Política Corporativa de Segurança Cibernética de Dados e Ativos de Informação

CAPÍTULO I – INTRODUÇÃO Objetivo

A Política Corporativa de Segurança Cibernética de Dados e Ativos de Informação (“Política”) do da J17 Sociedade de Crédito S/A, sociedade de responsabilidade limitada inscrita no CNPJ sob No 40.475.846/0001-00 (“Empresa” ou “J17 SOCIEDADE DE CRÉDITO DIRETO S/A”) visa garantir a proteção, a manutenção da privacidade, integridade, disponibilidade e confidencialidade das informações de sua propriedade e/ou sob sua guarda, além de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, definindo as regras que representam, em nível estratégico, os princípios fundamentais incorporados pelo J17 SOCIEDADE DE CRÉDITO DIRETO S/A para o alcance dos objetivos de segurança da informação.

Entende-se que os eventos decorrentes de atividade profissional na J17 SOCIEDADE DE CRÉDITO DIRETO S/A especialmente os que tratam com ativos de informação, são imprevisíveis e por isto esta Política Corporativa não visa esgotar as possibilidades de conflito ou demanda, mas sim operar como suporte aos administradores, funcionários e colaboradores para que tomem decisões adequadas e corretas nos momentos em que estas forem demandadas pelas mais variadas circunstancias que venham a se apresentar.

A criação deste documento não tem o intuito de atrapalhar ou restringir o desenvolvimento dos negócios do J17 SOCIEDADE DE CRÉDITO DIRETO S/A, pelo contrário, vem para acrescentar valor à gestão, apoiar o crescimento pessoal dos envolvidos e reforçar a constante busca pela excelência que norteia nossas ações.

Paralelamente, buscamos com este documento:

• Estabelecer normas e procedimentos mínimos para o cumprimento das atividades de segurança cibernética e de ativos da informação (“SC/AI”);
• Estabelecer funções e responsabilidade relacionadas ao cumprimento das atividades de segurança cibernética e de ativos da informação;
• Enfatizar a importância acerca do tema SC/AI, que tem abrangência institucional;
• Demonstrar a preocupação da J17 SOCIEDADE DE CRÉDITO DIRETO S/A em cumprir as legislações que tratam do assunto e de cooperar proativamente com iniciativas nacionais e internacionais de proteção de dados, e à prevenção e combate aos crimes relacionados à roubo e uso indevido de informações.

Abrangência deste documento

Esta Política é aplicável a todos os sócios, administradores, funcionários, próprios ou terceirizados, colaboradores terceiros e estagiários da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e, portanto, aplicáveis a todos que integram com nossa organização, independentemente do seu cargo, função ou tempo de empresa. Ele é aplicável, ainda, aos fornecedores da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, sempre que estejam agindo em nosso nome ou, de alguma forma, nos representando e extensível a parceiros de negócios e investidores da nossa organização.

De maneira geral este documento abrange todas as Pessoas sujeitas ao Controle de SC/AT conforme item Definições, colocado mais adiante, incluindo outras pessoas e organizações que estiverem envolvidos de qualquer forma com os ativos de informação da J17 SOCIEDADE DE CRÉDITO DIRETO S/A. Ela cobre todos os modos e formas de salvaguardar as informações em todos os ambientes e mídias, incluindo, mas não limitados a mídias eletrônicas, impressas e em filme.

Nenhuma pessoa possui alçada para violar ou solicitar que outra pessoa viole qualquer disposição desta Política. Portanto, cada colaborador é responsável pela identificação e reporte ao Comitê Executivo Politics, Compliance & Ethics, quando observada qualquer situação que possa caracterizá-la como não conformidade, para que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A tome as medidas cabíveis.

Vigência deste documento:

Esta Política passa a vigorar a partir da data de sua aprovação pela diretoria e conforme a programação de revisões periódicas, do Comitê Executivo Politcs, Compliance & Ethics, tem validade até o dia 03 de janeiro de 2.026. Esta Política poderá ser revisada antes deste prazo, sempre que necessário, caso haja alguma mudança nas normas internas, alteração de diretrizes de segurança da informação, objetivos do negócio ou se requerido pelo regulador local.

Definições

Dado Pessoal: São as informações relacionadas a uma pessoa e que permitem identificar ou tornam uma pessoa física identificável. Alguns exemplos são: nome, RG, CPF, dados financeiros e endereços eletrônicos.

Dado Anonimizado: Relativo ao titular que não pode ser identificado.

Dado Pessoal Sensível: Alguns dados pessoais são considerados sensíveis pela lei e possuem mais restrições no tratamento. Por exemplo, os dados que se referem à origem étnica ou racial da pessoa, suas convicções políticas e religiosas, opinião política, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados genéticos e dados ligados à saúde e vida sexual da pessoa.
Também são considerados sensíveis os dados biométricos da pessoa.

Titular: Pessoa a quem se referem os dados pessoais.

Consentimento: Autorização do uso de dados pessoais para finalidades, determinadas, manifestada livremente de maneira informada e inequívoca pelo titular.

Controlador: Pessoal natural ou jurídica, de direito público ou privado, a quem compete às decisões referentes ao tratamento de dados pessoais.

Operador: Pessoal natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado de Dados: Indicado pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.

Informação Confidencial: Toda e qualquer informação patenteada ou não, verbal ou de qualquer modo apresentada, tangível ou intangível, podendo incluir mas não se limitando a, de natureza técnica, operacional, comercial, financeira, jurídica, know how, invenções, processos, fórmulas e desenhos, patenteáveis ou não, planos de negócios (business plans), métodos de contabilidade, técnicas e experiências acumuladas, planos comerciais, orçamentos, preços, planos de expansão, estratégias comerciais, descobertas, ideias, conceitos, técnicas, projetos, especificações, diagramas, modelos, amostras, fluxogramas, programas de computador, códigos, dados, códigos fonte, discos, disquetes, fitas, planos de marketing e vendas, qualquer informação de clientes, e quaisquer outras informações técnicas, financeiras, jurídicas e/ou comerciais relacionadas ao Grupo, seus clientes, parceiros, fornecedores e colaboradores.

Legislação Aplicável

Lei Federal N º 12.965 de 23 de abril de 2014 (Marco Legal da Internet no Brasil) que dispõe sobre o estabelecimento de princípios, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria Lei Federal nº 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados), que dispões sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

CAPÍTULO II – SEGURANÇA INFORMACIONAL Princípios da Segurança Cibernética e da Informação

Consideramos que os ativos de informação são os bens mais importantes no mercado financeiro, portanto, tratá-los com responsabilidade é o nosso compromisso. Dessa forma, estamos fundamentados nos princípios de segurança da informação, cujos objetivos constituem a preservação da propriedade da informação, notadamente sua confidencialidade, integridade e disponibilidade, permitindo o uso e compartilhamento de forma controlada, bem como o monitoramento e tratamento de incidentes provenientes de ataques cibernéticos.

OBJETIVOS DE PRESERVAÇÃO DA PROPRIEDADE DA INFORMAÇÃO

Confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas e que apenas usuários autorizados têm permissão para acessar a informação;

Integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas – acidentais ou propositais e que apenas alterações autorizadas;

Disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá las quando solicitado.

Diretrizes de Segurança da Informação

Estabelecer a base para o Programa de Segurança Cibernética e Ativos de Informação, cuja essência é a de aplicar medidas economicamente eficientes que protejam os ativos informacionais do J17 SOCIEDADE DE CRÉDITO DIRETO S/A e seus Clientes com um nível aceitável de risco residual.

Esta Política fornece uma base para o planejamento, implementação, exequibilidade e manutenção da segurança da informação no âmbito da organização, incluindo, mas não se limitando a:

i) Classificar dados de acordo com sua criticidade e sensibilidade para o negócio e seus clientes, de forma que a segurança adequada seja aplicada a fim de reduzir vulnerabilidades, conforme os níveis abaixo:

a) Confidencial;

b) Restrito ou de Uso Interno;

c) Público.

ii) Aplicar a estratégia de defesa em profundidade por meio da implementação de mais de uma camada de segurança, com o objetivo de mitigar o possível comprometimento de uma das camadas de defesa;

iii) Manter a capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, utilizando-se de registros de rastreabilidade da manipulação de dados da companhia e de seus clientes;

iv) Assegurar que os dados da companhia e de seus clientes sejam acessados e manipulados apenas por pessoas autorizadas e de forma segura;

v) Proteger ativos tecnológicos e estabelecer procedimentos de monitoramento das redes da companhia e das máquinas de funcionários para detecção de intrusões;

vi) Conduzir monitoramento e resposta de incidentes, seguindo as etapas de detecção, mitigação emergencial e análise de causa raiz;

vii) Elaborar cenários de incidentes para realização periódica de testes de continuidade;

viii) Garantir a conscientização da equipe através de treinamentos mandatórios e avaliações periódicas.

Acesso a Informações Confidenciais

O acesso às informações confidenciais, incluindo dados pessoais, coletadas e armazenadas pelo J17 SOCIEDADE DE CRÉDITO DIRETO S/A é restrito aos profissionais autorizados ao uso direto dessas informações, e necessário à prestação de seus serviços, sendo limitado o uso para outras tarefas, devendo respeitar, ainda, o disposto na Norma de Classificação da Informação. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá revelar as informações confidenciais nas seguintes hipóteses:

i) Sempre que estiver obrigado a revelá-las, seja em virtude de dispositivo legal, ato de autoridade competente, ordem ou mandado judicial;

ii) Aos órgãos de proteção e defesa de crédito e prestadores de serviços autorizados pelo J17 SOCIEDADE DE CRÉDITO DIRETO S/A a defender seus direitos e créditos;

iii) Aos órgãos reguladores do mercado financeiro; e

iv) Para instituições financeiras autorizadas pelo Banco Central, desde que dentro dos parâmetros legais estabelecidos para tanto, podendo, nesta hipótese, o usuário, a qualquer tempo, cancelar sua autorização.

Fundamentos da Segurança da Informação

Mantenedor e titular do ativo de informação: cada ativo de informação deverá possuir um mantenedor, que será responsável por tal ativo. A responsabilidade, neste contexto, se refere à responsabilidade pela implementação e manutenção das medidas de segurança necessárias para a proteção apropriada do ativo da informação. Os requerimentos que determinam quais medidas de segurança devem ser adotadas são definidos pelo titular do ativo da informação.

Confidencialidade, Integridade e Disponibilidade: todos os ativos de informação deverão ser categorizados por sua necessidade de confidencialidade, integridade e disponibilidade, em conformidade com as necessidades comerciais e quaisquer restrições e requerimentos legais, contratuais ou regulatórias. Um determinado ativo de informação deverá receber um nível de segurança por todo a J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Segregação de Deveres: as transações envolvendo ativos de informação de alto valor não deverão permanecer sob o exclusivo controle de uma única pessoa. Por exemplo, uma transação financeira não deverá ser incluída e confirmada pela mesma pessoa, e o software não deverá ser desenvolvido e então utilizado na produção pela mesma pessoa.

“Necessidade de saber” e “Necessidade de fazer”: as pessoas devem apenas ter acesso às informações ou funcionalidade que forem necessárias para a devida execução de seus deveres. O acesso aos ativos de informações deverá estar explicitamente autorizado, sendo que o padrão é não se ter acesso.

Medidas apropriadas de segurança: as medidas de segurança da informação deverão ser selecionadas com base em requerimentos comerciais e contratuais, por meio de avaliações de risco, eficiência econômica e restrições legais. Devido ao fato de que nenhum sistema de informação é absolutamente seguro, os riscos residuais após a implementações de salvaguardas deverão ser avaliados, documentados pelo mantenedor do ativo e levados à atenção do titular do ativo.

Monitoramento da conformidade: auditorias regulares e atividades de revisão deverão ser realizadas pelos titulares do ativo de informação ou por seus substitutos, assim como por funções independentes de controle e auditoria, para monitorar a conformidade geral com as políticas e diretrizes sobre segurança e para reportar deficiências suspeitas ou conhecidas na segurança.

Lidando com incidentes: os mantenedores dos ativos de informação deverão monitorar os sistemas pelos quais eles são responsáveis, para detectar quaisquer violações ou anormalidades na segurança. Os processos deverão ser estabelecidos para reagir de forma sensível e efetiva, e também para que se aprenda com incidentes, para melhorar as salvaguardas.

Colaboradores, contratados, parceiros de negócios e agentes bancários: todos os Colaboradores, contratados e parceiros de negócios, incluindo correspondentes bancários são responsáveis pela compreensão e manutenção da segurança da informação em sua própria área de trabalho e na empresa como um todo. Eles devem estar cientes da significância das informações a eles confiadas e deverão exercer a devida diligência em sua proteção. Eles deverão conhecer seus deveres com relação à segurança das informações e aceitar a obrigação de cumprir com as políticas, diretrizes e normas relevantes. Eles deverão utilizar as informações apenas dentro dos limites de sua autorização e para os propósitos para os quais as informações foram fornecidas.

Diretores: possuem a responsabilidade adicional de fornecer liderança na execução e na conformidade com as  medidas de segurança da informação, enquanto mantêm um senso de proporção e equilíbrio. Os diretores deverão auxiliar os Colaboradores na compreensão da importância da segurança da informação e sua observância nos regulamentos relevantes.

Chefes de negócios: deverão gerenciar os riscos de informação relativos às suas atividades comerciais. Eles deverão designar os titulares dos ativos de informação para os vários ativos sob sua responsabilidade. Os titulares dos ativos de informação deverão aprovar a implementação de salvaguardas técnicas e procedimentais apropriadas, propostas pelos mantenedores do ativo de informação, uma vez que eles são os que possuem o conhecimento interno e aceitam o risco residual envolvido. Não obstante, por uma perspectiva externa (legal e regulatória), o responsável máximo por quaisquer riscos residuais é o chefe do negócio.

