Legal

Política de Privacidade e Proteção de Dados Pessoais

Versión 3.0 · Vigente desde 17 de junio de 2026 PÚBLICA

Entidad: A55 PAYMENTS LTDA
CNPJ: 54.792.038/0001-73
Encargado (DPO): [email protected]
Foro: Comarca de São Paulo/SP, Brasil
Próxima revisión: 17 de junio de 2027
Código canónico: POL-004 · LGPD-001

Contenido

1Objetivo

A A55 PAYMENTS LTDA (“A55”) é uma subcredenciadora (Payment Facilitator) que habilita estabelecimentos comerciais a aceitar pagamentos com cartão, em ambiente card-not-present e em operação transfronteiriça (cross-border), conectando-os a credenciadores e bandeiras.

Valorizando a privacidade dos seus usuários e para demonstrar o compromisso com a proteção dos dados pessoais, a A55 mantém esta Política de Privacidade e Proteção de Dados. Ela formaliza as diretrizes de proteção, privacidade e sigilo aplicáveis ao tratamento de dados, tanto na operação interna quanto na relação com os titulares que acessam as plataformas da A55.

No exercício dessa atividade, a A55 não oferta crédito, não abre nem administra conta de pagamento ou de depósito e não realiza análise de crédito. Esta Política deve ser lida e interpretada em conjunto com os Termos de Uso.

Fundamentado enLGPDLGPD (Lei nº 13.709/2018)Banco CentralLei nº 12.865/2013 · Res. BCB nº 522/2025 — subcredenciamento

Fuente canónica: POL-004 §1Verificado el: 17 de junio de 2026Responsable: DPO

2Definições

Para os fins desta Política, considera-se:

Titular — pessoa natural a quem se referem os dados pessoais tratados.
Usuário — titular que navega pelos sites e plataformas da A55.
Dado Pessoal — informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível — dado sobre origem racial, convicção religiosa, opinião política, saúde, biometria, entre outros.
Controlador — A55 PAYMENTS LTDA, a quem competem as decisões sobre o tratamento.
Operador (sub-processador) — quem trata dados pessoais em nome do controlador.
Encarregado (DPO) — canal de comunicação entre controlador, titulares e ANPD ([email protected]).
Tratamento — toda operação realizada com dados pessoais.
Anonimização — meios técnicos que tornam o dado não associável a um indivíduo.
Eliminação — exclusão de dado ou conjunto de dados armazenados.

Fundamentado enLGPDLGPD, art. 5º

Fuente canónica: POL-004 §2 · LGPD art. 5ºVerificado el: 17 de junio de 2026Responsable: DPO

3Base legal e regulatória

Esta Política está em conformidade com:

Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD).
Lei nº 12.965/2014 — Marco Civil da Internet.
Lei nº 12.865/2013 e Resolução BCB nº 522/2025 — arranjos de pagamento e subcredenciamento.
PCI DSS 4.0.1, Requisitos 3.1–3.5 e 12.3 — proteção, retenção, descarte e criptografia de dados de portadores de cartão. A A55 armazena o PAN criptografado e mantém os controles de proteção de stored account data sob sua gestão.

Fundamentado enLGPDLGPDLeiMarco Civil da InternetBanco CentralLei nº 12.865/2013 · Res. BCB nº 522/2025PCI DSSPCI DSS 3.1–3.5 e 12.3

Fuente canónica: POL-004 §3Verificado el: 20 de marzo de 2026Responsable: Jurídico

4Escopo e aplicabilidade

Esta Política se aplica a:

Todos os usuários que acessam os sites ou plataformas da A55 e fornecem dados pessoais para qualquer finalidade.
Todos os colaboradores, terceiros e parceiros que tratam dados pessoais em nome da A55.
Dados coletados pelo site institucional e pela plataforma de pagamentos, incluindo a página de checkout (pay.a55.tech).

Fundamentado enLGPDLGPD, art. 3º

Fuente canónica: POL-004 §4Verificado el: 17 de junio de 2026Responsable: DPO

5Princípios do tratamento

Ao tratar dados pessoais, a A55 e seus operadores adotam os princípios do art. 6º da LGPD:

Finalidade — propósitos legítimos, específicos e informados ao titular.
Adequação — compatibilidade do tratamento com as finalidades comunicadas.
Necessidade — limitação ao mínimo necessário.
Livre acesso — consulta facilitada e gratuita sobre forma e duração do tratamento.
Qualidade dos dados — exatidão, clareza e atualização.
Transparência — informações claras sobre os agentes de tratamento.
Segurança — medidas técnicas e administrativas contra acessos não autorizados.
Prevenção, não discriminação e responsabilização (accountability).

