APRESENTAÇÃO

A Política de Privacidade e Proteção de Dados Pessoais da MARCHAPAY LTDA E.P.P. tem como objetivo informar e esclarecer como nossa instituição, na qualidade de Provedora de Serviços de Tecnologia (PST) e Gateway de Pagamentos, trata os dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018 - LGPD) e demais leis aplicáveis à privacidade e sigilo. Esta política foi desenvolvida com linguagem clara e objetiva, refletindo nosso compromisso com a transparência, ética e responsabilidade no tratamento de dados pessoais de todos que se relacionam conosco, incluindo Lojistas, Consumidores Finais e parceiros do Arranjo de Pagamento.

PARA QUEM É ESTA POLÍTICA

Esta Política de Privacidade é destinada a todas as pessoas físicas cujos dados são tratados pela MarchaPay.

I. Pessoas Físicas

a. Administradores, sócios e representantes dos Lojistas e Parceiros da MarchaPay.

b. Consumidores Finais que realizam transações através do nosso Gateway (dados tratados primariamente para Antifraude).

c. Procuradores, tutores ou curadores de clientes.

d. Visitantes de nossos canais digitais.

II.Pessoas Jurídicas

a. Esta política regula o tratamento dos dados pessoais dos sócios, administradores, empregados e representantes de empresas que são Lojistas, Fornecedores ou Parceiros da MarchaPay.

III. Interações Digitais Se você está visitando nosso site, utilizando nossos aplicativos móveis ou teve qualquer contato com a MarchaPay, esta política se aplica ao tratamento dos seus dados técnicos e de navegação.

NOSSO COMPROMISSO COM SEUS DADOS

I. Princípios Fundamentais É nosso compromisso proteger os dados que coletamos e utilizamos, zelando pelo tratamento ético, transparente e responsável dos seus dados pessoais. Nossos princípios são baseados em:

a. Transparência: Informações claras sobre como tratamos seus dados pessoais, incluindo as finalidades primárias de Prevenção à Fraude e Compliance.

b. Segurança: Implementação de medidas técnicas e organizacionais adequadas (criptografia, controle de acesso) para proteger seus dados contra acessos não autorizados ou vazamentos.

c. Minimização: Coleta e tratamento apenas dos dados pessoais estritamente necessários para as finalidades específicas e legítimas.

d. Responsabilização: Demonstração da adoção de medidas eficazes para comprovar a observância e cumprimento das normas da LGPD.

II. Sobre a MARCHAPAY LTDA E.P.P.

A MarchaPay atua no mercado de Tecnologia e Pagamentos Digitais como Provedora de Serviços de Tecnologia (PST) e Gateway de Pagamentos. Para fins desta Política, a MarchaPay atua primariamente como Controladora de Dados para as finalidades de Antifraude e Compliance (KYC) e como Operadora de Dados para o mero processamento e roteamento de transações, conforme exigido pelos Lojistas.

ESTRUTURA DE GOVERNANÇA DE DADOS PESSOAIS

I. Governança Organizacional

A MarchaPay possui estrutura de governança alinhada com as melhores práticas de mercado para proteção de dados pessoais, contando com a supervisão da Alta Administração.

II. Responsabilidades

a. Diretoria Executiva: Responsável pela aprovação desta política e alocação de recursos necessários para a manutenção da segurança cibernética.

b. Encarregado de Dados (DPO): Profissional designado para atuar como canal de comunicação entre a instituição, titulares de dados e Agência Nacional de Proteção de Dados (ANPD).

c. Área de Compliance: Responsável por assegurar a conformidade com a LGPD, o BACEN e as regulamentações de PLD/FT, incluindo monitoramento e auditoria dos processos de tratamento de dados de KYC.

d. Área de Tecnologia da Informação: Responsável pela implementação e manutenção dos controles técnicos de segurança (criptografia, controles de acesso) nos sistemas e infraestrutura da MarchaPay.

DADOS PESSOAIS TRATADOS

I. Categorias de Dados Coletados

A MarchaPay coleta e trata dados pessoais e dados pessoais sensíveis que são estritamente necessários para o funcionamento seguro do Gateway e para o cumprimento de obrigações legais.