Titulares dos ativos de informação: todos os ativos de informação deverão possuir um titular explícito, que será responsável pela classificação e definição apropriadas dos requerimentos para a proteção de todos os ativos de informação a eles confiados.

Mantenedores dos ativos de informação: os mantenedores dos ativos de informação asseguram o uso das medidas apropriadas de segurança para proteger os ativos e deverão estabelecer procedimentos para lidar com incidentes.

Fornecedores de serviços de informação: os fornecedores do serviço de informação são responsáveis pelo fornecimento de produtos e serviços confiáveis e seguros, que estejam em conformidade com as necessidades de segurança da informação do banco. Eles são responsáveis por assegurar que os produtos e serviços em uso sejam mantidos de forma apropriada, mantidos atualizados, com relação às ameaças que surgirem e compatíveis para uso entre as áreas de negócios.

Diretor de Segurança da Informação (se houver): independente da TI, é responsável pela identificação e avaliação do risco associado com todo o uso de recursos de informação e por relatar à gestão avaliações de risco e outras informações relevantes ao risco.

Jurídicos e Compliance: fornecem orientação, para assegurar a conformidade com todas as leis e regulamentos aplicáveis (incluindo atos de proteção aos dados), relativos à segurança das informações. Em cooperação com especialistas em segurança da informação e com o Diretor de Segurança, revisarão as ações sendo executadas e a adequabilidade da solução de segurança da informação de um ponto de vista jurídico.

Auditoria Interna: a Auditoria Interna possui uma função independente na execução de revisões baseadas em risco da conformidade com as políticas, diretrizes e normas sobre segurança da informação. Eles também podem avaliar a eficácia de controles de segurança, examinar os controles de segurança planejados e participar do processo de análise de riscos.

Framework de Políticas Internas de Segurança Cibernética

A política de Segurança Cibernética e Ativos de Informação é organizada sob a forma de um framework, composto das seguintes POLÍTICAS INTERNAS:

i) Email e Mensagens Eletrônicas;

ii) Gerenciamento de Ativos de Software e Hardware;

iii) Proteção Contra Vírus & Malware;

iv) Framework de Risco de TI;

v) Exceções às políticas e padrões de TI;

vi) Gerenciamento de incidentes e problemas;

vii) Gerenciamento de Vulnerabilidades;

viii) Controle de Acesso;

ix) Segurança de Aplicações;

x) Segurança de Banco de Dados;

xi) Segurança de Sistemas Operacionais;

xii) Segurança no Desenvolvimento de Sistemas;

xiii) Monitoramento e Registro de Transações;

xiv) Armazenamento e Recuperação de dados;

xv) Gerência de Mudanças;

xvi) Gerenciamento de Capacidade e Desempenho;

xvii) Segurança em Conexões de Rede;

xviii) Acesso Remoto;

xix) Uso da Internet.

CAPÍTULO III – ESTRUTURA DE GERENCIAMENTO DE SEGURANÇA CIBERNÉTICA

O gerenciamento dos controles de segurança objetiva assegurar que os procedimentos operacionais sejam
desenvolvidos, implantados e mantidos ou modificados de acordo com os objetivos estabelecidos nesta Política.

Gestão de Acesso às Informações

Os acessos às informações são controlados, monitorados, restringidos à menor permissão e privilégios
possíveis, revistos periodicamente, e cancelados tempestivamente ao término do contrato de trabalho do
colaborador ou do prestador de serviço.

Os equipamentos e instalações de processamento de informação crítica ou sensível são mantidos em áreas
seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.

Os colaboradores e terceiros do Grupo são treinados, periodicamente, sobre os conceitos de segurança da
informação, através de um programa efetivo de conscientização e disseminação da cultura de segurança cibernética.

Proteção do Ambiente Cibernético

São constituídos controles e responsabilidades pela gestão e operação dos recursos de processamento das informações, visando garantir a segurança na infraestrutura tecnológica da J17 SOCIEDADE DE CRÉDITO DIRETO S/A por meio de um gerenciamento efetivo no monitoramento, tratamento e na resposta aos incidentes, com o intuito de minimizar o risco de falhas e a administração segura de redes de comunicações.

a) Autenticação

O acesso às informações e aos ambientes tecnológicos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A deve ser permitido apenas às pessoas autorizadas pelo Proprietário da Informação, levando em consideração o princípio do menor privilégio, a segregação de funções conflitantes e a classificação da informação.

O controle de acesso aos sistemas deve ser formalizado e contemplar, no mínimo, os seguintes controles:

i) A utilização de identificadores (credencial de acesso) individualizados, monitorado e passíveis de bloqueios e restrições (automatizados e manuais);

ii) A remoção de autorizações dadas a usuários afastados ou desligados da empresa, ou ainda que tenham mudado de função; e

iii) A revisão periódica das autorizações concedidas.

b) Gestão de Incidentes de Segurança da Informação

O comportamento de possíveis ataques é identificado por meio de controles de detecção implementados no
ambiente, como filtro de conteúdo, ferramenta de detecção de comportamentos maliciosos, Antivírus, Antispam, entre outros.

c) Prevenção a Vazamento de Informações

Utilização de controle para prevenção de perda de dados, responsável por garantir que dados confidenciais não
sejam perdidos, roubados, mal utilizados ou vazados na web por usuários não autorizados.

d) Testes de Intrusão

Testes de Intrusão interno e externo nas camadas de rede e aplicação devem ser realizados no mínimo
anualmente.

e) Varredura de Vulnerabilidades

As varreduras das redes internas e externas devem ser executadas periodicamente. As vulnerabilidades
identificadas devem ser tratadas e priorizadas de acordo com seu nível de criticidade.

f) Controle Contra Software Malicioso

Todos os ativos (computadores, servidores, etc.) que estejam conectados à rede corporativa ou façam uso de informações da empresa, devem, sempre que compatível, ser protegidos com uma solução anti-malware determinada pela área de Segurança da Informação.

g) Criptografia

Toda solução de criptografia utilizada no Grupo deve seguir as regras de Segurança da Informação e os padrões
de segurança dos Órgãos reguladores.

h) Rastreabilidade

Trilhas de auditoria automatizadas devem ser implantadas para todos os componentes de sistema para reconstruir os seguintes eventos:

i) Autenticação de usuários (tentativas válidas e inválidas);

ii) Acesso a informações;

iii) Ações executadas pelos usuários, incluindo criação ou remoção de objetos do sistema.

i) Segmentação de Rede

i) Computadores conectados à rede corporativa não devem ser acessíveis diretamente pela Internet;

ii) Não é permitida a conexão direta de rede de terceiros utilizando-se protocolos de controle remoto aos servidores conectados diretamente na rede corporativa;

iii) Para solicitação de criação, alteração e exclusão de regras nos firewalls e ativos de rede, o requisitante deve encaminhar pedido à área de Segurança da Informação, que fará a análise e aprovação, enviando para que seja executada pela área de TI.

j) Desenvolvimento Seguro

Nossa organização mantém um conjunto de princípios para desenvolver sistemas de forma segura, garantindo que a segurança cibernética seja projetada e implementada no ciclo de vida de desenvolvimento de sistemas.

k) Cópias de Segurança (Backup)

O processo de execução de backups é realizado, periodicamente, nos ativos de informação da empresa, de forma a evitar ou minimizar a perda de dados diante da ocorrência de incidentes.

Processamento e Armazenamento de Dados

Conforme a Resolução 4.658/2018 (e sua alteração 4.752/2019), do Conselho Monetário Nacional, para a
contratação de serviços de processamento e armazenamento de dados, a J17 SOCIEDADE DE CRÉDITO DIRETO
S/A assegura-se de um procedimento efetivo para a aderência às regras previstas na regulamentação em vigor.

Computação em Nuvem

Conforme a Resolução 4.658/2018 (e sua alteração 4.752/2019), do Conselho Monetário Nacional, para a contratação de serviços de computação em nuvem, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A assegura-se de um procedimento efetivo para a aderência às regras previstas na regulamentação em vigor.

Recomendações de Segurança aos Clientes e Usuários

As recomendações a seguir devem constar de todo material informativo sobre o uso da conta ou dos serviços do J17 SOCIEDADE DE CRÉDITO DIRETO S/A a todo usuário que realiza o cadastro:

a) AUTENTICAÇÃO E SENHA

O cliente é responsável pelos atos executados com seu identificador (login / sigla), que é único e
acompanhado
de senha exclusiva para identificação/autenticação individual no acesso à informação e aos recursos de
tecnologia.

Recomendamos que:

i) Mantenha a confidencialidade, memorize e não registre a senha em lugar algum. Ou seja, não contar a
ninguém
e não anotar em papel;

ii) Alterar a senha sempre que existir qualquer suspeita do comprometimento dela;

iii) Elaborar senhas de qualidade, de modo que sejam complexas e de difícil adivinhação;

iv) Impedir o uso do seu equipamento por outras pessoas, enquanto este estiver conectado/ “logado” com a sua
identificação;

v) Bloquear sempre o equipamento ao se ausentar;

vi) Sempre que possível, habilitar um segundo fator de autenticação (Por exemplo: SMS, Token e etc.);

vii) Nunca fornecer os seus dados a ninguém. Sempre se comunicar com o banco por nossos canais oficiais;

viii) Nunca entregar o cartão a outra pessoa. Sempre cortar o chip do cartão se for descartá-lo;

ix) Nunca anotar a senha junto ao próprio cartão. Sempre memorizar as senhas;

x) Nunca criar senhas com dados pessoais como aniversários. Sempre usar senhas difíceis de adivinhar;

xi) Nunca clicar em links pedindo atualização de dados ou Tokens. Sempre atualize dados junto ao J17 SOCIEDADE DE CRÉDITO DIRETO S/A .

b) ANTIVÍRUS

Recomendamos que o cliente mantenha uma solução de antivírus atualizada e instalada no computador utilizado
para acesso aos serviços oferecidos pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A . Além disso, possuir o sistema operacional atualizado com as últimas atualizações realizadas.

c) ENGENHARIA SOCIAL

A engenharia social, no contexto de segurança da informação, refere-se à técnica pela qual uma pessoa procura
persuadir outra, muitas vezes abusando da ingenuidade ou confiança do usuário, objetivando ludibriar, aplicar
golpes ou obter informações sigilosas.

Phishing

Técnica utilizada por cibercriminosos para enganar os usuários, através de envio de e-mails maliciosos, afim
de obter informações pessoais como senhas, cartão de crédito, CPF, número de contas bancárias, entre outros.

As abordagens dos e-mails de phishing podem ocorrem das seguintes maneiras:

i) Quando procuram atrair as atenções dos usuários, seja pela possibilidade de obter alguma vantagem financeira, seja por curiosidade ou seja por caridade;

ii) Quando tentam se passar pela comunicação oficial de instituições conhecidas como: Bancos, Lojas de comércio eletrônico, entre outros sites populares;

iii) Quando tentam induzir os usuários a preencher formulários com os seus dados pessoais e/ou financeiros, ou até mesmo a instalação de softwares maliciosos que possuem o objetivo de coletar informações sensíveis dos
usuários;

Spam

São e-mails não solicitados, os quais geralmente são enviados para muitas pessoas, possuindo tipicamente
conteúdo com fins publicitários. Além disso, os Spams estão diretamente associados a ataques de segurança,
sendo eles um dos principais responsáveis pela propagação de códigos maliciosos, venda ilegal de produtos e
disseminação de golpes.

Falso Contato Telefônico

São técnicas utilizadas pelos fraudadores para conseguir informações como dados pessoais, senhas, token,
código de identificação do aparelho celular (IMEI) ou qualquer outro tipo de informação para a prática da
fraude.

DICAS para usuários para compras online com segurança

d) COMPRAS ONLINE

Nossos usuários devem ser orientados a:

i) Nunca comprar em sites sem antes pesquisar avaliações de quem já comprou neles;

ii) Sempre atualizar sistemas e aplicativos antes de navegar pelos sites de compra;

iii) Nunca inserir dados de pagamento em um site sem antes confirmar que está na página oficial;

iv) Sempre usar o cartão virtual gerado nos apps J17 SOCIEDADE DE CRÉDITO DIRETO S/A nas compras que realizar na internet;

v) Nunca usar as mesmas senhas para contas diferentes.

Bloqueio em caso de compras suspeitas

Quando suspeitarmos de fraude em uma compra realizada com cartão, sempre enviamos um SMS de confirmação no número cadastrado. É muito importante o usuário responder se foi ele ou não quem realizou a compra.

Além de gratuita, a resposta nos permite atuar rapidamente caso a compra não seja dele, evitando que mais compras sejam feitas naquele cartão. Neste caso, após responder, o usuário deverá entrar em contato conosco para providenciarmos um novo cartão. Caso a compra seja mesmo dele, o usuário poderá voltar a usar o seu
cartão normalmente.

Aderência à Lei Geral de Proteção de Dados (LGPD)

A privacidade é uma questão muito importante para nós, assim, nos termos da Lei Federal 12.965/14 (marco civil da internet) e Lei 13.709/18 (lei geral de proteção de dados), a J17 SOCIEDADE DE CRÉDITO DIRETO S/A utiliza dos dados considerados pessoais nos termos do art. 5⁰, I da lei 13.709/18 para as finalidades contratadas pelo USUÁRIO, ou seja, a Execução do Contrato de serviço e uso da plataforma, nos termos do art. 7⁰, V e art. 9 º, § 3º da lei 13.709/18.