Fundamentado enLGPDLGPD, art. 6º

Fuente canónica: POL-004 §5 · LGPD art. 6ºVerificado el: 17 de junio de 2026Responsable: DPO

6Dados coletados e finalidades

A A55 coleta as seguintes categorias de dados:

Dados cadastrais — nome completo, RG, CPF/CNPJ, data de nascimento, endereço, e-mail e telefone.
Dados financeiros — dados bancários e informações de faturamento.
Identificação digital — endereço IP, registros de interação, dispositivo, sistema operacional, localização, Session ID e cookies.
Dados de cartão (CHD) — o PAN, o nome do titular e a data de validade são armazenados criptografados (Fernet/AES-128-CBC) em banco PostgreSQL (Azure). O CVV/CVC é processado exclusivamente em memória durante a autorização e NUNCA é armazenado. Para reduzir a exposição do número do cartão, a A55 emprega tokenização de rede (CyberSource) e autenticação 3-D Secure (Braspag) no fluxo de pagamento.

Finalidades: identificação e cadastro do usuário e do estabelecimento (KYC/KYB) e validação cadastral; processamento, autorização, compensação e liquidação de transações de pagamento; prevenção à fraude, à lavagem de dinheiro e ao financiamento do terrorismo; cumprimento de obrigações legais e regulatórias (BACEN, COAF); segurança da informação; e comunicação institucional (quando consentida).

Base legal do CHD: execução de contrato (art. 7º, V) e cumprimento de obrigação legal e regulatória (art. 7º, II — PCI DSS e Resolução BCB nº 85/2021). Um programa de prevenção à perda de dados (DLP) monitora a movimentação de CPF, e-mail e PAN, prevenindo vazamento por e-mail, drive ou chat corporativo.

Fundamentado enLGPDLGPD, art. 7º, II e VPCI DSSPCI DSS 3.3.1 — SAD/CVV não armazenado; tokenização e 3DSInfraestruturaPAN: Fernet/AES-128-CBC em Azure PostgreSQL; tokenização CyberSource; 3DS Braspag

Fuente canónica: POL-004 §6 · DOC-020Verificado el: 20 de marzo de 2026Responsable: DPO

7Operações de tratamento e bases legais

As operações realizadas com os dados pessoais incluem coleta, utilização, compartilhamento e armazenamento, sempre vinculadas a uma base legal do art. 7º da LGPD:

Cumprimento de obrigação legal ou regulatória (art. 7º, II).
Execução de contrato ou de diligências pré-contratuais a pedido do titular (art. 7º, V).
Consentimento do titular (art. 7º, I).
Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI).
Legítimo interesse, quando não prevalecer sobre os direitos e liberdades do titular (art. 7º, IX) — por exemplo, na prevenção à fraude e na segurança das transações.

Fundamentado enLGPDLGPD, art. 7ºBanco CentralResolução BCB nº 85/2021

Fuente canónica: POL-004 §7 · LGPD art. 7ºVerificado el: 17 de junio de 2026Responsable: Jurídico

8Compartilhamento e sub-processadores

A A55 compartilha dados apenas para finalidades legítimas e nunca os vende ou aluga. O compartilhamento ocorre com operadores e sub-processadores sob contrato de tratamento e confidencialidade e, quando legalmente exigido, com órgãos reguladores (BACEN, COAF, ANPD).

Os principais operadores e sub-processadores que sustentam a operação, sujeitos a requisitos contratuais de proteção dos dados de cartão (PCI DSS 12.8), são:

Microsoft Azure (EUA, região East US) — infraestrutura do ambiente de dados de cartão (CDE): banco de dados, cache, aplicações e cofre de chaves. PCI DSS Nível 1.
Amazon Web Services (EUA, região us-east-1) — autenticação federada (SSO de estabelecimentos) e cofre de segredos. PCI DSS Nível 1.
CyberSource (Visa) — tokenização de rede do PAN e antifraude. PCI DSS Nível 1.
Braspag (Cielo) — autenticação 3-D Secure. PCI DSS Nível 1.
Credenciadores e adquirentes (Cielo e demais parceiros nas rotas LATAM e cross-border) — processamento, compensação e liquidação das transações. Todos PCI DSS Nível 1.
Cloudflare — DNS, proteção de borda (WAF) e TLS dos domínios. PCI DSS Nível 1.
Netlify — hospedagem da página de checkout (pay.a55.tech). SOC 2 Tipo II.

Prestadores de tecnologia corporativa (identidade, e-mail e monitoramento) tratam apenas os dados estritamente necessários, sob contrato de tratamento. A relação completa de operadores é mantida e revisada no inventário de terceiros (POL-005 · PCI DSS 12.8.1).