II. Dados Pessoais Comuns

a. Dados de Identificação: Nome, CPF, CNH (necessários para o processo de KYC dos administradores de Lojistas).

b. Dados de Contato: Endereços, Telefones e e-mails (para comunicação e segurança).

c. Dados Financeiros e de Transação: Histórico de transações, dados de pagamento (anonimizados ou tokenizados), informações de crédito e scoring (obtidas via bureaus), e dados de contas bancárias (para liquidação de recebíveis).

d. Dados Profissionais: Profissão e ocupação (para fins de análise de risco e PLD).

III. Dados Pessoais Sensíveis

Podemos tratar dados pessoais sensíveis quando estritamente necessário e conforme a LGPD, incluindo:

a. Dados Biométricos: Imagens (reconhecimento facial) para verificação de identidade e prevenção à fraude no processo de onboarding de Lojistas.

IV. Dados Técnicos e de Navegação

a. Informações de Dispositivos: Endereço IP, Tipo e modelo do dispositivo, Identificadores únicos do dispositivo. b. Dados de Navegação: Cookies e tecnologias similares (utilizados para traçar o perfil de risco e detectar tentativas de fraude).

COMO E QUANDO COLETAMOS SEUS DADOS

I. Coleta Direta

Coletamos dados pessoais diretamente quando você:

a. Relacionamento Comercial: Solicita abertura de cadastro de Lojista/Parceiro.

b. Comunicação: Entra em contato através de nossos canais de atendimento ou Ouvidoria.

II. Coleta Indireta

Também podemos coletar seus dados através de:

a. Fontes Externas Legítimas: Órgãos públicos (Receita Federal), Bureaus de crédito e empresas de análise de risco (para scoring e prevenção à fraude).

b. Parceiros do Arranjo: Instituições de Pagamento (IPs), Adquirentes e Bandeiras (para processamento e confirmação de transações).

FINALIDADES DO TRATAMENTO

I. Prestação de Serviços de Gateway e Pagamentos Tratamos seus dados pessoais para:

a. Operações Essenciais: Habilitar o cadastro e a manutenção do Lojista; Roteamento e processamento seguro das transações; Liquidação de recebíveis do Lojista.

II. Análise de Risco e Prevenção à Fraude

Esta é a finalidade primária do tratamento de dados de transação pela MarchaPay.

a. Prevenção à Fraude e PLD: Detecção de transações e padrões de

comportamento suspeitos; Verificação de identidade (KYC/Biometria) e

implementação de medidas de segurança.

b. Análise de Risco: Avaliação do risco de crédito/contraparte (para fins de

chargeback).

c. Fundamento Legal: O tratamento é essencialmente realizado sob a base

legal de Legítimo Interesse (Art. 7º

, IX da LGPD), estritamente limitado à

Prevenção à Fraude.

III. Cumprimento de Obrigações Legais e Regulatórias

a. Regulamentações do SPB: Cumprimento de normas do Banco Central do

Brasil (BACEN) e atendimento a requisições de autoridades.

b. PLD/FT: Prevenção à lavagem de dinheiro e financiamento ao terrorismo,

incluindo o Reporte de operações suspeitas ao COAF (Base Legal:

Cumprimento de Obrigação Legal).

c. Judicial e Administrativo: Atendimento a processos judiciais e

administrativos.

BASE LEGAL PARA O TRATAMENTO

I. Bases Legais Utilizadas

O tratamento de dados pessoais pela MarchaPay fundamenta-se nas seguintes

bases legais:

a. Execução de Contrato (Art. 7º, V): Para viabilizar os serviços contratados

(processamento e liquidação).

b. Cumprimento de Obrigação Legal ou Regulatória (Art. 7º, II): Para KYC/PLD, Reporte ao COAF e atendimento ao BACEN.

c. Legítimo Interesse (Art. 7º, IX): Para finalidades de Prevenção à Fraude e

Segurança da plataforma.

II. Dados Pessoais Sensíveis

Para dados pessoais sensíveis (ex: Biometria para Antifraude), utilizamos as bases

legais específicas do Art. 11 da LGPD, principalmente:

a. Prevenção à Fraude e Garantia da Segurança

COMPARTILHAMENTO DE DADOS

I. Quando Compartilhamos

A MarchaPay pode compartilhar seus dados pessoais nas seguintes situações:

a. Prestação de Serviços: Com Instituições de Pagamento (IPs),

Adquirentes e Bandeiras (para completar a transação e compliance do

arranjo).

b. Cumprimento Legal e Regulatório: Com o COAF, Receita Federal, BACEN

e autoridades competentes.

c. Prevenção à Fraude: Com Bureaus de Risco/Antifraude e outras

instituições financeiras.