Para isso a J17 SOCIEDADE DE CRÉDITO DIRETO S/A aplica também os princípios gerais definidos no art. 6⁰ da lei 13.709/18, em especial os descritos nos incisos I, II e III.

i) O Usuário autoriza a J17 SOCIEDADE DE CRÉDITO DIRETO S/A a preservar e armazenar todas as informações submetidas à plataforma, bem como todos os seus dados pessoais, cadastrais e de acesso, tais como: endereços de e-mail, endereços de IP (Internet Protocolo), informações de data e horário de acesso, boletos gerados, transações, créditos, dentre outras informações, nos termos dos artigos 13, § 2º e 15 da lei 12.965/14.

ii) O Usuário autoriza a J17 SOCIEDADE DE CRÉDITO DIRETO S/A a informar esses dados em caso de exigência legal ou se razoavelmente necessário para: cumprir intimações regulatórias, judiciais e/ou extrajudiciais, atender a solicitações de cooperação de órgãos governamentais, inclusive autoridades policiais; fazer cumprir esta Política; responder a alegações de suposta violação de direitos de terceiros e para proteger os direitos, a propriedade ou a segurança de terceiros, do própria J17 SOCIEDADE DE CRÉDITO DIRETO S/A e/ou outros USUÁRIOS.

iii) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá compartilhar os dados e informações com empresas parceiras que atuam no desenvolvimento e operação de serviços complementares, respeitando os princípios previstos no art. 6⁰ da lei 13.709/18, respeitada a legitima expectativa do USUÁRIO, com especial ênfase no art. 10, I e II da lei 13.709/18.

iv) Exceto nos casos previstos nesta Política, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A não divulgará dados e informações pessoais e não-públicos do USUÁRIO. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A não vende nem negocia de outra forma tais dados e informações.

v) As informações inseridas pelo USUÁRIO para emissão de cobranças poderão ser utilizadas e divulgadas sem
restrição, pois não são consideradas informações pessoais protegidas, nos termos do art. 5⁰, I da lei 13.709/18.

vi) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A utiliza empresas para monitorar o tráfego do Site, que, em alguns casos, poderão armazenar e coletar informações de navegação como COOKIES e dados do USUÁRIO, em observância ao principio da necessidade previsto no art.6⁰, III da lei 13.709/18. A utilização do Site pelo USUÁRIO ocorre após seu cadastro, com todos os dados necessários à execução do contrato, com todas as funcionalidades descritas, eventuais mudanças nesta Política de Privacidade e Uso de dados, será informada e quando necessário, poderá requerer outras formas de autorização para tratamento de dados, nos termos do art. 7⁰ da lei. 13.709/18.

vii) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá usar todas as informações atreladas ao USUÁRIO e à emissão de cobranças para rotinas e verificações de segurança e de conformidade, inclusive para contato com o cliente final, se julgar necessário.

viii) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá utilizar cookies para administrar as sessões, navegações, acessos e cadastros dos Usuários e armazenar preferências, rastrear informações, dentre outras utilidades, em observância aos princípios previstos no art. 6⁰ da lei 13.709/18.

ix) As informações referentes aos dados fiscais e bancários sigilosos são mantidas em uma base de dados escolhida pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A e que atende aos altos padrões de segurança exigidos.

Cláusulas Contratuais com Disposições LGPD

O Departamento Jurídico deverá elaborar e atualizar, ao passo que o Comitê Executivo de Políticas, Conformidade e Ética (Politcs, Compliance & Ethics) deverá fiscalizar, a inserção de cláusulas contratuais que
contemplem as regras dispostas na legislação em vigor sobre a Privacidade, Confidencialidade e de Proteção de
dados pessoais dos clientes e parceiros de negócios, de modo a salvaguardar os interesses do J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

DA CONFIDENCIALIDADE E DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

i) Em cumprimento à Lei Geral de Proteção de Dados Pessoais, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A compromete-se a respeitar a privacidade do USUÁRIO e do AVALISTA, cumprindo com a Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), protegendo e mantendo em sigilo todos os dados pessoais fornecidos pelo mesmo, em função deste contrato, excetuados os casos em que seja obrigado, por autoridades públicas, a revelar tais informações a terceiros.

ii) A finalidade do uso dos dados pessoais do USUÁRIO e do AVALISTA, obtidos pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A, ocorre em razão da necessidade para a execução do contrato, conforme previsão do artigo 7º, V, da Lei 13.709/2019.

iii) O USUÁRIO e o AVALISTA terão pleno acesso aos dados pessoais, tratados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A, a qualquer momento e mediante simples requisição, nos termos do artigo 18, da Lei 13.709/2019, em formato simplificado ou por meio de declaração clara e completa, conforme previsão do artigo 19, I e II, da Lei 13.709/2019, no prazo de até quinze dias, contados da data do requerimento.

iv) São direitos do USUÁRIO e do AVALISTA, a qualquer momento e mediante simples requisição, a confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei 13.709/2018; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular; informação das entidades
públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;  informação sobre a
possibilidade de não fornecer consentimento e sobre as consequências da negativa e revogação do consentimento.

v) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá usar os dados pessoais do USUÁRIO e do AVALISTA para o exercício regular de direitos, em processo judicial, administrativo ou arbitral, conforme previsão do inciso VI, do artigo 7º, da Lei 13.709/2018, ficando desde já autorizada a conservação dos dados, para eventual cumprimento de obrigação legal ou regulatória, nos termos do artigo 16, I, da Lei 13.709/2018, entendendo-se assim justificado o legítimo interesse da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, no armazenamento dos dados.

vi) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A compromete-se a não utilizar os dados para outros fins, que não aos oriundos do presente contrato, obrigando-se, especificamente, a não transmitir os dados a terceiros, sem autorização do USUÁRIO e/ou do AVALISTA, salvo nas hipóteses expressamente permitidas, na Lei Geral de Proteção de Dados.

Utilização de Recursos de Tecnologia por Colaboradores

São disponibilizados a todos os Colaboradores equipamentos e softwares sobre os quais o J17 SOCIEDADE DE CRÉDITO DIRETO S/A possui licença de uso, acesso à Internet e Intranet, bem como correio eletrônico interno e externo com o exclusivo objetivo de possibilitar a execução de todas as atividades inerentes aos negócios da empresa.

Em hipótese alguma, os sistemas poderão ser usados para enviar ou receber mensagens discriminatórias ou de assédio, correntes, material obsceno ou de mau gosto, solicitações comerciais ou que, de qualquer outro modo,
infrinjam o Código de Conduta Ética, as Políticas Corporativas Anticorrupção e de Prevenção e Combate a
Lavagem de Dinheiro, Financiamento ao Terrorismo, Ocultação de Bens, Direitos e Valores ou a presente Política. Todas as mensagens enviadas ou recebidas por esses meios são de propriedade da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e sendo respectivamente monitoradas, cabendo à empresa o direito de utilizá-las e divulgá-las em caso de litígio ou investigação.

CAPÍTULO IV – PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN)

Importância da Gestão da Continuidade dos Negócios e sua Interação com esta Política

Dentro da área de abrangência estabelecida nesta Política, a capacidade de continuar a operar sistemas e funções essenciais ao negócio da J17 SOCIEDADE DE CRÉDITO DIRETO S/A durante/após a ocorrência de um desastre é parte essencial e crítica de nossa gestão de risco, compondo tanto a Política Corporativa de Gestão de Crises e Continuidade de Negócios quanto a Política Corporativa de Segurança Cibernética e Ativos de Informação.

O Plano de Continuidade de Negócios (PCN) é particularmente importante nas áreas que concentram conhecimento, geram receitas, ofertam produtos e serviços, suprem infraestrutura operacional, instalações e/ou suporte essencial ao funcionamento dos negócios. Incluem-se nesse processo, a continuidade de negócios relativos aos serviços contratados na nuvem e os testes previstos para os cenários de ataques cibernéticos.

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A como qualquer outra empresa, está exposto ao risco de interrupção de suas atividades críticas como consequência de desastres acidentais ou propositais / maliciosos, catástrofes naturais, falhas técnicas, etc. Para minimizar o risco de perdas resultantes de perturbações graves e prolongados, é importante que, sempre que necessário e razoável, as medidas adequadas sejam previstas e planejadas para garantir a continuidade dos negócios durante/após a ocorrência de desastres que possam ser contingenciados.

Sempre que oportuno ou necessário, o PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) e a respectiva Política de Gestão de Crises e Continuidade de Negócios (PGCCN) da J17 SOCIEDADE DE CRÉDITO DIRETO S/A devem ser utilizados em conjunto com a presente Política.

CAPÍTULO V – POLÍTICA DE NÍVEL DOS SERVIÇOS CONTRATADOS (SLA)

Importância do SLA

Um ACORDO DE NÍVEL DE SERVIÇO também conhecido pela sigla SLA, do inglês Service Level Agreements, define o nível de serviço esperado por um cliente de um fornecedor, estabelecendo as métricas pelas quais esse serviço é medido e as soluções ou penalidades, se houver, caso os níveis de serviço acordados não sejam alcançou.

Sendo assim, os SLAs em geral são um componente crítico de qualquer contrato de terceirização de TI e
fornecimento de tecnologia. Além de listar as expectativas de tipo e qualidade de serviço, um SLA oferece
soluções quando os requisitos não são atendidos.

Normalmente, são entre firmados empresas e fornecedores externos ou na prestação de serviços ao cliente pessoa física, mas também podem ser firmados entre dois departamentos de uma mesma empresa, como forma de normatização destas expectativas internas.

Um SLA bem feito reúne informações sobre todos os serviços contratados e sua confiabilidade esperada acordada em um único documento. Eles estabelecem claramente métricas, responsabilidades e expectativas para que, em caso de problemas com o serviço, nenhuma das partes possa alegar ignorância. Isso garante que ambos os lados tenham o mesmo entendimento dos requisitos.

Qualquer contrato significativo de prestação de serviços que envolvam tecnologia sem um SLA associado está
aberto a interpretações incorretas deliberadas ou inadvertidas. Desta maneira, o SLA protege ambas as partes
no contrato. A maioria dos provedores de serviço em nossa indústria de banking-as-a service tem um ou mais
SLAs padrão – às vezes vários, refletindo vários níveis de serviço a preços diferentes.

Para ser eficiente o SLA deve incluir não apenas uma simples descrição dos serviços a serem prestados e seus níveis de serviço esperados, mas também métricas pelas quais os serviços são medidos, os deveres e responsabilidades de cada parte, os remédios ou penalidades por violação de parâmetros e um protocolo para adicionar e/ou remover métricas.

As métricas devem ser projetadas para que o desempenho ineficiente (ou mau comportamento) de qualquer uma das contrapartes não seja “recompensado”. Por exemplo, se um nível de qualidade de serviço for violado porque o
cliente não forneceu informações em tempo hábil, o fornecedor não deve ser penalizado por isso.

Definição por Funcionalidade Crítica

Tanto nos contratos de uso da conta digital e outros serviços da J17 SOCIEDADE DE CRÉDITO DIRETO
S/A como o cliente final, tanto quanto em seus contratos com fornecedores de TI e nas relações de parceria através de contratos de terceirização white-label de nosso motor tecnológico, devem levar em conta na elaboração do respectivo SLA, os tipos de métricas de SLA compatíveis com os serviços contratados.

Dependendo do tipo de serviço, as métrica a serem monitorados podem incluir:

Serviços disponíveis: Cada funcionalidade tem seu nível de expectativa. As operações de comércio eletrônico, por exemplo, normalmente têm SLAs extremamente agressivos o tempo todo. O tempo de atividade de 99,999% é um requisito comum para um site de e-commerce que gera milhões de dólares por hora mas pode não ser essencial em outras features.

Taxas de defeitos: contagens ou porcentagens de erros nas principais entregas (defect rates). Falhas de produção, como backups e restaurações incompletas, erros de codificação / retrabalho e prazos perdidos, podem
ser incluídas nesta categoria.

Qualidade técnica: no desenvolvimento de aplicativos terceirizados, medição da qualidade técnica por ferramentas de análise comercial que examinam fatores como tamanho do programa e defeitos de codificação.

Segurança: nestes tempos hiper-regulamentados, as violações de segurança de aplicativos e redes podem custar caro. Medir medidas de segurança controláveis, como atualizações de antivírus e patches, é fundamental para provar que todas as medidas preventivas razoáveis foram tomadas, no caso de um incidente.

Resultados de negócios: Cada vez mais, os clientes de TI gostariam de incorporar métricas de processos de
negócios em seus SLAs. Usar indicadores chave de desempenho existentes é normalmente a melhor abordagem, desde que a contribuição do fornecedor para esses KPIs possa ser calculada.

Obrigatoriedade Formal

No contexto da prestação de serviços tecnológicos ao público e com contratos onde o J17 SOCIEDADE DE CRÉDITO DIRETO S/A figure como contratante ou contratado, deverá ser apenso, em forma de ANEXO CONTRATUAL, o padrão estipulado de forma expressa destes serviços em conformidade com as métricas aplicáveis aos serviços prestados no âmbito destes Contratos.

Termo de Aceite do Service Level Agreements padrão da J17 SOCIEDADE DE CRÉDITO DIRETO S/A para os serviços da Conta Digital.

O presente termo de aceite do SLA (Service Level Agreements) da Política de Nível de Serviços Contratados (“Política”), integrante da Política Corporativa de Segurança Cibernética e de Ativos de Informação do da
J17 Sociedade de Crédito S/A, sociedade de responsabilidade limitada inscrita no CNPJ sob No
40.475.846/0001-00 (“Empresa” ou “J17 SOCIEDADE DE CRÉDITO DIRETO S/A”), detentora da Plataforma J17 SOCIEDADE DE CRÉDITO DIRETO S/A, provedor de serviços de aplicação de internet para emissão de cobranças e administração, hospedado sob o domínio  www.j17scd.com.br assim definidos nos termos do art. 5⁰, VII da Lei 12.965/14, estabelece para os devidos fins os parâmetros abaixo para a utilização dos serviços da Conta Digital da J17 SOCIEDADE DE CRÉDITO DIRETO S/A:

Impacto e Urgência

O tempo de resposta para atendimento de cada ocorrência assumido perante a nossa contraparte contratual para
uso da conta digital da varia conforme a sua PRIORIDADE, determinada de acordo com dois fatores:

(a) IMPACTO (determinado de acordo com o impacto no negócio):

(i) 1 – Alto: impede o cliente de desempenhar suas atividades;

(ii) 2 – Médio: indisponibilidade de um determinado serviço;

(iii) 3 – Baixo: apenas um cliente ou uma conta com indisponibilidade de algum serviço.