Transferência internacional: parte do tratamento ocorre em provedores nos Estados Unidos e, nas transações cross-border, dados de pagamento podem ser transmitidos a credenciadores e bandeiras em outras jurisdições. A A55 assegura, por cláusulas contratuais específicas e medidas técnicas, padrão de proteção compatível com a LGPD, independentemente do país de processamento (art. 33).

Fundamentado enLGPDLGPD, art. 39 (operadores) e 33 (transferência internacional)PCI DSSPCI DSS 12.8 — gestão de terceirosInfraestruturaOperadores: Azure, AWS, CyberSource, Braspag, Cielo, Cloudflare, Netlify

Fuente canónica: POL-004 §8 · POL-005 (PCI DSS 12.8.1)Verificado el: 17 de junio de 2026Responsable: Compliance · TPRM

9Armazenamento, segurança e retenção

Os dados são armazenados em arquitetura multi-cloud, com controles técnicos e administrativos proporcionais ao risco:

Dados de cartão (CDE, Azure East US) — PAN criptografado (Fernet/AES-128-CBC) em PostgreSQL; cofre de chaves Azure Key Vault (FIPS 140-2 Nível 2); acesso restrito por VPN, MFA e RBAC; endpoints privados sem exposição pública.
Dados corporativos e chaves (AWS us-east-1) — cofre de segredos com criptografia em repouso e em trânsito.
Controles de acesso — MFA obrigatório, senha mínima de 12 caracteres e expiração de sessão em 15 minutos.
Proteção (LGPD art. 46) — DLP, criptografia forte em repouso e em trânsito (TLS 1.2+), classificação de dados e monitoramento contínuo.

Prazos de conservação, conforme o Cronograma de Retenção e Descarte (DOC-020): os dados de cartão (PAN, nome e validade) são retidos durante o relacionamento ativo do merchant e por 12 meses após o término do contrato, e então descartados; o CVV nunca é armazenado; os logs transacionais são retidos por 365 dias e os logs de auditoria e segurança por no mínimo 12 meses (PCI DSS 10.5.1); os backups automáticos do banco têm rotação de 7 dias. Os dados corporativos seguem os prazos das obrigações legais aplicáveis (BACEN e COAF).

Fundamentado enLGPDLGPD, art. 46PCI DSSPCI DSS 3.2.1, 8.2.8, 8.3.6, 10.5.1InfraestruturaAzure East US + AWS us-east-1 + Key Vault FIPS 140-2 L2; TLS 1.2+

Fuente canónica: POL-004 §9 · DOC-020 (PCI DSS 3.2.1)Verificado el: 20 de marzo de 2026Responsable: Segurança · CTO

10Direitos dos titulares

Em cumprimento ao art. 18 da LGPD, a A55 assegura ao titular:

Confirmação da existência de tratamento e acesso aos dados.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
Portabilidade a outro fornecedor.
Eliminação dos dados tratados com consentimento.
Informação sobre o compartilhamento com terceiros.
Revogação do consentimento a qualquer tempo.

Para exercer qualquer desses direitos, o titular deve contatar o Encarregado em [email protected]. Todas as operações de acesso e modificação de dados são registradas em logs de auditoria para rastreabilidade.

Fundamentado enLGPDLGPD, art. 18

Fuente canónica: POL-004 §10 · LGPD art. 18Verificado el: 17 de junio de 2026Responsable: DPO

11Dados sensíveis e de menores

O tratamento de dados pessoais sensíveis ocorre apenas mediante consentimento específico e destacado, ou nas hipóteses do art. 11 da LGPD.

Os sites e plataformas da A55 não são destinados a menores de idade; a A55 não coleta intencionalmente dados de menores. Havendo mudança de finalidade incompatível com o consentimento original, o titular é notificado e pode revogá-lo.

Fundamentado enLGPDLGPD, art. 11 e 14

Fuente canónica: POL-004 §11 · LGPD art. 11 e 14Verificado el: 17 de junio de 2026Responsable: DPO

12Canais de contato e disposições gerais

Canais oficiais para questões de privacidade e proteção de dados:

Encarregado (DPO) — privacidade e direitos do titular: [email protected]
Foro: Comarca de São Paulo/SP

Ao utilizar os serviços, o usuário declara estar de acordo com esta Política, que pode ser alterada a qualquer tempo mediante prévia notificação. A A55 comunica operações suspeitas ao BACEN/COAF conforme a Lei nº 9.613/1998. Este documento é revisado anualmente pela equipe de Compliance.

Fundamentado enLGPDLGPD, art. 41 (Encarregado)LeiLei nº 9.613/1998LeiForo: Comarca de São Paulo/SP

Fuente canónica: POL-004 §12 · LGPD art. 41Verificado el: 17 de junio de 2026Responsable: DPO