II. Proteções no Compartilhamento

a. Contratos de Proteção de Dados: Todos os terceiros devem assinar

contratos específicos com cláusulas de proteção de dados (DPA).

b. Princípio da Minimização: Compartilhamos apenas os dados estritamente

necessários para a finalidade específica.

c. Auditoria: Realizamos auditorias regulares (due diligence) nos terceiros

que processam dados em nosso nome.

SEGURANÇA E PROTEÇÃO DOS DADOS

I. Medidas de Segurança Técnicas

a. Criptografia: Utilização de criptografia avançada (tokenização para dados

de cartão) para proteger dados em trânsito e em repouso.

b. Controle de Acesso: Uso mandatório de Autenticação Multifator

(MFA/2FA) para acessos críticos.

c. Monitoramento: Sistemas de monitoramento 24/7 para detecção de

atividades suspeitas (cibernéticas e PLD).

II. Medidas Organizacionais

a. Treinamento: Programas regulares de conscientização e treinamento para

colaboradores sobre LGPD.

b. Gestão de Incidentes: Procedimentos estruturados (PRI) para resposta

rápida a incidentes de segurança.

RETENÇÃO E ELIMINAÇÃO DE DADOS

I. Período de Retenção

Os dados são mantidos pelo período necessário para cumprimento das

finalidades:

a. Obrigações Legais e PLD: Pelo prazo mínimo de 5 (cinco) anos após o

término do relacionamento, conforme exigido pela legislação do COAF e

BACEN.

b. Prescrição Legal: Pelo prazo necessário para exercício regular de direitos

(ex: 10 anos).

II. Eliminação Segura

a. Procedimentos: Processos seguros para eliminação definitiva de dados

quando não mais necessários.

b. Anonimização: Uso de técnicas de anonimização para preservar utilidade

estatística.

SEUS DIREITOS COMO TITULAR

I. Direitos Garantidos pela LGPD

Você possui os direitos garantidos pelo Art. 18 da LGPD, incluindo: Confirmação e

Acesso, Correção, Anonimização, Bloqueio ou Eliminação, Portabilidade e

Revogação do Consentimento.

II. Como Exercer Seus Direitos

a. Canais de Atendimento: O titular pode exercer seus direitos através do

canal do Encarregado de Dados (DPO) ou da Ouvidoria (para casos não

resolvidos).

b. Limitações: A MarchaPay pode limitar o exercício de certos direitos (Ex:

Eliminação) quando o tratamento for necessário para Cumprimento de

Obrigação Legal/Regulatória (PLD, BACEN) ou para o Exercício Regular

de Direitos.

COOKIES E TECNOLOGIAS SIMILARES

A MarchaPay utiliza cookies e tecnologias similares para garantir a funcionalidade

do Gateway, medir performance e, crucialmente, para fins de segurança

(Antifraude).

I. TRANSFERÊNCIA INTERNACIONAL DE DADOS

A MarchaPay pode transferir dados pessoais para outros países quando necessário

para:

a. Prestação de Serviços: Uso de fornecedores de cloud computing ou

tecnologia localizados no exterior.

b. Cumprimento de Obrigações Contratuais: Quando a transação envolve

parceiros ou bandeiras internacionais.

MENORES DE IDADE

O tratamento de dados pessoais de menores de 18 anos deve ser realizado com

consentimento específico de pelo menos um dos pais ou responsável legal, e

todas as atividades consideram o melhor interesse do menor.

ATUALIZAÇÕES DESTA POLÍTICA

Esta Política de Privacidade é revisada anualmente para assegurar conformidade

com mudanças na legislação (ANPD) e nas melhores práticas.

CANAIS DE CONTATO

I. Encarregado de Dados (DPO)

a. Nome: [RESERVAR ESPAÇO PARA NOME DO DPO]

b. E-mail: [RESERVAR ESPAÇO PARA E-MAIL DPO]

II. Autoridade Nacional de Proteção de Dados (ANPD)

a. O titular pode contatar a ANPD caso não esteja satisfeito com as respostas

da MarchaPay.

CONSIDERAÇÕES FINAIS

A MarchaPay reafirma seu compromisso com a proteção de dados pessoais e

privacidade, implementando continuamente melhorias em seus processos e

controles técnicos. Assumimos a responsabilidade pela proteção adequada dos

dados pessoais que tratamos, atuando com total transparência e diligência

regulatória.