(b) URGÊNCIA (determinada de acordo com a criticidade da operação impactada para o negócio do cliente):

(i) 1 – Alta: não há ações de contorno possíveis;

(ii) 2 – Média: operação pode ser reestabelecida com ações contingenciais e/ou de contorno

(iii) 3 – Baixa: operação continua normalmente, com pouca perda de produtividade e/ou qualidade.

Matriz de Prioridade

A prioridade para atendimento é definida, desta forma, pela matriz abaixo, que cruza as duas variáveis definidas no item acima:

De acordo com a prioridade determinada através da matriz acima, são estipulados os tempos e as metas de atendimento de incidentes (defeitos e não-conformidades apresentados nos serviços que são objeto do respectivo contrato) e de requisições de serviço (solicitações de demandas pontuais e/ou esclarecimento de
dúvidas), conforme apresentado abaixo:

A seguir, estão descritos os indicadores de disponibilidade das funcionalidades principais prestadas ao cliente J17 SOCIEDADE DE CRÉDITO DIRETO S/A, a saber:

Observação: Serviços dependentes da disponibilidade do Sistema de Pagamento Brasileiro.

Abaixo estão os tempos de resposta que serão observados para alguns serviços:

Exceções

IMPORTANTE. O tempo de disponibilidade acima desconsidera eventuais paradas programadas, avisadas com ao
menos 7 (sete) dias de antecedência. Os indicadores de disponibilidade e de tempo de resposta são considerados em períodos de 3 (três) meses.

Alterações a essa Política

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá alterar esta Política de Nível de Serviços Contratados (SLA) a qualquer tempo. Toda vez que alguma condição relevante desta Política for alterada, essas alterações serão válidas, eficazes e vinculantes após a nova versão ser divulgada no nosso site ou enviada por e-mail pra você.

Prezamos sempre pela transparência: toda vez que uma alteração relevante for feita, nós enviaremos um
comunicado a você indicando a nova versão vigente. Ao continuar a usar nossos produtos e serviços após uma alteração na Política de Nível de Serviços Contratados, você estará concordando com as novas condições – mas você sempre pode manifestar a sua discordância por meio dos nossos canais de atendimento, se for o caso.

Nas hipóteses em que as alterações a esta Política resultarem em mudanças nas métricas de desempenho que
dependam do seu consentimento, solicitaremos o seu consentimento com os novos termos da Política em relação aos novos parâmetros indicados.

Fale Conosco

Se após a leitura desta Política de Privacidade você ainda tiver qualquer dúvida, ou por qualquer razão precisar se comunicar conosco para assuntos envolvendo esta Política você pode entrar em contato pelos nossos canais de comunicação. Estamos sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

Para maiores informações sobre esta Política e outras que fazem parte da Política Corporativa de Segurança
Cibernética e Ativos da Informação da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, leia a Política de Níveis de Serviços Contratados e visite as páginas de Ajuda da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Atualizado em 01/2.022

TERMO DE ACEITE:

Declaro que recebi uma cópia do documento acima, li o seu conteúdo e concordo integralmente com seus termos.

Londrina , 03 de Janeiro de 2.022

Nome completo do Usuário:

CPF:

Assinatura eletrônica:

CAPÍTULO VI – POLÍTICA DE PRIVACIDADE

Termo de Aceite da Política de Privacidade, Uso e Divulgação de Informações

A presente Política de Privacidade, Uso e Divulgação de Informações (“Política”), integrante da Política Corporativa de Segurança Cibernética e de Ativos de Informação do da J17 Sociedade de Crédito S/A, sociedade
de responsabilidade limitada inscrita no CNPJ sob No 40.475.846/0001-00 (“Empresa” ou “J17 SOCIEDADE DE CRÉDITO DIRETO S/A”), detentora da Plataforma J17 SOCIEDADE DE CRÉDITO DIRETO S/A, provedor de serviços de aplicação de internet para emissão de cobranças e administração, hospedado sob o domínio  www.j117scd.com.br  assim definidos nos termos do art. 5⁰, VII da Lei 12.965/14 e visa garantir a proteção, a manutenção da privacidade, integridade, disponibilidade e confidencialidade das informações de sua propriedade e/ou sob sua guarda, além de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, definindo as regras que representam, em nível estratégico, os princípios fundamentais incorporados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A para o alcance dos objetivos de segurança da informação.

Aplicação

Cada vez que você ler um termo iniciado em letra maiúscula nesta Política, significa que ele é um termo com significado definido especificamente.

Toda vez que houver menção aos termos “J17 SOCIEDADE DE CRÉDITO DIRETO S/A”, “nós” ou “nossos”, estamos nos referindo ao J17 SOCIEDADE DE CRÉDITO DIRETO S/A. Da mesma forma, toda vez que houver menção aos termos “usuário”, “você”, “seu”, “sua”, estamos nos referindo a Você.

De modo geral, esta Política de Privacidade é aplicável a todos os clientes do J17 SOCIEDADE DE CRÉDITO DIRETO S/A no Brasil. Também se aplica aos candidatos a vagas de emprego na J17 SOCIEDADE DE CRÉDITO DIRETO S/A e a membros da comunidade da J17 SOCIEDADE DE CRÉDITO DIRETO S/A em nosso Blog e redes sociais.

Esta Política de Privacidade se aplica especificamente aos:

Clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A: pessoas naturais que efetivamente contratem, utilizem ou acessem um ou mais serviços ou produtos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A (seja para você mesmo ou para sua pessoa jurídica)

Prospectos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A: pessoas naturais prospectadas pelo J17 SOCIEDADE DE CRÉDITO DIRETO S/A ou que já tenham solicitado a contratação de um dos serviços ou produtos, mas que não tenham se tornado um cliente do J17 SOCIEDADE DE CRÉDITO DIRETO S/A por qualquer motivo

Esta Política de Privacidade também é aplicável a outras formas de coleta de dados pessoais pelo J17 SOCIEDADE DE CRÉDITO DIRETO S/A, que permitem a prestação ou o aprimoramento dos nossos serviços. Por exemplo, podemos coletar informações por meio de parceiros ou relativas às nossas tecnologias. Todas as formas de coleta e os usos dos seus dados pessoais estão descritos nesta Política de Privacidade.

As práticas descritas nesta Política de Privacidade só se aplicam ao tratamento dos seus dados pessoais no
Brasil e estão sujeitas às leis locais aplicáveis, com destaque para a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, ou “LGPD”) a partir de sua entrada em vigor.

Quando coletamos seus dados

Nós coletamos os seus dados pessoais sempre que você:

i) Usar o aplicativo da J17 SOCIEDADE DE CRÉDITO DIRETO S/A para smartphones;

ii) Contratar ou usar qualquer um dos nossos produtos ou serviços, seja fazendo compras com o seu cartão de crédito ou transações com a sua conta da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

iii) Navegar no website da J17 SOCIEDADE DE CRÉDITO DIRETO S/A disponível em https://J17 SOCIEDADE DE CRÉDITO DIRETO S/A.com.br;

iv) Navegar nos blogs da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

v) Se inscrever na newsletter da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

vi) Entrar em contato conosco pelos nossos canais de atendimento;

vii) Participar de pesquisas ou promoções realizadas pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Quais dados pessoais são coletados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A

Ao solicitar, contratar ou usar os produtos ou serviços da J17 SOCIEDADE DE CRÉDITO DIRETO S/A,
você nos fornece, e nós coletamos, alguns dados pessoais relacionados a você. Desde o momento em que você interage com o J17 SOCIEDADE DE CRÉDITO DIRETO S/A, nós coletamos os seus dados pessoais. Em alguns casos, você fornece diretamente os seus dados pessoais a J17 SOCIEDADE DE CRÉDITO DIRETO S/A, mas também podemos coletar seus dados de maneira automática.

Além disso, nós também recebemos alguns dados pessoais enviados por parceiros que contratamos para finalidades específicas (como para reforçar nosso controle contra fraudes), para que possamos cumprir com obrigações legais ou com a regulamentação aplicável e outras que serão detalhadas mais adiante.

Ao aceitar os termos desta Política de Privacidade, você concorda expressamente em fornecer apenas dados
pessoais verdadeiros, atuais e precisos e em não alterar a sua identidade ou seus dados pessoais de qualquer
forma no acesso e na utilização dos nossos produtos ou serviços. Você será o único responsável pelas informações falsas, desatualizadas ou imprecisas que fornecer diretamente a J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

CATEGORIAS DE DADOS COLETADOS

Esses são os seus dados pessoais tratados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A, divididos por
categorias:

Dados pessoais informados pelo titular

i) Dados cadastrais, tais como: nome, documentos de identificação, nacionalidade endereço, data de nascimento,
filiação, gênero, entre outros;

ii) Dados de contato, como telefone e e-mail;

iii) Empresa em que trabalha;

iv) Profissão;

v) Renda declarada e comprovante;

vi) Dados biométricos, tais como a fotografia do seu documento de identificação e do seu rosto;

vii) Dados pessoais que coletamos de terceiros;

viii) Dados cadastrais, tais como: nome, filiação, data de nascimento, CPF, número de telefone, endereço,
entre outros;

ix) Dados sobre restrições financeiras, tais como: negativações, valores devidos, datas de vencimento, quantidades de consultas, entre outros;

x) Informações sobre histórico de crédito;

xi) Score gerado por bureaus de crédito;

xii) Informações de dívidas a vencer ou vencidas, coobrigações e garantias;

xiv) Se você faz parte de alguma lista de Pessoa Politicamente Exposta (PPE) ou lista de restrição (como, OFAC, CSNU e outras listas internacionais);

xv) Informações constantes da base de dados do Sistema de Informações de Crédito (SCR), mediante consentimento.

Dados de navegação e do dispositivo

i) Endereço IP do dispositivo móvel utilizado para acessar os serviços ou produtos do J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

ii) Interações realizadas e perfil de uso de sites, blogs e aplicativo da J17 SOCIEDADE DE CRÉDITO DIRETO
S/A;

iii) Dados técnicos, como informações de URL, de conexão de rede, do provedor, e do dispositivo;

iv) Cookies;

v) Atributos do dispositivo, tais como ID, sistema operacional, navegador e modelo;

vi) Dados de geolocalização do dispositivo caso você autorize a coleta a partir do seu dispositivo.

Dados pessoais originados do uso dos nossos produtos e serviços

i) Dados de contratação de nossos produtos e serviços, tais como cartão de crédito e Rewards;

ii) Dados de transações e movimentações financeiras na conta da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, como débitos, saques, pagamentos aplicações financeiras e transferências, incluindo também informações dos remetentes e beneficiários;

iii) Dados de contratação de operações de crédito, tais como empréstimo pessoal, negociação de valores devidos em razão do uso do cartão de crédito e parcelamento de fatura;

iv) Data de convite para se tornar um Cliente da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

v) Indicações de países de destino para viagens internacionais, incluindo tempo de permanência;

vi) Histórico de crédito;

vii) Histórico de atendimento ao cliente;

viii) Código do seu banco de origem, caso ative a portabilidade salarial;

ix) Acesso à sua lista de contatos, caso você  ative voluntariamente essa funcionalidade no nosso aplicativo.

Dados públicos

i) Podemos coletar informações sobre você que estejam disponíveis publicamente ou que foram tornadas públicas por você;

ii) Informações sobre menções ou interações com a J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

iii) Depoimentos referentes a J17 SOCIEDADE DE CRÉDITO DIRETO S/A postados em perfis e páginas nas redes sociais, juntamente com seu nome e imagem (incluindo fotos de perfil).

Como a J17 SOCIEDADE DE CRÉDITO DIRETO S/A usa seus dados pessoais

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A utiliza os seus dados pessoais para poder prestar um serviço de alta qualidade e oferecer os melhores produtos a você. Detalhamos a seguir as finalidades para as quais utilizamos os seus dados pessoais:

Dados pessoais informados pelo titular

Finalidades:

i) Prestação dos serviços e oferecimento dos produtos contratados;

ii) Identificação, autenticação e verificação de requisitos para contratação dos serviços e produtos do J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

iii) Autenticação de transações financeiras;

iv) Atendimento de solicitações e dúvidas;

v) Efetivação de portabilidade salarial, se requerida;

vi) Contato por telefone, e-mail, SMS, WhatsApp, ou outros meios de comunicação, inclusive para envio de
notificações ou push de uso dos serviços da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

vii) Envio do seu cartão de crédito e comunicações em geral;

viii) Envio de WOW (um presente, uma carta ou um mimo que pode ser enviada quando há uma conexão entre cliente e o atendimento da J17 SOCIEDADE DE CRÉDITO DIRETO S/A);

ix) Aprimoramento dos serviços prestados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A, inclusive com o cruzamento de informações sobre produtos contratados por pessoa física e por pessoa jurídica para oferecimento de novos produtos e serviços;

x) Marketing, prospecção, pesquisas de mercado, de opinião e promoção dos nossos produtos e serviços, ou de
nossos parceiros, inclusive com viabilização de ofertas e envio de informações sobre produtos, serviços,
novidades, funcionalidades, conteúdos, notícias e demais eventos relevantes para a manutenção do
relacionamento com você;

xi) Consultas sobre suas informações na base de dados do Sistema de Informações de Crédito (SCR), mediante a
obtenção do seu consentimento com esse uso

xii) Reavaliações periódicas sobre a elegibilidade para ser um cliente da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, possibilitando o eventual convite proativo a prospectos;

xiii) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

xiv) Prevenção e resolução de problemas técnicos ou de segurança;

xv) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

xvi) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, inclusive apresentando
documentos em processos judiciais e administrativos, se necessário;

xvii) Colaboração ou cumprimento de ordem judicial, de autoridade competente ou de órgão fiscalizador;

xviii) Cumprimento de obrigação legal ou regulatória.

