AML screening, Travel Rule | US, EU | Hashed wallet addresses |
| Datadog | Observability, logging | eu1 region | Application logs, metrics |
| Stripe Issuing | Card issuing backend | EU, US | Cardholder data (PCI scoped) |
| Sendgrid (Twilio) | Transactional email | US, EU | Customer email, event metadata |
| HubSpot | CRM, sales pipeline | EU region | Lead and commercial data only |
Atualizado em: 2026.04.01
RESPONSIBLE DISCLOSURE
Encontrou uma falha? Queremos saber — e pagamos por isso.
Programa de bug bounty público, sem safe-harbor exceção para pesquisa de boa-fé. Não retaliamos, não processamos.
- security@pagnow.com
- Fingerprint PGP
- 0xA4F7 9B2D 8E3C 1F05
- Tempo de resposta
- 24h
- Faixa de recompensa
- €500 — €50,000
Reports de auditoria sob NDA
Clientes ativos ou prospects em processo de procurement podem solicitar SOC 2, ISO 27001, PCI AOC e o resumo do último pentest.
- SOC 2 Type II ReportNDA · Resposta em 1 dia útil
- ISO 27001 CertificateNDA · Resposta em 1 dia útil
- PCI DSS AOCNDA · Resposta em 1 dia útil
- Penetration Test SummaryNDA · Resposta em 1 dia útil