Dados biométricos

Finalidades:

i) Prevenção à fraude e garantia da sua segurança nos processos de identificação e autenticação de cadastro e
de novo dispositivo.

Dados pessoais que coletamos de terceiros

Finalidades:

i) Melhoria de nossos produtos e serviços;

ii) Marketing, prospecção, pesquisas de mercado e de opinião;

iii) Reavaliações periódicas sobre a elegibilidade para ser um cliente da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, possibilitando o eventual convite proativo a prospectos;

iv) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

v) Prevenção e resolução de problemas técnicos ou de segurança;

vi) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

vii) Cumprimento de obrigação legal ou regulatória, por exemplo, para manutenção do seu cadastro atualizado
ou cumprimento de obrigações legais e/ou regulatórias impostas a J17 SOCIEDADE DE CRÉDITO DIRETO S/A,
incluindo normas de Conheça seu Cliente, Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo e outras.

Dados de navegação e do dispositivo

Finalidades:

i) Prestação dos serviços, oferecimento dos produtos contratados e aperfeiçoamento do uso e experiência com o
aplicativo e sites da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

ii) Operacionalização de novos produtos e serviços;

iii) Recomendação de novos serviços, produtos ou funcionalidades do aplicativo, inclusive serviços de parceiros que possam te interessar;

iv) Exibição de publicidade, seja no nosso site, redes sociais ou em sites de terceiros;

v) Geração de estatísticas, estudos, pesquisas e levantamentos pertinentes às atividades e comportamento no
uso dos produtos ou serviços;

vi) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

vii) Prevenção e resolução de problemas técnicos ou de segurança;

viii) Dados de geolocalização para sua segurança – por exemplo, identificando compras indevidas;

ix) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

x) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A inclusive apresentando documentos em processos judiciais e administrativos, se necessário;

xi) Cumprimento de ordem judicial, de autoridade competente ou de órgão fiscalizador;

xii) Cumprimento de obrigação legal ou regulatória.

Dados pessoais originados do uso dos nossos produtos e serviços

Finalidades:

i) Prestação dos serviços e oferecimento dos produtos contratados;

ii) Autenticação de transações, atendimento e suporte ao cliente;

iii) Aprimoramento dos serviços prestados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A, inclusive com
o cruzamento de informações sobre produtos contratados por pessoa física e por pessoa jurídica para oferecimento de novos produtos e serviços;

iv) Desenvolvimento de novos produtos e serviços a serem oferecidos por empresas do J17 SOCIEDADE DE CRÉDITO DIRETO S/A e geração de conhecimento para inovação ou desenvolvimento de novos produtos;

v) Testes para aprimoramento dos modelos e serviços e produtos da J17 SOCIEDADE DE CRÉDITO DIRETO
S/A

vi) Marketing, prospecção, pesquisas de mercado, de opinião e promoção dos nossos produtos e serviços, ou de nossos parceiros, inclusive com viabilização de ofertas e envio de informações sobre produtos, serviços, novidades, funcionalidades, conteúdos, notícias e demais eventos relevantes para a manutenção do relacionamento com você;

vii) Envio de WOW (um presente, uma carta ou um mimo que pode ser enviada quando há uma conexão entre cliente e o atendimento da J17 SOCIEDADE DE CRÉDITO DIRETO S/A);

viii) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

ix) Prevenção e resolução de problemas técnicos ou de segurança e monitoramento de uso e performance dos
serviços e produtos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

x) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

xi) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, inclusive apresentando documentos em processos judiciais e administrativos, se necessário;

xii) Colaboração ou cumprimento de ordem judicial, de autoridade competente ou de órgão fiscalizador;

xiii) Cumprimento de obrigação legal ou regulatória.

Dados públicos

Finalidades:

i) Divulgação dos produtos e serviços prestados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A em redes sociais, websites, aplicativos ou materiais institucionais e publicitários;

ii) Envio de WOW (um presente, uma carta ou um mimo que pode ser enviada quando há uma conexão entre cliente e o atendimento da J17 SOCIEDADE DE CRÉDITO DIRETO S/A);

iii) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

iv) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

v) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

vi) Cumprimento de obrigações legais e/ou regulatórias impostas a J17 SOCIEDADE DE CRÉDITO DIRETO S/A, incluindo normas de Conheça seu Cliente, Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo e outras.

Compartilhamento de dados pessoais

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá compartilhar os seus dados caso você solicite. O compartilhamento dos seus dados também poderá ser feito com empresas do grupo econômico da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, com terceiros parceiros e com autoridades e órgãos reguladores para diferentes finalidades, quando necessário. Sempre que efetuado, o compartilhamento de dados será realizado dentro dos limites e propósitos dos nossos negócios e de acordo com o que autoriza a legislação aplicável.

Abaixo preparamos um resumo dividido por categorias com os tipos de fornecedores com quem normalmente
compartilhamos seus dados pessoais:

Outras empresas do grupa J17 SOCIEDADE DE CRÉDITO DIRETO S/A (quando aplicável)

i) Finalidades do compartilhamento:

ii) Prestação de serviços e oferecimento dos produtos contratados para o cliente;

iii) Operacionalização e oferta de novos serviços e produtos;

iv) Marketing, prospecção, pesquisas de mercado, de opinião e promoção dos nossos produtos e serviços;

v) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

vi) Prevenção e resolução de problemas técnicos ou de segurança;

vii) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

viii) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

ix) Cumprimento de obrigação legal ou regulatória.

Parceiros de negócios, prestadores de serviço e outros terceiros

Tais como: fornecedores de serviços de tecnologia da informação, de atendimento ao consumidor, de comunicação, de serviços estatísticos, de pesquisas, marketing, serviços financeiros e de meios de pagamentos; parceiros que fabricam, personalizam e entregam os nossos cartões de crédito e/ou débito, agências de cobrança, de crédito e prevenção a fraudes, bancos, instituições financeiras e outros terceiros.

Finalidades do compartilhamento:

i) Aprimoramento dos nossos serviços, website e aplicativo e operacionalização de novos produtos ou serviços;

ii) Auxílio na prestação dos serviços que entregamos a você, por exemplo, confecção e entrega do seu cartão;

iii) Contato por telefone, e-mail, SMS, WhatsApp, notificação push ou outros meios de comunicação;

iv) Auxílio no desenvolvimento e oferta dos nossos produtos financeiros;

v) Cobrança de dívidas;

vi) Checagem da sua identidade e elegibilidade para contratar os serviços da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e reavaliações periódicas, possibilitando o eventual convite proativo a prospectos;

vii) Marketing, prospecção, pesquisas de mercado, de opinião e promoção dos nossos produtos e serviços;

viii) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

ix) Prevenção e resolução de problemas técnicos ou de segurança;

x) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

xi) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

xii) Cumprimento de ordem judicial, de autoridade competente ou de órgão fiscalizador;

xiii) Cumprimento de obrigação legal ou regulatória.

Autoridades e órgãos reguladores

Finalidades do compartilhamento:

i) Investigações e medidas de prevenção e combate a ilícitos, fraudes, crimes financeiros e garantia da
segurança dos clientes da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e do sistema financeiro;

ii) Exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, inclusive apresentando documentos em processos judiciais e administrativos, se necessário;

iii) Cumprimento de ordem judicial, atendimento de solicitação de autoridade competente ou órgão fiscalizador;

iv) Cumprimento de obrigação legal ou regulatória.

Mediante sua solicitação

Finalidades do compartilhamento:

i) Garantir a transparência na nossa relação com você;

ii) Envio de notificações não obrigatórias por e-mails, push, WhatsApp e SMS;

iii) Além disso, ao utilizar nosso aplicativo ou navegar em nossos websites, você pode ser redirecionado para
sites ou aplicativos de terceiros. Depois que você for redirecionado para um site ou aplicativo de terceiros,
as práticas de privacidade serão regidas pelas políticas de privacidade e pelos termos de uso desses
terceiros. Não podemos controlar ou nos responsabilizar pelas práticas e conteúdo de privacidade de terceiros.
Leia atentamente as políticas de privacidade aplicáveis para entender como eles coletam e processam seus
dados.

Retenção e exclusão dos seus dados pessoais

Enquanto você for um Cliente ou Prospecto da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, durante o uso dos nossos produtos e serviços e por todo o período em que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A armazenar seus dados pessoais, eles serão mantidos em ambiente seguro e controlado.

Quando aplicável, e mesmo após o cancelamento da conta da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, cartão de crédito ou demais serviços ou produtos, podemos armazenar os seus dados pessoais por um período adicional de tempo para fins de auditoria, cumprimento de obrigações legais ou regulatórias, para o exercício regular de direitos da J17 SOCIEDADE DE CRÉDITO DIRETO S/A ou também pelo prazo necessário de acordo com a base legal que justifique a retenção dos dados. Por exemplo, podemos armazenar seus dados para cumprir com obrigações impostas pelo Banco Central do Brasil e também para preservar nossos direitos em ações judiciais.

Seus direitos como titular de dados pessoais

A partir da entrada em vigor da LGPD, você, como titular de dados pessoais, pode exercer seus direitos frente aos controladores dos seus dados pessoais. Nós disponibilizamos os mecanismos detalhados abaixo para que você entenda de forma clara e transparente como exercer seus direitos e nossa equipe estará pronta para atender eventuais solicitações.

Elencamos abaixo quais são esses direitos:

Confirmação da existência de tratamento de dados pessoais: O fato de você ser Cliente da J17 SOCIEDADE DE CRÉDITO DIRETO S/A já significa que nós fazemos o tratamento dos seus dados pessoais, mesmo que esse tratamento seja, entre outros, o armazenamento de dados pessoais em ambiente seguro e controlado. Você pode solicitar a J17 SOCIEDADE DE CRÉDITO DIRETO S/A que confirme se realiza o tratamento dos seus dados pessoais.

Acesso aos dados pessoais: Você pode solicitar que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A informe e forneça os dados pessoais que possui em relação a você.

Correção de dados pessoais incompletos, inexatos ou desatualizados: Se você verificar que os seus dados pessoais estão incompletos, inexatos ou desatualizados, você pode pedir a correção ou complementação a J17 SOCIEDADE DE CRÉDITO DIRETO S/A. Para isso, caso não seja possível realizar a alteração pelo próprio aplicativo da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, você precisará enviar um documento que comprove a forma correta e atual do dado pessoal.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD: Caso qualquer dado pessoal seja tratado de forma desnecessária, em excesso para a finalidade a que se destina ou em desconformidade com a LGPD, você pode solicitar que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A torne anônimo, bloqueie ou elimine esses dados, desde que fique efetivamente constatado o excesso, a falta de necessidade ou a desconformidade com a lei.

Eliminação dos dados pessoais tratados com o consentimento: Caso você tenha dado o consentimento para tratamento dos seus dados pessoais para finalidades específicas (e não necessárias para a prestação dos nossos serviços ou entrega dos nossos produtos), você poderá solicitar a eliminação desses dados pessoais, como por exemplo, dados pessoais obtidos a partir da sua geolocalização para indicação do local onde foram realizadas suas compras.

Informação das empresas com as quais a J17 SOCIEDADE DE CRÉDITO DIRETO S/A compartilhou ou das quais recebeu seus dados pessoais: Você pode solicitar que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A informe com quais terceiros compartilhou ou de quem recebeu seus dados pessoais.

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: Caso seu consentimento seja necessário para acessar ou usar determinado produto ou serviço, você pode pedir que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A esclareça se é possível fornecer esse produto ou prestar esse serviço sem o seu consentimento para o tratamento dos seus dados pessoais, ou quais são as consequências de não fornecer o consentimento para este caso.

Revogação do consentimento: Caso você tenha dado o seu consentimento para tratamento dos seus dados pessoais, você pode solicitar a revogação desta autorização. A revogação do consentimento pode resultar na impossibilidade de uso de algumas funcionalidades do aplicativo, ou até mesmo no encerramento dos serviços prestados, mas não impede o uso de (i) dados anonimizados; e (ii) dados cujo tratamento esteja baseado em outra hipótese legal prevista na LGPD.

Decisões automatizadas: Você pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses e a indicação dos critérios utilizados para essas decisões. Por motivos de segredo de negócio, proteção de informações confidenciais e preservação da concorrência, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A não informa a forma de funcionamento desses sistemas automatizados. Importante destacar que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A não garante um resultado diferente da primeira decisão, mas podemos garantir que os nossos modelos tecnológicos são consistentes e pautados em princípios legais e éticos.

Portabilidade e direito de petição: Quando regulamentado o direito de portabilidade pela Autoridade Nacional de Proteção de Dados (ANPD), você poderá solicitar a J17 SOCIEDADE DE CRÉDITO DIRETO S/A a portabilidade dos seus dados pessoais a outro prestador de serviços. Além disso, com a constituição da ANPD, você terá também o direito de peticionar em relação aos seus dados perante a autoridade nacional.

IMPORTANTE: Caso você deseje exercer qualquer um desses direitos, entre em contato conosco por meio do canal “Ajuda” no app ou diretamente com o nosso encarregado (DPO) pelo e-mail suporte@j17scd.com.br. Para efetivarmos os seus direitos, podemos solicitar comprovação da sua identidade, como medida de segurança e prevenção à fraude.

Você poderá exercer os direitos descritos nesse capítulo a partir da data em que a LGPD entrar em vigor.

Registro de atividades

Podemos registrar as atividades que você realiza quando utiliza nosso aplicativo, site ou blogs, criando, quando possível e aplicável, logs (registros de atividades efetuadas nos sites e aplicativos e serviços) que conterão: o endereço IP, acesso e ações realizadas por você no serviço disponibilizado, data e hora de cada ação realizada e informações sobre o dispositivo utilizado, tais como a versão de sistema operacional, navegador e geolocalização.

Também podemos utilizar certas tecnologias, próprias ou de terceiros, de monitoramento das atividades realizadas enquanto você acessa nossos sites e blogs, tais como:

Cookies: são arquivos de internet que armazenam de forma temporária o que você está visitando na rede. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A possui cookies em seus websites e blogs e também recebe informações de parceiros a respeito de cookies inseridos nos seus respectivos websites. Os cookies podem ser utilizados para diversos propósitos, incluindo lembrar-se de você e de suas preferências, persistir informações relacionadas a suas atividades no site visitado, ou coletar informações que podem ser usadas para oferecer conteúdo de uma forma personalizada. Nossos sites também podem utilizar objetos armazenados localmente para fornecer determinado conteúdo, tais como vídeo sob demanda, videoclipes ou animação.

Nós temos cookies de terceiros ativados em nosso site. As práticas de privacidade serão regidas pelas políticas de privacidade e pelos termos de uso desses terceiros, de forma que não podemos controlar ou nos responsabilizar pelas práticas e conteúdo de privacidade de terceiros. Por isso destacamos que você pode, a qualquer momento, bloquear o uso dos cookies ativando uma configuração no seu navegador de internet e sua capacidade de limitar os cookies estará sujeita às configurações e limitações do seu navegador. Você também pode excluir os cookies existentes através das mesmas configurações do seu navegador de internet. Caso você opte por desativar os cookies, você poderá continuar navegando nos sites e nos blogs, mas algumas partes das páginas poderão deixar de funcionar.

Web beacon: Web beacon é uma técnica que permite mapear quem está visitando uma determinada página da web, identificando o seu comportamento com diferentes sites ou servidores da web.

Ferramentas de analytics: Essas ferramentas podem coletar informações como a forma que você visita um site, incluindo quais páginas e quando você visita tais páginas, além de outros sites que foram visitados antes, entre outras.

Todas as tecnologias utilizadas por nós sempre respeitarão os termos desta Política de Privacidade.

Transferência internacional de dados pessoais

Alguns de seus dados pessoais, ou todos eles, poderão ser transferidos para o exterior, por exemplo quando são armazenados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A em servidores de computação em nuvem localizados fora do Brasil. Para isso, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A observa todos os requerimentos estabelecidos pela legislação vigente e adota as melhores práticas de segurança e privacidade para garantir a integridade e confidencialidade dos seus dados pessoais.

Medidas de segurança

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A usa diversos tipos de medidas de segurança para garantir a integridade de seus dados pessoais, como padrões de segurança de informação praticados pela indústria quando coleta e armazena dados pessoais.

Os dados pessoais podem, ainda, ser armazenados por meios de tecnologia de cloud computing e outras tecnologias que surjam futuramente, visando sempre a melhoria e aperfeiçoamento de nossos serviços e segurança.

Tratamos a segurança dos seus dados pessoais com o máximo de cuidado, utilizando padrões e melhores práticas adotados no mercado. Temos uma equipe robusta, altamente qualificada e responsável por garantir que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A adote as melhores práticas de segurança, dentre elas:

i) Múltiplo fator de autenticação para acesso às informações;

ii) Segurança como código, a fim de viabilizar automações e respostas rápidas e eficientes para eventos de segurança no ambiente tecnológico;

iii) Criptografia para dados em repouso, em trânsito e em uso, para garantir a integridade das informações;

iv) Monitoramento contínuo do ambiente;

v) Análises e testes contínuos de segurança da informação em nossos sistemas, feitos por times internos e externos;

vi) Auditorias periódicas.

Recomendamos ainda que você nunca compartilhe sua senha com ninguém, ela é pessoal e intransferível, e sempre tome cuidado ao postar seus dados pessoais em redes sociais ou qualquer outro ambiente público.

Consentimento

Ao longo desta Política de Privacidade, informamos que alguns dados pessoais somente serão coletados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A com o seu consentimento. Da mesma forma, esses dados pessoais somente poderão ser tratados mediante autorização e para as finalidades descritas nesta Política.

Ao ler esta Política de Privacidade e clicar, ao final, em ”Eu li, estou ciente das condições de tratamento dos meus dados pessoais e forneço meu consentimento, quando aplicável, conforme descrito nesta Política de Privacidade.”, você consente com o tratamento dos dados pessoais nas formas aqui indicadas.

Vale lembrar que o tratamento de seus dados pessoais é condição necessária para que possamos prestar nossos serviços e entregar nossos produtos para você. Caso você tenha dúvidas sobre qualquer um dos termos explicados aqui, estamos à disposição em nossos canais de atendimento para ajudá-lo.

Alterações a essa Política de Privacidade

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá alterar esta Política de Privacidade a qualquer tempo. Toda vez que alguma condição relevante desta Política de Privacidade for alterada, essas alterações serão válidas, eficazes e vinculantes após a nova versão ser divulgada no nosso site ou enviada por e-mail pra você.

Prezamos sempre pela transparência: toda vez que uma alteração relevante for feita, nós enviaremos um comunicado a você indicando a nova versão vigente. Ao continuar a usar nossos produtos e serviços após uma alteração na Política de Privacidade, você estará concordando com as novas condições – mas você sempre pode manifestar a sua discordância por meio dos nossos canais de atendimento, se for o caso.

Nas hipóteses em que as alterações a esta Política de Privacidade resultarem em mudanças nas práticas de tratamento de dados pessoais que dependam do seu consentimento (conforme a LGPD), solicitaremos o seu consentimento com os novos termos da Política de Privacidade em relação ao tratamento de dados e finalidades indicados.

Fale Conosco

Segundo a Lei nº 13.709/2018, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A é considerado o “Controlador” dos seus dados pessoais. Se após a leitura desta Política de Privacidade você ainda tiver qualquer dúvida, ou por qualquer razão precisar se comunicar conosco para assuntos envolvendo os seus dados pessoais, você pode entrar em contato pelos nossos canais de comunicação. Estamos sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

Para maiores informações sobre esta Política e outras que fazem parte da Política Corporativa de Segurança Cibernética e Ativos da Informação da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, leia a Política de Cookies e visite as páginas de Ajuda da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Atualizado em 01/2.022

TERMO DE ACEITE:

Declaro que recebi uma cópia do documento acima, li o seu conteúdo e concordo integralmente com seus termos.

Londrina, 03 de janeiro de 2.022

Nome completo do Usuário:

CPF:

Assinatura eletrônica:

CAPÍTULO VII – POLÍTICA DE COOKIES

Termo de Aceite da Política de Cookies

A presente Política de Cookies (“Política”), integrante da Política Corporativa de Segurança Cibernética e de Ativos de Informação do da J17 Sociedade de Crédito S/A, sociedade de responsabilidade limitada inscrita no CNPJ sob No 40.475.846/0001-00 (“Empresa” ou “J17 SOCIEDADE DE CRÉDITO DIRETO S/A”), detentora da Plataforma J17 SOCIEDADE DE CRÉDITO DIRETO S/A, provedor de serviços de aplicação de internet para emissão de cobranças e administração, hospedado sob o domínio  www.j17scd.com.br assim definidos nos termos do art. 5⁰, VII da Lei 12.965/14 e visa garantir a proteção, a manutenção da privacidade, integridade, disponibilidade e confidencialidade das informações de sua propriedade e/ou sob sua guarda, além de prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético, definindo as regras que representam, em nível estratégico, os princípios fundamentais incorporados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A para o alcance dos objetivos de segurança da informação.

O Que São Cookies

a) Para fins desta Política um “cookie” é um pequeno arquivo de texto instalado por meio de seu navegador quando nosso website é acessado. Esse arquivo é transferido e armazenado no disco rígido do seu computador onde fica acessível a nossos servidores para coleta de informações que nos permitirão aprimorar a usabilidade e a experiência de navegação em nossos portais, tais como data e horário de acesso, histórico de navegação, preferências e nome do usuário. Estes cookies não coletam qualquer informação ou dado pessoal armazenados em seu computador.

Uso Legal

b) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá utilizar cookies para administrar as sessões, navegações, acessos e cadastros dos Usuários e armazenar preferências, rastrear informações, dentre outras utilidades, em observância aos princípios previstos no art. 6⁰ da lei 13.709/18.

Objetivo do Uso de Cookies

c) O objetivo por trás da utilização de cookies no nosso website e aplicativo é fazer a distinção entre os usuários, personalizando a experiência daquele que navega no website. Dessa forma, quando você visita nossos websites, empregamos cookies para que possamos coletar automaticamente os seguintes dados:

(i) informações técnicas como o tipo de equipamento que você utiliza, o sistema operacional empregado, o navegador utilizado e o endereço de IP. Estes dados são empregados apenas para fins estatísticos e para aprimorar a experiência de navegação em nossos portais;

(ii) informações sobre a experiência de navegação em nosso website, como por exemplo as seções visitadas, produtos e serviços visualizados, o tempo de visualização, referência externas que o levaram a nosso website, etc. Estas informações são empregadas para que possamos aprimorar a estrutura de nossos portais e para eventual direcionamento de ofertas de nossos produtos e serviços;

(iii) informações sobre suas preferências pessoais, como idioma de navegação e país de origem, utilizado no propósito de adotar essas preferências como padrão a cada nova visita sua em nossos portais.

Funções dos Cookies

d) Os cookies utilizados pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A executam quatro funções, conforme abaixo:

(i) Cookies Necessários: Alguns cookies são essenciais para o funcionamento do nosso site. Esse tipo de cookie é definido apenas para resposta a ações feitas pelo usuário, traduzindo-se em solicitação de serviços, como, por exemplo, definir suas preferências de privacidade, efetuar login ou preencher formulários.

(ii) Cookies Funcionais: Alguns cookies servem para lembrar das configurações e preferências feitas pelo usuário, ou ainda ajudar com outras funcionalidades durante a navegação no site.

(iv) Cookies de Terceiros: É possível a disponibilização de conteúdo de terceiros em nossos websites e portais, a exemplo de vídeos, imagens, artigos e pesquisas de serviços de mídia social como Instagram, Linkedin, Facebook, Medium, Youtube, Itunes, etc. Ao acessar o conteúdo desses provedores, é provável que cookies destes terceiros sejam igualmente instalados em seus dispositivos. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A não possui ingerência ou controle sobre o uso, finalidade e funcionamento destes cookies. Recomendamos que busque conhecer a política de cookies desses provedores para mais informações. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A disponibiliza a funcionalidade de compartilhamento de página ou conteúdo em seus websites que permitem a divulgação de conteúdo compartilhado em plataformas como Facebook, Instagram, Linkedin, Whatsapp, Twitter, e outros. Estes serviços de terceiros poderão igualmente instalar cookies quando você acessa estes serviços. A J17 SOCIEDADE DE CRÉDITO DIRETO S/A não possui ingerência ou controle sobre o uso, finalidade e funcionamento destes cookies. Recomendamos que busque conhecer a política de cookies desses provedores para mais informações.

Controle e Restrições dos Cookies

e) As autorizações para coleta de cookies poderão ser obtidas quando de seu primeiro acesso a nosso website. As autorizações também poderão ser alteradas de acordo com as preferências de seu navegador ou simplesmente recusadas. Ressalvamos, contudo, que o bloqueio de cookies poderá resultar na perda de funcionalidades ou restrição de acesso a seções de nosso website.

f) Você tem a opção de aceitar ou recusar o uso de cookies em seu computador, independente de cadastro no site, configurando seu navegador como desejar. A recusa do uso de cookies pode, contudo, resultar na limitação do acesso do Usuário a certas ferramentas disponíveis no site, dificuldades no login e dispositivos de segurança.

g) A J17 SOCIEDADE DE CRÉDITO DIRETO S/A se reserva o direito de reter informações pelos períodos previstos em lei assim como para o bom cumprimento de seus negócios, bem como para o atendimento de fins legais, regulatórios e/ou normativos, mesmo após a conta estar inativa.

Alterações a essa Política de Cookies

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá alterar esta Política de Cookies a qualquer tempo. Toda vez que alguma condição relevante desta Política de Cookies for alterada, essas alterações serão válidas, eficazes e vinculantes após a nova versão ser divulgada no nosso site ou enviada por e-mail pra você.

Prezamos sempre pela transparência: toda vez que uma alteração relevante for feita, nós enviaremos um comunicado a você indicando a nova versão vigente. Ao continuar a usar nossos produtos e serviços após uma alteração na Política de Cookies, você estará concordando com as novas condições – mas você sempre pode manifestar a sua discordância por meio dos nossos canais de atendimento, se for o caso.

Nas hipóteses em que as alterações a esta Política de Cookies resultarem em mudanças nas práticas de tratamento de dados pessoais que dependam do seu consentimento (conforme a LGPD), solicitaremos o seu consentimento com os novos termos da Política de Privacidade em relação ao tratamento de dados e finalidades indicados.

Fale Conosco

Segundo a Lei nº 13.709/2018, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A é considerado o “Controlador” dos seus dados pessoais. Se após a leitura desta Política de Privacidade você ainda tiver qualquer dúvida, ou por qualquer razão precisar se comunicar conosco para assuntos envolvendo os seus dados pessoais, você pode entrar em contato pelos nossos canais de comunicação. Estamos sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

Para maiores informações sobre esta Política e outras que fazem parte da Política Corporativa de Segurança Cibernética e Ativos da Informação da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, leia a Política de Privacidade e visite as páginas de Ajuda da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Atualizado em 03/2021

TERMO DE ACEITE:

Declaro que recebi uma cópia do documento acima, li o seu conteúdo e concordo integralmente com seus termos.

Londrina, 03 de Janeiro de 2.022

Nome completo do Usuário:

CPF:

Assinatura eletrônica:

CAPÍTULO VIII – PADRÃO DE SEGURANÇA DE DADOS PCI-COMPLIANCE (PCI-DSS)

PCI e a Segurança Cibernética

O PCI Compliance, também conhecido como PCI-DSS, sigla em inglês para “Padrão de Segurança de Dados para a Indústria e Cartões de Pagamento”, é uma certificação usada no mundo inteiro e concedida para empresas que garantem total segurança no uso e armazenagem de dados, protegem a privacidade dos clientes e evitam fraudes eletrônicas. Administrado pelo PCI Security Standards Council, é o padrão de segurança da indústria de cartões e pagamento no mundo.

Como se obtém a conformidade com o PCI Compliance?

Prevenção e Testes de Invasão

Para tais processos de certificação e aprovação, cada empresa que solicita o nível 1, exige-se testes de invasão (penetration tests), análise de vulnerabilidades, auditoria interna e externa sobre todos processos de segurança existentes.

Auditoria e Certificação

Anualmente, as maiores empresas do setor de cartões do mundo, renovam suas certificações e passam por auditorias externas para obter o Nível 1 da Certificação PCI Compliance. Além de questões técnicas, a certificação também exige questões processuais.

Segurança

Estima-se que poucas empresas no Brasil estejam preparadas para receber a auditoria e Certificação PCI Compliance Level 1 (acima de 300.000 transações). Ter um provedor com essa formalidade é a segurança da sua empresa.

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A foi testado!

Como o PCI-DSS é um padrão internacional de segurança de dados da indústria de cartões de pagamentos. Todo ano, empresas de pagamento no mundo precisam renovar as certificações para continuar oferecendo soluções de pagamento.

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A cumpre rigorosamente os padrões dessa certificação e passa por auditorias periódicas a fim de manter a conformidade com a indústria de cartões.

O software de cobrança online da J17 SOCIEDADE DE CRÉDITO DIRETO S/A integra os principais adquirentes e meios de pagamento do mercado. E isso contempla seguir os principais padrões de segurança da internet.

Além da certificação PCI Compliance, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A cuida dos processos internos com grande rigidez quando o assunto é pagamentos e dados de cobrança. Vender através da J17 SOCIEDADE DE CRÉDITO DIRETO S/A é ter a certeza da segurança nas transações e a tranqüilidade nos métodos de pagamento disponíveis no Brasil.

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A foi aprovado!

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A foi testado PCI em 2020. Para isso, passou por muitos e muitos testes. As avaliações são bastante rigorosas e não poderia ser diferente, já que servem para comprovar que a empresa é realmente segura e cumpre estes 12 requisitos:

(1) Instalar e manter um firewall para proteger dados;

(2) Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados;

(3) Proteger dados armazenados;

(4) Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades;

(5) Utilizar regularmente programas antivírus;

(6) Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso;

(7) Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los;

(8) Designar um único ID para cada usuário da rede e sistemas;

(9) Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente;

(10) Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito;

(11) Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades;

(12) Manter uma política que enderece informações de segurança.

IMPORTANTE: Na J17 SOCIEDADE DE CRÉDITO DIRETO S/A, você pode confiar. É claro que é bom ficar esperto ao realizar transações na internet, mas o PCI é mais uma prova de que ser parceiro, cliente ou fornecedor da J17 SOCIEDADE DE CRÉDITO DIRETO S/A é ter garantia de que seus dados estão sendo muito bem protegidos.

CAPÍTULO IX – CONSCIENTIZAÇÃO E TREINAMENTO

Programa de Conscientização, Educação e Treinamento:

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A se compromete a manter um Programa de Conscientização, Educação e Treinamento sobre o conteúdo da presente Política e demais documentos integrantes do MANUAL CORPORATIVO DE COMPLIANCE E CONTROLES INTERNOS e suas devidas atualizações.

A responsabilidade de gestão do Programa é da alta administração da empresa, com funções delegadas ao Comitê Executivo Politcs, Compliance & Ethics.

A condução dos trabalhos relativos ao Programa dentro do Comitê estará a cargo de:

Nome: João Vicente Nicastro Anselmo

Cargo: Diretor Estatutário

E-mail: diretoria1@j17scd.com.br

Telefone (whatsapp): (43) 3378-4200

Divulgação Interna e Pública

Palavras e intenções tornam-se transformadoras quando acompanhadas de atitudes práticas, daí a importância em fazer com que os princípios e diretrizes contidos neste documento sejam discutidos e implementados em todos os níveis da nossa organização.

DIVULGAÇÃO INTERNA: Para tanto, seu conteúdo será amplamente divulgado internamente e sua cópia será disponibilizada na Intranet da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

DIVULGAÇÃO PÚBLICA: O conteúdo desta Política tem divulgação pública e estará disponível para download no website principal da J17 SOCIEDADE DE CRÉDITO DIRETO S/A acessado pelo sitio eletrônico www.fintechmodelo.com.

Documentos complementares a esta Política também estão disponíveis na página do Comitê Executivo Politcs, Compliance & Ethics. Caso a J17 SOCIEDADE DE CRÉDITO DIRETO S/A modifique esta Política, tais alterações serão imediatamente publicadas de forma visível no website.

Conscientização do tema

O desenvolvimento da cultura de Segurança Cibernética de dados e ativos de informação na empresa (“SCDAI”) deve prever sua aderência aos valores básicos e à gestão efetiva da J17 SOCIEDADE DE CRÉDITO DIRETO S/A. A criação e inclusão de uma cultura segurança cibernética pode ser um processo longo e de difícil execução e ainda encontrar um nível de resistência acima do esperado.

Por isso, para uma empresa disseminar a cultura de SCDAI é importante ter como suporte:

(i) liderança da SCDAI pela alta administração da empresa;

(ii) atribuição de responsabilidades;

(iii) conscientização;

(iv) desenvolvimento de habilidades;

(v) plano de testes.

A empresa deve ter mecanismos para conscientizar e avaliar a eficiência da implantação da Política de SCDAI, como a educação e a divulgação permanente de informações, tais como:

(i) processo de consulta a toda a equipe sobre a implantação do programa de SCDAI;

(ii) discussão da SCDAI nos informativos, apresentações, programas ou reportes diários da empresa;

(iii) inclusão da SCDAI nas páginas pertinentes da web ou intranet, de fácil acesso, inclusive remoto;

(iv) SCDAI como um dos temas nas reuniões de equipe;

(v) comunicação a todos os colaboradores sobre a importância de atingir os objetivos da gestão de segurança cibernética e conformidade com a política de SCDAI;

(vi) garantia de que todas as pessoas chave estejam cientes da relevância e importância de suas atividades de segurança cibernética e de que forma contribuem para atingir os objetivos da Política de SCDAI.

Periodicidade dos Treinamentos Específicos

As noções de Compliance, por meio do sistema desenvolvido pelo Comitê Politics, Compliance & Ethics da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, proporciona a todos os colaboradores, sócios, fornecedores e parceiros de negócios treinamentos que visam revisar os conceitos contidos nesta Política e incentivar a adoção das medidas cabíveis de segurança cibernética de dados e ativos de informação em todos os processos pertinentes.

O treinamento inicial é aplicado quando da admissão do associado na J17 SOCIEDADE DE CRÉDITO DIRETO S/A ou quando do início da relação comercial com o parceiro, e anualmente como forma de reciclagem.

TREINAMENTO INICIAL: No momento da contratação de todo colaborador, sócio e parceiro de negócios, seja realizado um treinamento on-line em ferramenta interna. Os acessos às ferramentas de trabalho só serão liberados após a realização desse treinamento.

Esse treinamento tem por objetivo reforçar a importância dos procedimentos de gestão de segurança cibernética de dados e ativos da informação e desenvolver atividades que auxiliem na detecção de operações que caracterizem indícios de risco operacional, reputacional ou jurídico.

TREINAMENTO DE RECICLAGEM: Anualmente, todos os colaboradores são obrigados a realizar novo treinamento, bem como, é obrigação de cada colaborador e parceiros de negócios inteirar-se das atualizações sempre que uma nova versão for encaminhada no seu e-mail corporativo pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Os programas de treinamento deverão ajustar seu conteúdo em função do público-alvo a ser atingido, que deverá incluir desde a alta direção até os colaboradores com missão essencialmente operacional e os fornecedores mais diretamente vinculados ao tema.

Será estabelecido um calendário de treinamento com cada setor, com divulgação prévia de datas e horários, de modo a otimizar o uso da equipe responsável pelo treinamento.

Abrangência dos Treinamentos

A base estrutural desta etapa requer que a empresa treine seus colaboradores em duas frentes:

Primeiro, treine a equipe de SCDAI para tarefas como:

(i) desenvolvimento e implantação de SCDAI;

(ii) avaliação de riscos e ameaças;

(iii) execução de análise de impacto nos negócios;

(iv) execução de programa de testes;

(v) comunicação com a mídia.

Segundo, treine os colaboradores não relacionados diretamente à SCDAI que necessitem de habilidades específicas para desempenhar seu papel, em respostas a incidentes de segurança cibernética de dados e ativos de informação.

É conveniente que habilidades e competências de resposta na empresa sejam desenvolvidas por meio de treinamentos práticos, incluindo participação ativa em testes periódicos, de conformidade com esta Política.

Materiais de Apoio

O material utilizado nos treinamentos aborda, em suma, tópicos que são considerados importantes de acordo com a regulamentação vigente, cobre conceitos e procedimentos inerentes ao tema segurança cibernética de dados e ativos de informação, e destaca as responsabilidades de cada pessoa na gestão de riscos, no limite de suas atribuições.

Anualmente, o Comitê Executivo Politcs, Compliance & Ethics deve revisar os materiais do Programa de Conscientização, Educação e Treinamento.

Princípios do Programa de Treinamento

O Programa de Conscientização, Educação e Treinamento aplicado pela J17 SOCIEDADE DE CRÉDITO DIRETO S/A é realizado seguindo os seguintes princípios:

(i) Aprimorar o conhecimento sobre as exigências e responsabilidades legais regulamentares, através da transmissão de conceitos teóricos e estudos de caso para situações práticas, utilizando ferramentas tais como e-learning e palestras educativas periódicas sobre Compliance e Segurança Cibernética de Dados e Ativos de Informação;

(ii) Capacitar gestores e colaboradores a identificar, prevenir, tratar e comunicar situações de risco relacionadas com o tema;

(iii) Evidenciar que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A executa as melhores práticas conhecidas relacionadas aos processos de Gestão de Segurança Cibernética de A=Dados e Ativos de Informação.

Diretrizes do Programa de Treinamento

1. Tipo: Os treinamentos poderão ser presenciais ou eletrônicos (online).

2. Periodicidade: Imediato, na contratação e anual na reciclagem.

3. Conteúdo: O respectivo treinamento é composto por uma parte conceitual e por outra dedicada à avaliação dos conhecimentos adquiridos.

4. Aplicação: considerando os tipos de negócio desenvolvidos, e a dimensão de suas estruturas, são submetidos ao Programa de Treinamento todos os colaboradores, incluindo a Diretoria Executiva. O treinamento é aplicado quando da admissão do associado na J17 SOCIEDADE DE CRÉDITO DIRETO S/A, ou quando do início da relação comercial com o parceiro, e anualmente como forma de reciclagem.

5. Exceções: As exceções se aplicam aos estagiários e aos profissionais de serviços de manutenção.

6. Avaliação: A área de Compliance aplica avaliações a fim de atestar os conhecimentos adquiridos.

7. Aprovação: Para aprovação, os colaboradores, sócios e parceiros de negócios devem obter, no mínimo, 70% (setenta por cento) de acertos. Caso contrário, será exigido uma nova realização do treinamento.

CAPÍTULO X – DISPOSIÇÕES GERAIS

Procedimentos para a Comunicação de Problemas e Preocupações Relativos a Não conformidades

Se considerar que um colega ou colaborador não esta agindo de acordo com a lei, com as normas de conduta desta Política, do Código de Conduta Ética, com as políticas internas ou qualquer outro documento que compõe o Programa de Compliance do Comitê Executivo Politcs, Compliance & Ethics da empresa, o colaborador deverá tomar as devidas medidas aqui elencadas:

​Tem o dever perante essa pessoa, os nossos colegas, os nossos colaboradores e a J17 SOCIEDADE DE CRÉDITO DIRETO S/A, de PREVENIR, CORRIGIR ou COMUNICAR DE IMEDIATO a situação, executando os seguintes passos, pela ordem abaixo enumerada:

​1. Fazer o possível para resolver o problema por si próprio. Falar com o colega ou com o colaborador envolvido, no sentido de impedir de tomar quaisquer ações que possam violar a lei, este Política ou qualquer outra política.

​2. Contatar o seu reporte direto ou o responsável pela área onde atua. A sua chefia direta é geralmente um bom ponto de partida. Debata o problema com o seu superior ou com o responsável de área. A maioria das questões podem ser resolvida com a sua contribuição.

​3.  Contatar os especialistas. Contatar a área de Recursos Humanos para obter auxilio relativamente a assuntos relacionados com as condições de trabalho. Contatar a área Jurídica, caso o problema implique a observância de quaisquer requisitos legais, regulamentares ou governamentais.

​4. Contatar o responsável pela área de Compliance do Comitê Politics, Compliance & Ethics. Se as medidas acima não resolverem o problema, ou se estiver relutante em utilizar um dos outros recursos, pode contatar o Comitê Executivo de Políticas, Conformidade e Ética (Politcs, Compliance & Ethics) da J17 SOCIEDADE DE CRÉDITO DIRETO S/A. O Comitê procura evitar uma conduta empresarial ilícita ou não ética e a detectá-la caso ocorra. 

​O Compliance Officer (responsável pela fiscalização da observância das regras) da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, pode também responder a questões e reagir a preocupação sobre a observância e aderência as Políticas corporativas internas, as regras de aderência à regulamentação vigente (Compliance), da ética e dos requisitos enumerados no CÓDIGO DE CONDUTA ÉTICA, no MANUAL CORPORATIVO DE COMPLIANCE E CONTROLES INTERNOS e no MANUAL CORPORATIVO DE POLÍTICAS R POCEDIMENTOS INTERNOS.

Canal de Denúncias:

Visando assegurar o recebimento de denúncias de indícios de ilicitude relacionados às atividades da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, está disponível em nosso website o “Canal de Denúncias”, que tem como objetivo receber, apurar e solucionar demandas, sejam estas de funcionários, colaboradores, clientes, usuários, parceiros ou fornecedores, atentando para o descumprimento de dispositivos legais indícios de ilicitude de qualquer natureza e/ou normativos internos aplicáveis à nossa organização.

Para denúncia, utilizar qualquer um dos seguintes canais:

a. Central de Atendimento: 0800 (Disponível no site www.j17scd.com.br);

b. E-mail externo: inspetoria@j17scd.com.br;

c. Endereço de correspondência: A/C Inspetoria Av. Ayrton Senna da Silva, 555 –1º Andar – Bairro Fazenda Gleba Palhano – Londrina/PR – CEP 86.050-460

A fim de otimizar as providências por parte da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, a comunicação de atos, práticas ou tentativas de corrupção bem como qualquer não conformidade a esta Política deve, sempre que possível, vir acompanhada do maior número de informações. Dentre elas destacam-se:

i. correta descrição do fato;

ii. onde e quando aconteceu ou está acontecendo;

iii. quem são as pessoas e organizações envolvidas;

iv. evidências que auxiliem na avaliação do caso e encaminhamento de ações.

Todos os Colaboradores devem comunicar a Diretoria e/ou a área de Compliance ou usar o CANAL DE DENÚNCIAS caso tenham indícios ou conhecimento acerca de qualquer violação ao disposto neste documento e acerca de sistemas que tornem oportuna a prática de atividades ilícitas ou suspeitas. Os reportes serão tratados de forma segura e ética.

As comunicações de violações graves da lei ou aquelas que envolvam os diretores ou responsáveis da empresa são também comunicadas diretamente ao Conselho de Administração da companhia  J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

O Colaborador que deliberadamente deixar de notificar violações ou omitir informações relevantes estará sujeito a medidas disciplinares.

Garantia de Anonimato

Todas as comunicações enviadas pelo e-mail ou reportadas pessoalmente ao Comitê Executivo de Politics, Compliance & Ethics da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, são tratadas de forma confidencial, e todas as alegações são recebidas de forma séria.

​Se comunicar casos de alegada irregularidades relativas a assuntos financeiros, de anti-concorrência, suborno e quando a integridade dos colaboradores estiver em jogo, pode optar por fazê-lo de forma anônima. 

Todos os envolvidos no recebimento, averiguação e decisão destas comunicações dentro da área de Compliance são responsáveis por garantir o sigilo das informações e preservar a identidade de quem as reportou, sendo responsabilizados e penalizados em quebrar o dever de sigilo e confidencialidade.

Represálias

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A  tem uma política de não retaliação em relação aos denunciantes

Qualquer colega que, de boa fé, procure aconselhamento, levante um problema ou comunique uma conduta errada está respeitando o comportamento ético e tendo a atitude correta, pelo que a J17 SOCIEDADE DE CRÉDITO DIRETO S/A não tolerará qualquer retaliação.

Episódios de retaliação serão investigados e tomadas as medidas adequadas. 

PROTEÇÃO A DENUNCIANTES

Administradores e colaboradores não podem praticar atos de Retaliação contra aquele que, de boa-fé:

(i) denunciar ou manifestar queixa, suspeita, dúvida ou preocupação relativas a possíveis violações às diretrizes desta Política; e

(ii) fornecer informações ou assistência nas apurações relativas a tais possíveis violações.

Os responsáveis por represálias contra pessoas que comuniquem uma conduta errada suspeita ou outros riscos para o negócio serão sujeitas a ação disciplinar.

Por outro lado, administradores e colaboradores que utilizarem de má-fé ao comunicarem possíveis violações às diretrizes desta Política ou comunicarem fatos sabidamente falsos sofrerão penalidades de ação disciplinar.

Compliance Report

A área de Compliance deverá elaborar, semestralmente, relatório contendo, no mínimo, o número de reportes recebidos no CANAL DE DENÚNCIAS, as respectivas naturezas, as áreas competentes pelo tratamento da situação, o prazo médio de tratamento da situação e as medidas adotadas. O relatório deverá ser aprovado pela Diretoria e mantido à disposição do Banco Central do Brasil pelo prazo mínimo de cinco anos.

Casos Omissos

Os casos omissos serão tratados nas seguintes instâncias:

i) pelo Comitê Executivo de Políticas, Conformidade e Ética (Politcs, Compliance & Ethics) da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

ii) pela Diretoria Executiva da J17 SOCIEDADE DE CRÉDITO DIRETO S/A;

iii) pelo Conselho Administrativo da J17 SOCIEDADE DE CRÉDITO DIRETO S/A (se instalado);

iv) pela Assembleia Geral de Sócios ou Acionistas da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

Exceções a esta Normativa:

Cabe aos administradores da J17 SOCIEDADE DE CRÉDITO DIRETO S/A zelarem pelo cumprimento das regras aqui dispostas e gerir a conformidade da empresa dentro das diretrizes do Programa de Compliance do Comitê Politcs, Compliance & Ethics da nossa organização.

Para os casos de exceção ao cumprimento das regras previstas neste documento, o solicitante deverá apresentar pedido de exceção à Diretoria com as razões que o fundamentam, sendo que a aprovação do pedido deverá ser feita por, no mínimo, dois diretores cuja Política for aplicável.

Sanções Disciplinares:

O descumprimento dos termos dispostos neste documento pode acarretar sanções como a aplicação de medidas disciplinares previstas em normativos internos da empresa até o eventual desligamento da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, conforme a respectiva gravidade do descumprimento. sem prejuízo de eventual condenação no âmbito judicial ou administrativo pelos órgãos competentes. Tanto a negligência quanto a falha voluntária são consideradas descumprimento desta Política Anticorrupção e dos demais documentos do MANUAL DE COMPLIANCE E CONTROLES INTERNOS.

Todos os incidentes informados de suspeitas de violação desta Política serão investigados imediatamente e de forma apropriada.

Se, depois da investigação, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A determinar que ocorreu uma conduta imprópria ou proibida, serão tomadas medidas corretivas imediatas e os envolvidos estarão sujeitos a medidas disciplinares e/ou penalidades com base na legislação aplicável, incluindo, conforme aplicável:

i) advertência (verbal ou formal);

ii) suspensão;

iii) demissão por justa causa;

iv) destituição (ou recomendação de destituição) de administradores; ou

v) rescisão contratual.

Lembrando que:

i. Sanção disciplinar deve ser aplicada a administradores ou colaboradores que tentarem ou praticarem retaliação contra quem, de boa-fé, comunicar possíveis violações às diretrizes desta Política.

ii. Sanção disciplinar deve ser aplicada a administradores ou colaboradores que, comprovadamente, utilizarem de má-fé ao comunicarem possíveis violações às diretrizes desta Política ou comunicarem fatos sabidamente falsos.

IMPORTANTE. Antes da aplicação de qualquer penalidade pelos órgãos competentes da administração da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, será garantido direito de ampla defesa.

A aderência às regras e o combate à corrupção é um compromisso da J17 SOCIEDADE DE CRÉDITO DIRETO S/A em benefício da sociedade.

ALERTA. Cabe lembrar que, como atuamos no mercado financeiro altamente regulado, para além dos problemas éticos encontrados, o descumprimento, especificamente, do contido expressamente na Política Corporativa de Prevenção e Combate a Lavagem de Dinheiro, ao Financiamento ao Terrorismo e Ocultação de Bens, Direitos e Valores (PCLD/FT/OBDV) é considerado uma falta grave e poderá resultar em severas penalidades civis e criminais para a empresa e para seus colaboradores e parceiros de negócios comprovadamente envolvidos. As multas impostas às pessoas físicas por violações a essa Política não poderão ser atribuídas a J17 SOCIEDADE DE CRÉDITO DIRETO S/A, além das pessoas envolvidas estarem sujeitas à prisão. As penalidades para s pessoas jurídicas são muito substanciais e seus executivos também podem ser presos.

Diante da possibilidade de graves punições, a J17 SOCIEDADE DE CRÉDITO DIRETO S/A se preocupa em estar em conformidade com os Requisitos da Política Corporativa de Prevenção e Combate a Lavagem de Dinheiro, ao Financiamento ao Terrorismo e Ocultação de Bens, Direitos e Valores (PCLD/FT/OBDV) e da Política Corporativa Anticorrupção, através de práticas para a proteção aos seus interesses e da inclusão de disposições contratuais de observância a estas Políticas em contratos com colaboradores terceiros, bem como o controle interno e o monitoramento cuidadoso das atividades da empresa.

Comprometimento da Alta Administração:

Todas as garantias necessárias ao cumprimento das diretrizes aqui contidas estão estabelecidos formalmente com os colaboradores e parceiros de negócios da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, tornando este compromisso essencial para o bom andamento dos negócios. O presente documento deve ser sempre utilizado em combinação, no que couber, com o os demais documentos do MANUAL CORPORATIVO DE COMPLIANCE E CONTROLES INTERNOS, com o CÓDIGO DE CONDUTA ÉTICA e com o MANUAL CORPORATIVO DE POLTICAS E PROCEDIMENTOS INTERNOS, partes integrantes do enxoval documental do Comitê Politcs, Compliance & Ethics da empresa, disponibilizados via e-mail a todos os colaboradores, diretores, sócios, fornecedores e parceiros de negócio da J17 SOCIEDADE DE CRÉDITO DIRETO S/A e demonstram o comprometimento da alta administração com a efetividade e a melhoria contínua da política, dos procedimentos e dos controles internos relacionados com a prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

Divulgação Pública:

O conteúdo desta Política tem divulgação pública e estará disponível para download no website da J17 SOCIEDADE DE CRÉDITO DIRETO S/A acessado pelo sitio eletrônico www.j17scd.com.br. Documentos complementares a esta Política também estão disponíveis na página do Comitê Politcs, Compliance & Ethics. Caso a J17 SOCIEDADE DE CRÉDITO DIRETO S/A modifique esta Política, tais alterações serão imediatamente publicadas de forma visível no website.

Disposições Finais:

A gestão deste documento caberá ao Comitê Politics, Compliance & Ethics da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, que se reunirá regularmente para atualizá-lo, dirimir dúvidas e divulgá-lo sistematicamente, comprometendo-se, por meio de seus membros e poderes concedidos, a estabelecer os termos e desenvolver a redação das políticas, normas e diretrizes contidos em seu enxoval documental.

Alterações nesta Política Corporativa

A J17 SOCIEDADE DE CRÉDITO DIRETO S/A poderá alterar esta Política Corporativa a qualquer tempo. Toda vez que alguma condição relevante desta Política for alterada, essas alterações serão válidas, eficazes e vinculantes após a nova versão ser divulgada em seu website e/ou enviada por e-mail pra os destinatários (pessoas sujeitas a esta Política).

Revisões Periódicas:

Somos todos responsáveis por construir a empresa que queremos. Essa construção é colaborativa, feita diariamente a partir do convívio que todos nós, shareholders e stakeholders com todos os demais com quem nos relacionamos. O presente documento, integrante das diretrizes de Políticas, Conformidade e Ética do Comitê Politics, Compliance & Ethics da nossa organização, é uma evolução natural e necessária deste trabalho de construção paulatina da J17 SOCIEDADE DE CRÉDITO DIRETO S/A.

O MANUAL CORPORATIVO DE COMPLIANCE E CONTROLES INTERNOS foi criado para ser um ponto de partida claro e bem definido para todos os colaboradores da J17 SOCIEDADE DE CRÉDITO DIRETO S/A, a partir do qual poderão, ajudar na construção diária da empresa enquanto instituição socialmente responsável.

É um documento de princípios e, portanto, não busca abranger de forma detalhada todos os atos no dia a dia de um colaborador mas sim funcionar como uma bússola indicando a direção a seguir.

Em respeito a esta dinâmica, ele pode e deve ser periodicamente revisado e revalidado, o que deve acontecer sempre em no máximo de 2 em 2 (dois) anos.

A primeira versão deste documento foi elaborada, debatida e aprovada pela administração da J17 SOCIEDADE DE CRÉDITO DIRETO S/A em 11 de março de 2021 e uma nova versão deverá ser revista, debatida e aprovada até no máximo em 11 de março de 2023.

Histórico das Revisões:

Não Aplicável.

TERMO DE ACEITE:

Declaro que recebi uma cópia do documento acima, li o seu conteúdo, concordo integralmente com seus termos e me comprometo a seguir suas diretrizes.

Londrina, 03 de Janeiro de 2.022

Nome completo do Colaborador:

CPF:

Assinatura: