Termos, Políticas e Ouvidoria

A. APRESENTAÇÃO E OBJETIVO

Nós do INICIADOR (“INICIADOR”, “Nós” ou “Plataforma”) somos uma empresa de tecnologia relacionada a soluções de pagamento por meios eletrônicos que desenvolveu uma plataforma (“Plataforma”) destinada a viabilizar a prestação de serviços de iniciação de transação de pagamento, compartilhamento de dados via Open Finance e outros serviços relevantes (“Serviços”) para nossos usuários (“Usuários”, “Você”), empresas contratantes, parceiros e/ou terceiros que prestam ou utilizam nossos serviços (“Terceiros”). Utilizamos o site “https://iniciador.com.br” (“site do INICIADOR”), para a disponibilização de conteúdo informativo, divulgação dos nossos serviços, coleta de e-mails para nossa newsletter e prospecção de novos clientes. Além disso, utilizamos o site “https://portal.iniciador.com.br” (“site de gestão”), como ambiente de gestão de consentimentos de dados e de pagamentos do Open Finance e para oferecer os serviços relacionados a Plataforma. Os Termos de Uso e Política De Privacidade (“Termos”) abaixo têm como objetivo fornecer todas as informações necessárias sobre o uso dos nossos serviços para os usuários e terceiros, assim como sobre a coleta, utilização, armazenamento, compartilhamento e outros tipos de tratamento dos seus dados pessoais em relação a utilização dos nossos serviços, além de mostrar as nossas práticas de proteção de dados, tudo de forma regulamentada e de acordo com as melhores práticas da Lei Geral de Proteção de Dados Pessoais (LGPD), da Resolução Conjunta nº 1 de 4 de maio de 2020, a Resolução BCB nº 1, de 12 de agosto de 2020 de toda a legislação considerada pertinente. Nós do INICIADOR levamos a privacidade a sério e utilizaremos os dados coletados somente para as finalidades mencionadas na nossa Política de Privacidade. 7 Ao utilizar nossos serviços você declara o seu consentimento expresso, ou seja, você concorda de forma explícita, que nós podemos coletar, tratar e armazenar os seus dados de acordo com os termos e condições descritos abaixo. Ainda assim, conforme disposto na nossa Política de Privacidade e de acordo com o disposto na LGPD, obteremos o seu consentimento de maneira específica quando ele se fizer necessário para a prestação de serviços, como ocorre em nossos produtos de autenticação e verificação de identidade. Atenção: O INICIADOR se reserva o direito de não utilizar ou tolerar o descumprimento de parte(s) dos presentes Termos de Uso, mas sua tolerância no atraso ou falta de cumprimento total ou parcial de quaisquer obrigações deverá ser interpretado como mera liberalidade e não constituirá novação ou renúncia a tais direitos e obrigações ou será considerado precedente ou autorização tácita.

B. TERMOS E CONDIÇÕES PARA USO DOS SERVIÇOS

Os Termos abaixo descrevem os direitos e responsabilidades aplicáveis ao compartilhamento de dados de qualquer pessoa física ou jurídica (“Usuário”) que deseja iniciar um pagamento através da plataforma ou utilizar um dos nossos serviços. Ao utilizar os serviços do INICIADOR, o Usuário está ciente e concorda com estes Termos. Atenção: CASO NÃO CONCORDE COM OS TERMOS AQUI DISPOSTOS, O USUÁRIO NÃO DEVERÁ UTILIZAR OS SERVIÇOS DO INICIADOR.

1. Sobre o Open Finance e os serviços do .1. Open Finance, ou Sistema Financeiro Aberto, é um sistema que permite de forma segura, ágil e conveniente, o compartilhamento de informações de clientes, tais como dados cadastrais, históricos e dados relacionados a produtos e serviços entre diferentes instituições. Tal compartilhamento de dados é realizado mediante a utilização de interfaces dedicadas a essa finalidade. O Open Finance visa incentivar a inovação e o surgimento de novos modelos de negócio, novos produtos e serviços pelas instituições participantes, de forma a conferir aos seus clientes mais segurança, agilidade e conveniência, favorecendo a inclusão e a educação financeira da população. Somente as instituições financeiras, as instituições de pagamento e as demais instituições autorizadas a funcionar pelo Banco Central do Brasil participam do Open Finance, sendo que, dentre elas, há participantes obrigatórios e voluntários, a depender do dado ou serviço que será compartilhado. 8 O Open Finance prevê a implementação gradual e em fases, das interfaces para o compartilhamento dos seguintes dados e serviços. São quatro fases, dispostas a seguir: ● Fase 1- Dados sobre a instituição participante: Canais de atendimento; Produtos e serviços relacionados a contas de depósitos, contas de pagamento pré-pagas, cartão de crédito e operações de crédito de varejo disponíveis para contratação; ● Fase 2 - Dados sobre o cliente: Cadastrais (do cliente e seus representantes); Transacionais dos produtos e serviços da Fase 1; ● Fase 3 - Serviços: Iniciação de transação de pagamento (débito em conta, transferências entre contas na própria instituição, DOC, TED, PIX e pagamento de boletos); Encaminhamento de proposta de operação de crédito; e ● Fase 4 - Outros dados: Produtos e serviços relacionados a operações de câmbio, credenciamento em arranjos de pagamento, investimento, seguros e previdência complementar aberta; Transacionais de clientes relacionados a conta-salário, operações de câmbio, credenciamento em arranjos de pagamento, investimento, seguros e previdência complementar aberta.

1.2. Todo e qualquer compartilhamento de informações de clientes ou de serviços dentro do ambiente do Open Finance somente ocorrerá mediante prévio consentimento do Usuário titular do dado a ser compartilhado.

1.3. O consentimento deve ser uma manifestação livre, informada, prévia e inequívoca de vontade do Usuário, dado por meio eletrônico, sendo que o Usuário deverá concordar com o compartilhamento de dados ou de serviços para finalidades determinadas e pelos prazos que ele definir.

1.4. Conforme a necessidade, para a efetiva prestação dos serviços oferecidos, o INICIADOR coleta o consentimento do usuário por meio de sua interface White Label ou por meio da interface do cliente via API do INICIADOR e mantém o registro desse consentimento obtido de acordo com a legislação pertinente e o disposto em sua Política de Privacidade e jornada de usuário abaixo.

1.4.1. Para os fins deste termos, o usuário entende que White Label significa que o produto foi desenvolvido pelo INICIADOR, mas durante a execução dos serviços poderá aparecer com a marca e o nome da empresa contratante ou de seus clientes, mas a instituição participante do Open Finance e do Arranjo Pix sempre será identificada.

1.4.2. Para os fins deste termos, o usuário entende que API (Application Programming Interface) é o método que permite a integração com outros sistemas e aplicativos. Através da API, diferentes softwares do INICIADOR podem se 9 comunicar e trocar informações de forma segura e organizada com as empresas contratantes e terceiros, que podem personalizá-lo para atender às suas necessidades específicas e oferecendo uma solução mais completa e integrada aos usuários.

1.4.3. O INICIADOR não disponibiliza dados a instituições autorizadas pelo Banco Central do Brasil e não permite que Terceiros repassem esses dados para elas fora dos casos autorizados pela regulação do Open Finance, em atendimento ao princípio da reciprocidade estabelecido pelo Banco Central do Brasil.

1.4.3.1. Para os fins da cláusula acima, instituições autorizadas são instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil

2. Jornada do Usuário nos Serviços para realização da Iniciação de Transação de Pagamento e Outras questões importantes

2.1. Iniciação de Pagamento - Em relação a atuação do INICIADOR como instituição Iniciadora de Pagamento, o usuário deve estar ciente de que, com seu consentimento, o INICIADOR poderá realizar transferências e pagamentos através de contas mantidas em outras instituições.

2.2. Para autorizar a iniciação de pagamento ou prestação de outros serviços (como a verificação e autenticação) através do INICIADOR, o usuário deverá, em primeiro lugar, escolher a instituição onde mantém relacionamento e/ou de onde as informações serão recebidas e/ou o valor será debitado.

2.3. Posteriormente

o usuário confirma o valor da transação e a realização da operação. Após efetuado o fluxo de autorização junto à Instituição Detentora da Conta previamente escolhida pelo Usuário, a transação será efetivada.

2.4. O usuário entende e concorda que em nenhum momento o INICIADOR terá acesso à sua conta ou irá receber, administrar ou transferir os recursos mantidos nela sem seu consentimento e sabe que para poder utilizar os serviços do INICIADOR deverá fornecer seus dados de CPF ou CNPJ, sendo o único responsável pela veracidade das informações prestadas sob pena de responsabilização civil e criminal perante todos os prejudicados.

2.5. Para poder utilizar os serviços, o usuário precisa ser o titular de uma conta em uma instituição participante do Open Finance

2.6. Se o usuário for uma pessoa jurídica, apenas os seus representantes legais, sócios, administradores e prepostos com poderes para celebrar negócios jurídicos em nome da empresa poderão utilizar os serviços. Nesse caso, a pessoa jurídica é inteiramente responsável por todas as ações e transações realizadas na plataforma. 10

2.7. O usuário pode iniciar uma transação de pagamento, e o INICIADOR irá avaliar essa solicitação, coletar as informações necessárias e encaminhá-las para a instituição detentora de conta escolhida pelo usuário para efetuar o pagamento.

2.8. O INICIADOR poderá disponibilizar diferentes modalidades de pagamento para as transações, que serão informadas na plataforma no momento da compra e para que a transação de pagamento seja concluída, o usuário precisa ter recursos suficientes em sua conta na instituição escolhida.

2.9. A transação de pagamento só será efetivada com o consentimento expresso do usuário, que deverá indicar conforme disposto pelo Cliente do INICIADOR: (i) seu CPF ou CNPJ; (ii) o valor da transação; (iii) a forma de pagamento; (iv) a instituição na qual possui conta; (v) as informações do recebedor; (vi) a data de pagamento; (vii) o período em que ocorrerão os pagamentos futuros (para transações parceladas ou recorrentes) e os limites que podem ser estabelecidos em Pix Inteligente, JSR e Pix Automático.

2.10. Após o consentimento expresso do usuário, o INICIADOR irá compartilhar as informações da transação com a respectiva instituição, que irá autenticar o usuário e processar a transação.

2.11. Na jornada de iniciação de pagamento a autenticação do usuário será realizada pela instituição detentora de conta e dependerá da confirmação, pelo próprio usuário: (i) de seus dados pessoais e da conta; (ii) da autenticação de sua identidade por meio de senha, chave de segurança e/ou token (de acordo com os requisitos de segurança utilizados por cada instituição) e, na JSR, os limites transacionais.

2.12. É responsabilidade da instituição detentora de conta, como participante do Open Finance, processar a transação de pagamento, desde que confirmada a existência de recursos suficientes na conta do usuário, que será informado pela plataforma sobre a aprovação ou recusa da transação de pagamento pela instituição.

2.13. No caso de transações parceladas ou recorrentes, a autorização do usuário será solicitada apenas uma vez, ele pode revogá-lo a qualquer momento, solicitando através da plataforma do INICIADOR (https://portal.iniciador.com.br/), que atenderá a solicitação dentro do prazo estabelecido pelas normas aplicáveis.

2.14. O INICIADOR é responsável apenas por fornecer a tecnologia necessária para a Iniciação de Transação de Pagamento (ITP) e envio das transações de acordo com as regras e condições estabelecidas junto ao usuário, de acordo com a regulação vigente.

2.15. O INICIADOR não é responsável pelos procedimentos de autenticação realizados pelas instituições, que podem recusar a iniciação de transações de pagamento de acordo com suas próprias políticas. O INICIADOR também não é responsável pela liquidação de transações de pagamento, uso indevido de dados 11 compartilhados com os Recebedores ou coleta de informações cadastrais complementares e de documentos do usuário pelos Recebedores.

2.17. O INICIADOR ou as Instituições Detentores de Conta podem impor limites aos serviços, incluindo limites de valor das transações de pagamento

2.18. O INICIADOR poderá deixar de prestar os serviços se houver suspeita de fraude, ato ilícito ou qualquer irregularidade ou se as ordens do usuário forem processadas de forma incorreta pela plataforma e não for constatado o aceite ao Termo de Consentimento.

2.19. O INICIADOR não pode ser responsabilizado por falhas, erros, interrupções, mau funcionamento, atrasos ou lentidão que possam surgir nos serviços prestados, já que sua atuação na provisão de serviços de tecnologia e comunicação com instituições financeira é intrinsecamente dependente de atividades de responsabilidade de terceiros.

2.20. O INICIADOR também não pode ser responsabilizado em caso de inoperância, falhas ou lentidão decorrente do uso de seus sistemas em razão de manutenções programadas ou decorrente de situações emergenciais.

2.21. O INICIADOR não assume qualquer responsabilidade pelos negócios realizados pelo usuário com Recebedores ou com as Instituições com quem possui conta. Os serviços prestados têm por finalidade a Iniciação de Transação de Pagamento, sem qualquer relação com os negócios praticados pelo usuário.

2.22. O INICIADOR não pode ser responsabilizado por quaisquer reclamações decorrentes dos produtos e/ou serviços eventualmente comercializados pelos Recebedores ou pelos serviços prestados pelas Instituições. O usuário deve contatar diretamente o respectivo Recebedor ou Instituição para resolver qualquer litígio.

2.23. Resolução de Disputa: O usuário deve estar ciente e concordar com o fato de que, em determinadas circunstâncias, é possível que ocorra uma Resolução de Disputa após a realização da transação.

2.24. A Resolução de Disputa é um procedimento que permite às Instituições participantes resolverem eventuais problemas decorrentes da iniciação de pagamento via Open Finance, onde o usuário não tem participação e cujos termos exatos serão definidos de acordo com as instituições envolvidas, entretanto, é necessário mencionar que o compartilhamento de dados entre os participantes se faz necessário para a solução de eventuais problemas no âmbito do Open Finance, de modo que, desde já, o usuário fornece seu consentimento expresso para a efetivação desse serviço.

2.25. Caso ocorram casos omissos, divergências, conflitos ou controvérsias entre o usuário, instituições, recebedores e terceiros em relação à execução deste 12 Termo e outras normas relacionadas, a solução será preferencialmente buscada por meio de procedimentos de Resolução de Disputas definidos pelo BCB.

2.26. Mesmo que o usuário não participe da Resolução de Disputas, o compartilhamento de dados entre os participantes pode ser necessário para resolver eventuais problemas no âmbito do Open Finance em situações específicas, sempre seguindo as Normas Aplicáveis.

2.27. O Usuário deve estar ciente que, com seu consentimento, o INICIADOR poderá realizar a autenticação e verificação de sua identidade, assim como outros usos mencionados nas seções relevantes da Política de Privacidade, de acordo com dados e informações de contas mantidas no INICIADOR e em outras instituições. Atenção: Devido à natureza Plug-and-Play & White Label do INICIADOR, durante a jornada do usuário ele poderá ser direcionado para o INICIADOR por um terceiro e vice-versa.

2.28. O INICIADOR somente realizará o tratamento de dados do usuário de acordo com os Termos de Uso e Política de Privacidade aqui mencionados e obterá seu consentimento conforme seja necessário para a prestação dos serviços oferecida, mas o usuário entende que esses terceiros são responsáveis por obter o seu consentimento relacionado ao tratamento de dados realizados por eles e que o INICIADOR, como entidade independente, não possui qualquer tipo de controle ou direcionamento e não pode ser responsabilizado quanto ao tratamento realizado por eles no âmbito de suas operações ou a segurança desses dados no ambiente dessas instituições, especialmente considerando o fato de que eles estarão sujeitos às políticas de privacidade, segurança e outras políticas relevante desses terceiros.

2.29. O INICIADOR oferece opções de transferências programadas e automatizadas, incluindo Pix Agendado, Pix Recorrente, Pix Automático e Transferências Inteligentes. Esses serviços permitem ao usuário programar e automatizar suas transações, de acordo com critérios previamente definidos. A revogação do consentimento pode ser feita a qualquer momento por meio da nossa plataforma, conforme descrito na seção de revogação de consentimento.

2.30. O INICIADOR não participa diretamente de conflitos relacionados a produtos ou serviços adquiridos pelo usuário junto a terceiros, limitando-se a oferecer suporte técnico e operacional para esclarecimentos.

2.31. Para disputas judiciais, fica eleito o Foro da Comarca de São Paulo-SP, exceto quando o usuário for considerado consumidor, conforme definido no Código de Defesa do Consumidor

2.32. O INICIADOR disponibiliza ao usuário um Portal de Gestão, na qual é possível visualizar, controlar e revogar consentimentos e autorizações previamente concedidas para transações financeiras. O usuário poderá acessar essa 13 funcionalidade diretamente pelo portal (https://portal.iniciador.com.br), onde encontrará todas as autorizações ativas e poderá gerenciá-las conforme desejado.

2.35. No caso de encerramento da prestação de Serviços, os usuários têm ciência de que a responsabilidade de comunicações relativas ao cancelamento ou eventuais alterações dos serviços supramencionados, incluindo Pix Agendado, Pix Recorrente, Pix Automático, Transferências Inteligentes e demais tipos de transações, é única e exclusiva da(s) empresa(s) contratante(s), com as quais os usuários possuem relacionamento, e que esta responsabilidade está estabelecido na relação contratual entre as partes, dado que o INICIADOR não tem interface direta com o usuário utilizador dos serviços, de modo que o INICIADOR está isento de qualquer responsabilidade em qualquer esfera perante os usuários que não sejam devidamente comunicados pela(s) empresa(s) contratante(s).

3. Revogação

do Consentimento

3.1. Fica assegurado ao usuário a possibilidade de, a qualquer momento, revogar o consentimento dado para iniciação de pagamento (aplicado a pagamentos agendados ou recorrentes), compartilhamento de dados ou outro serviço, ao menos pelo mesmo canal de atendimento no qual o consentimento foi concedido (portal de gestão: https://portal.iniciador.com.br) e pela interface da instituição Transmissora.

3.2. A revogação do consentimento deverá ser efetuada de forma imediata pelas instituições, sendo informada imediatamente às demais instituições envolvidas na iniciação de pagamento e prestadora de outros serviços.

3.3. A partir da revogação do consentimento, o INICIADOR não terá mais a possibilidade de iniciar uma transação que o usuário tenha consentido (aplicado a pagamentos agendados ou recorrentes) ou utilizar os dados para prestação de outros serviços que não tenham sido consentidos.

3.3.1. De acordo com o disposto na LGPD e na legislação pertinente, obrigações legais ou regulatórias e serviços que dispensem a necessidade de consentimento do usuário continuarão sendo prestados pelo INICIADOR e terceiros mesmo após a revogação do consentimento.

4. Modificações

dos Termos e Condições

4.1. O INICIADOR poderá modificar a qualquer momento, sem aviso prévio, os presentes Termos, o que será feito por meio da publicação de uma versão atualizada destes, explicitando a data da última modificação.

4.2. A versão atualizada dos Termos passará a vigorar de acordo com os prazos previstos na legislação em vigor. Caso o usuário não aceite as modificações inseridas, ele deverá se abster de utilizar os serviços do INICIADOR e considerar rescindido o vínculo contratual, cancelando o seu cadastro. Após este prazo, caso o 14 Usuário continue utilizando os serviços prestados pelo INICIADOR, será considerado que o usuário concordou com os novos Termos e o presente documento continuará vinculando ambas as Partes. Os Termos modificados serão aplicáveis a todo consentimento que se efetue posteriormente à comunicação ao usuário.

5. Tratamento

de Dados Pessoais

5.1. O INICIADOR realiza o tratamento de dados do Usuário de acordo com as cláusulas e condições dispostas na sua Política de Privacidade, acessível por meio do link www.iniciador.com.br/ouvidoria-e-politicas, e outras políticas relevantes, com as quais o usuário consente e que passam a fazer parte integrante dos presentes Termos. Tais políticas poderão ser alteradas a qualquer tempo, a fim de adequação às regras de negócio ou, ainda, às novas leis ou normas supervenientes.

5.2. O usuário, desde já autoriza o INICIADOR a coletar, tratar e compartilhar os seus dados pessoais, cadastrais e transacionais com as empresas, pertencentes ou não ao seu grupo econômico, conforme seja necessário, para garantir o alcance das finalidades indicadas em seu consentimento dado no âmbito do Open Finance.

5.3. O usuário deve fornecer consentimento específico e com finalidade determinada para que o INICIADOR compartilhe seus dados pessoais, cadastrais e transacionais com as empresas que tenham interesse para a prestação dos serviços oferecidos.

5.4. O Usuário poderá visualizar todos consentimentos no INICIADOR para conceder ou revogar acesso para a transferência de informações e prestação dos serviços oferecidos

5.4.1. O usuário tem ciência de que o INICIADOR só poderá revogar o acesso e interromper o compartilhamento dos dados presentes em sua plataforma, de modo que a revogação do consentimento dado e interrupção do tratamento de dados por terceiros deve ser revogado nessas próprias empresas.

5.5. O usuário é o único responsável pelo preenchimento correto dos dados fornecidos para o INICIADOR

5.6. As Políticas de Privacidade e correlatas do INICIADOR também preveem as hipóteses em que os dados poderão ser tratados e/ou compartilhados com terceiros, tais como parceiros comerciais e prestadores de serviços por meio do tratamento de dados diretos ou indiretos.

5.6.1. Dados Diretos: Esses dados são fornecidos diretamente pelo usuário para o INICIADOR e armazenados em nossa plataforma para a prestação dos nossos serviços. Os dados podem incluir dados cadastrais, fiscais ou similares e serão utilizados para compartilhamento com terceiros apenas de acordo com as suas instruções. 15

5.6.2. Dados Indiretos: Os dados fornecidos indiretamente pelo usuário para ou a partir do INICIADOR, como os dados cadastrais, fiscais ou similares obtidos por meio dessas interações, serão considerados dados indiretos. Da mesma forma, somente serão utilizados com a permissão expressa do usuário para a instituição relevante.

5.6.2.1. O usuário reconhece que o INICIADOR é uma instituição independente que não possui influência na coleta do consentimento e revogação do consentimento previamente obtido pelo(s) terceiro(s) em relação ao compartilhamento de dados indiretos, de modo que isenta o INICIADOR de toda e qualquer responsabilidade relacionada a isso, com destaque especial para a obtenção e revogação do consentimento perante essas instituições.

5.7. A responsabilidade do INICIADOR mediante terceiros se limita a armazenar e disponibilizar os dados de acordo com os limites do consentimento fornecido pelo usuário e pelos limites operacionais da regulação atualmente vigente, sendo excetuados os compartilhamentos e tratamentos de dados necessários para o cumprimento de obrigações regulatórias e prestação de serviços que dispensem a obtenção do consentimento.

5.8. O usuário reconhece que, nos casos em que ele solicita, autoriza e consente com o compartilhamento e tratamento de seus dados com um ou mais terceiros, toda e qualquer interpretação e decisão tomada com base nesses dados é feita de forma única e exclusiva pelo terceiro, ficando o INICIADOR isento de qualquer responsabilidade por essas interpretações e decisões.

5.9. O usuário reconhece e expressamente concorda que o INICIADOR não responde por quaisquer problemas técnicos ou operacionais que impliquem a impossibilidade de acesso aos seus dados por e para terceiros.

5.10. O usuário reconhece e expressamente concorda que o INICIADOR não é responsável quando a tentativa de acesso à conta bancária informada por ele implicar em eventual bloqueio dessa conta, considerando que isso é responsabilidade única e exclusiva do terceiro informado por ele.

5.11. O usuário reconhece e expressamente concorda que o INICIADOR não pode ser responsabilizado pela veracidade dos dados coletados por terceiros e que o INICIADOR não será classificado como terceiro não autorizado ou terá qualquer um dos seus serviços prestados classificado como violação de sigilo bancário.

5.12. Ao concordar com nossos Termos de Uso, você expressamente autoriza que o INICIADOR acesse e trate os dados gerados por operações e transações protegidas pela Lei do Sigilo das Operações Bancárias (Lei Complementar nº 105/2001), assim como os dados gerados em suas contas bancárias conectadas ao INICIADOR para cumprimento do escopo dos serviços contratados, nos termos do art. 1º, § 3º, inciso V, da LC nº 105/2001. 16

5.13. Como requisito essencial para a segurança das transações via Pix por Biometria e Aproximação - Jornada Sem Redirecionamento (JSR), o INICIADOR poderá coletar e processar os dados da assinatura realizada pelo FIDO2.

5.14. O INICIADOR também poderá coletar metadados e dados de autenticação avançada, incluindo FIDO2, assinaturas de dispositivo e sinais de risco detalhados para realizar a autenticação do usuário e proteger o ambiente digital contra fraudes e acessos não autorizados. Esses dados serão tratados em conformidade com a LGPD e o consentimento específico do usuário.

5.15.1. O INICIADOR obtém consentimento específico para cada finalidade de tratamento de dados, incluindo i) o processamento de transações financeiras, ii) a análise de dados para melhoria de serviços e iii) o compartilhamento de dados com instituições parceiras, limitado à finalidade autorizada pelo usuário.

5.16. O consentimento pode ser revogado a qualquer momento por meio do portal do INICIADOR, com efeito imediato para operações futuras

5.17. Dados anonimizados poderão ser utilizados para fins estatísticos e para melhoria das soluções oferecidas

6. Ações

Proibidas, Obrigações e Recomendações aos Usuários

6.1. É vedado ao usuário, entre outros atos: a) Violar qualquer legislação ou regulamentação, local ou internacional, que seja integrada ao ordenamento jurídico brasileiro, ou ainda, que, por qualquer razão legal, deva ser aplicado no Brasil; b) Praticar atos contrários à moral e aos bons costumes; c) Assumir a personalidade ou identidade de outra pessoa, física ou jurídica; d) Carregar, transmitir, divulgar, exibir, enviar, ou de qualquer outra forma tornar disponível qualquer conteúdo que seja ilegal, incluindo, mas sem se limitar a, conteúdo que seja ofensivo à honra e à privacidade de terceiros, pornográfico, obsceno, difamatório ou calunioso, vulgar, preconceituoso, racista, discriminatório, que faça apologia ao crime ou de qualquer forma censurável, ou que possa gerar qualquer responsabilidade civil ou criminal de acordo com a Lei; e) Carregar, transmitir, divulgar, exibir, enviar, ou de qualquer forma tornar disponível qualquer conteúdo que viole quaisquer direitos de terceiro, incluindo direitos de Propriedade Intelectual; f) Carregar, transmitir, divulgar, exibir, enviar, ou de qualquer forma tornar disponível qualquer tipo de anúncio, propaganda ou material promocional não solicitado ou não autorizado pelo INICIADOR, tais como mensagens não solicitadas ou mensagens enviadas em massa (conhecidos como “junk mail” ou “spam”); 17 g) Carregar, transmitir, divulgar, exibir, enviar, ou de qualquer forma tornar disponível qualquer conteúdo que contenha vírus ou qualquer outro código, arquivo ou programa de computador com o propósito de interromper, destruir ou limitar a funcionalidade de qualquer software, hardware ou equipamento; h) Ameaçar, coagir ou constranger demais usuários; i) Violar direitos de sigilo e privacidade de terceiros; e j) Praticar quaisquer atos que direta ou indiretamente, no todo ou em parte, possam causar prejuízo ao INICIADOR, a outros usuários ou a qualquer terceiro. 6.2 São obrigações dos usuários: a) Para realizar a iniciação de transação de pagamento, o usuário poderá ser cobrado por taxas ou tarifas, de acordo com os valores estabelecidos pela plataforma e pelas instituições em que ele tem conta; b) Ao realizar a iniciação de transação de pagamento, o usuário deve seguir as normas aplicáveis, incluindo aquelas relacionadas à prevenção à lavagem de dinheiro, financiamento ao terrorismo e combate à corrupção; c) Não é permitido utilizar os serviços para negócios considerados ilícitos de acordo com as normas aplicáveis, com intenção de praticar fraudes, ou que venham a causar prejuízos ao INICIADOR, recebedores, instituições ou terceiros. Se houver suspeita de fraude, o INICIADOR poderá deixar de prestar os serviços; d) Para usar os serviços, o usuário precisa ter equipamentos (smartphone, tablet ou outros dispositivos similares) com acesso à internet e em condições compatíveis para seu uso; e) É responsabilidade exclusiva do usuário obter, manter e custear tal acesso e os equipamentos necessários (incluindo tributos, tarifas ou encargos cobrados pelos fornecedores de serviços). O INICIADOR não é responsável por não conseguir prestar os serviços devido à incompatibilidade dos equipamentos ou à ausência ou falha no acesso à internet; e f) O usuário deve isentar o INICIADOR de qualquer reclamação ou litígio decorrente dos serviços, incluindo suas próprias atividades, questões relacionadas aos negócios jurídicos na plataforma e o relacionamento com as instituições em que possui conta. 6.2 Para garantir a segurança dos serviços oferecidos pelo INICIADOR, recomendamos que você siga as precauções básicas de segurança cibernética listadas abaixo: a) Proteja suas credenciais de login: Nunca compartilhe suas informações de login com terceiros. Utilize senhas fortes e não reutilize senhas antigas. Ative a autenticação de dois fatores sempre que possível; b) Verifique regularmente suas transações: Monitore as transações em sua conta regularmente e informe ao INICIADOR e a sua Instituição imediatamente se encontrar qualquer atividade suspeita ou não autorizada; 18 c) Mantenha seus dispositivos atualizados: Instale as atualizações de segurança e os patches do sistema operacional em seus dispositivos, como computadores, smartphones e tablets, para garantir que estejam protegidos contra vulnerabilidades conhecidas; d) Utilize software antivírus: Instale e mantenha atualizado o software antivírus em seus dispositivos, para ajudar a prevenir e detectar ameaças de segurança cibernética; e) Verifique a autenticidade dos sites: Sempre verifique se o site que você está acessando é autêntico antes de inserir informações confidenciais. Verifique se a URL começa com "https" e se há um cadeado fechado na barra de endereços do navegador. 6.3.1 Ao seguir estas precauções básicas de segurança cibernética, você pode ajudar a proteger seus dados pessoais e financeiros ao usar os serviços oferecidos pelo INICIADOR. Ao concordar com estes termos, você reconhece que leu e compreendeu as precauções de segurança cibernética acima listadas e concorda em seguir as diretrizes descritas nesta cláusula para garantir a segurança dos serviços oferecidos pelo INICIADOR.

6.4. O usuário não poderá utilizar da Plataforma do INICIADOR para fins ilícitos, incluindo a captação ilegal de dados, informações ou qualquer outro tipo de atividade que venha a ser considerada como tentativa de burlar o sistema, as informações e o conteúdo da Plataforma assim como infringir qualquer normal legal ou regulatória, inclusive mas não limitando à Lei 9.613/98, Lei 13.260/2016, sob pena de ser responsabilizado civil e criminalmente.

6.5. O INICIADOR se reserva o direito de suspender, bloquear e/ou excluir imediatamente o acesso do usuário à Plataforma sem aviso prévio caso detecte a violação de qualquer uma das obrigações previstas nesta cláusula.

6.6. O INICIADOR não será responsabilizado por danos decorrentes de negligência do usuário na proteção de suas credenciais ou dispositivos de acesso

6.7. Em caso de suspeita de fraude ou uso indevido, o usuário deverá notificar imediatamente o INICIADOR pelo e-mail: juridico@iniciador.com.br

7. Disposições

Gerais

7.1. Canais de Atendimento: O usuário poderá entrar em contato com o INICIADOR pelo e-mail: contato@iniciador.com.br

7.2. O usuário reconhece e concorda que o INICIADOR poderá comunicar-se com ele através de e-mail, telefone, SMS e/ou mensagens por pop-up/push sempre que o usuário estiver conectado à internet para auxiliá-lo em processo de cadastramento, para lembrá-lo de finalizar o cadastramento ou para quaisquer outras informações relacionadas a prestação dos serviços. 19

7.3. Jurisdição e lei aplicável: Todos os itens destes Termos são regidos pelas leis vigentes na República Federativa do Brasil. Para todos os assuntos referentes à interpretação, ao cumprimento ou qualquer outro questionamento relacionado a estes Termos, as Partes concordam em se submeter ao Foro da Comarca de São Paulo-SP, com exceção de reclamações apresentadas por usuários que se enquadrem no conceito legal de consumidores, que poderão submeter tais reclamações ao foro de seu domicílio.

7.8. Endereço para envio de correspondências: Todas as requisições, correspondências, notificações ou pedidos de informação deverão ser enviadas para o endereço do INICIADOR

7.8.1. Alterações nestes Termos serão comunicadas ao usuário com no mínimo 30 (trinta) dias de antecedência, por meio do portal ou e-mail cadastrado

7.8.2. Caso o usuário não concorde com as mudanças, poderá cancelar seu cadastro e interromper o uso dos serviços, observando eventuais obrigações pendentes

7.8.3. O uso contínuo da plataforma após o prazo informado implicará na aceitação integral dos novos Termos

C. POLÍTICA DE PRIVACIDADE

1. Quais as principais informações que coletamos e com qual finalidade? Durante o uso de nosso site e para a prestação de serviços para clientes, coletamos os seguintes dados: Prestação de Serviços. Para o fim da prestação dos serviços que oferecemos, coletamos os dados fornecidos por você, com destaque para o nome e sobrenome, endereço para correspondência, endereço de e-mail, informações de pagamento e outras informações de contato online ou número de telefone. Comunicação. Nós registramos e gravamos todos os dados fornecidos por você em comunicação com nossa equipe através de e-mail, mensagens de WhatsApp e outras formas de comunicação para fins de registro e boa prestação dos serviços contratados. Informações sobre pagamentos. Ao submeter seus dados para pagamento, nós coletamos as informações sobre a transação realizada. Isso abrange suas informações de pagamento, como valor, informações de conta, além dos dados de identificação, tais como CPF e CNPJ. Nós também coletamos outros dados para oferecer e administrar nossos serviços e produtos ofertados. As informações coletadas dependerão do tipo de 20 serviço que o usuário utilizar, mas elas podem abranger as seguintes categorias e finalidades: ● Dados Cadastrais, de Qualificação e Relacionamento de Pessoas Físicas: Nome Completo, Nome Social, CPF/RG/CNH, Data de nascimento, Estado Civil, Endereço, Endereço de e-mail, Número de telefone, Situação profissional, Nome do empregador ou da empresa, Profissão, Endereço, Nome dos pais, Naturalidade, Nacionalidade, Informações sobre demais nacionalidades, conjunto de informações sobre formas de contato, renda, patrimônio, conjunto de informações relativas ao relacionamento do cliente junto à instituição, incluindo conta, representantes e produtos contratados com a instituição, informações relativas aos representantes com a finalidade de Identificar e autenticar o usuário, possibilitar a abertura de conta, proteger o usuário em relação a prevenção de fraudes, proteção ao crédito e riscos associados, além do cumprimento de obrigações legais e regulatórias; ampliar o relacionamento com o usuário e informá-lo sobre novidades e funcionalidades que consideramos relevantes, possibilitar o acesso e uso dos recursos e funcionalidades aos usuários, possibilitar o acesso a Ouvidoria por meio do e-mail “ouvidoria@iniciador.com.br” ou através do telefone: 0800 828 1100, garantir, caso seja solicitado por você, Fale Conosco por meio do “contato@iniciador.com.br”, o direito de portabilidade dos Dados Cadastrais para outro Controlador do mesmo ramo de atuação de acordo com a obrigação do artigo 18 da Lei Geral de Proteção de Dados Pessoais e cumprir com obrigações legais de manutenção de registros estabelecidas pelo Marco Civil da Internet – Lei 12.965/2014 (“Marco Civil da Internet”) e a legislação pertinente. ● Dados Cadastrais, de Qualificação e Relacionamento Financeiro de Pessoas Jurídicas: Razão Social, Nome Fantasia, Nome da Marca da Instituição, CNPJ, Data de Abertura, NIRE (Número de Identificação do Registro de Empresa), CNAE (Classificação Nacional de Atividades Econômicas), Endereço completo (logradouro, número, complemento, bairro, cidade, estado e CEP), Telefone, E-mail, Ramo de Atuação, Nome do Tipo de Produto ou Serviço, Representante Legal, Dados do Representante Legal (nome completo, CPF, data de nascimento, número do documento de identificação, órgão expedidor, UF, nacionalidade e estado civil), Faturamento e Patrimônio, conjunto de informações relativas ao relacionamento do cliente junto à instituição, incluindo conta, representantes e produtos contratados com a instituição com a finalidade de identificar e autenticar as pessoas jurídicas, possibilitar a abertura de conta, proteger o usuário no que diz respeito à prevenção de fraudes, proteção ao crédito e riscos associados, além do cumprimento de obrigações legais e regulatórias, ampliar nosso relacionamento com as pessoas jurídicas, informando empresas sobre novidades e funcionalidades que consideramos relevantes para elas, possibilitar o acesso e uso dos recursos e funcionalidades dos nossos meios de 21 comunicação pelas pessoas jurídicas, possibilitar o acesso ao possibilitar o acesso a Ouvidoria por meio do e-mail “ouvidoria@iniciador.com.br” ou através do telefone: 0800 828 1100, garantir, caso seja solicitado, a portabilidade dos Dados Cadastrais para outro Controlador do mesmo ramo de atuação, cumprindo com obrigação do artigo 18 da Lei Geral de Proteção de Dados Pessoais e cumprir com obrigações legais de manutenção de registros estabelecidas pelo Marco Civil da Internet – Lei 12.965/2014 (“Marco Civil da Internet”) e a legislação pertinente. ● Dados de Identificação Digital: Endereço IP e Porta Lógica de Origem, Características do dispositivo de acesso, Cookies, Dados de geolocalização, dados técnicos, como informações do navegador, URL, conexão de rede, provedor, eventos de mouse e teclado e dados de ferramentas de analytics e performance com a finalidade de prestar os serviços de forma eficiente, cumprir com as obrigações legais de manutenção de registros estabelecidas pelo Marco Civil da Internet, monitoramento de segurança na plataforma e nos serviços em prol da segurança dos usuários e do INICIADOR, desenvolvimento, manutenção e aperfeiçoamento dos recursos e funcionalidades dos produtos e serviços do INICIADOR e de empresas integrantes do grupo econômico do INICIADOR, assegurar a identificação, qualificação e autenticação adequada dos usuários, prevenir atos e práticas relacionados à lavagem de dinheiro e outros atos ilícitos e melhorar a experiência e usabilidade dos usuários. ● Dados de identificação de representantes legais de empresas: podemos coletar dados como nome completo, cargo, e-mail, telefone fixo e/ou celular, data de nascimento, endereço residencial e comercial e cookies com a finalidade de mapear empresas para ajudar nossa equipe comercial na prospecção de novas oportunidades. ● Dados transacionais: podemos coletar dados constantes de bases de dados de instituições financeiras cujas contas bancárias você escolheu conectar para a prestação dos nossos serviços. Isso poderá ocorrer tanto por meio do Open Finance quanto por tecnologias desenvolvidas ou contratadas pelo INICIADOR e esses dados podem incluir, nome, CPF, endereço, filiação, RG, CNH, informações profissionais (último empregador e salário), informações patrimoniais (veículos ou propriedades); saldo(s), limite(s), extrato e renda presumida; data, valor, descrição e tipo da transação realizadas pela conta corrente; informações relativas ao seu cartão de crédito (bandeira do cartão, seus últimos quatro dígitos, transações, juros e limite rotativo, uso de parcelamento, extratos com seus descritivos e faturas); informações sobre taxas e valores pré-aprovados e linhas de crédito disponíveis; informações de comprovantes de pagamento e transferência, incluindo os dados de quem o recebeu; informações de investimentos (produtos 22 adquiridos e seus valores e o histórico das transações – aporte e retiradas – realizadas), operações de crédito como empréstimos, financiamentos, adiantamento a depositantes e direitos creditórios descontados incluindo o(s) contrato(s), garantias, pagamentos e parcelas, assim como todos os demais dados disponíveis no ambiente da instituição financeira mediante a inserção das suas credenciais de acesso ou demais formas de autenticação previstas no Open Finance com a finalidade de melhorar nossos produtos e serviços e oferecer uma melhor experiência aos usuários, criar agregações de dados para facilitar decisões de negócios para nossos clientes, realizar análises exploratórias de dados para oferecer produtos mais assertivos, desenvolver serviços para melhorar a tomada de decisão com base nesses dados bancários e outros serviços que considerarmos relevantes. ● Dados Bancários: podemos coletar dados referentes às contas bancárias cadastradas pelos clientes, como suas credenciais bancárias, compreendidas pela instituição financeira, número da agência, tipo da conta, número da conta e senha e/ou token de acesso, assim como data e horário de acessos, buscas e visualizações e as interações realizadas pelos usuários em sua conta bancária com a finalidade de aprimorar e desenvolver os produtos e serviços oferecidos pelo INICIADOR. ● Dados de Parceiros: podemos coletar dados constantes de bases de dados dos terceiros por meio dos quais você acessou os serviços do INICIADOR. Esses dados serão devidamente informados a você quando da conexão com esses terceiros com a finalidade de realizar análises de dados para melhorar nossos produtos e serviços, melhorar a experiência do usuário e criar agregações de dados para facilitar decisões de negócios para nossos clientes. ● Dados de Pessoa Jurídica: Caso utilize os serviços do INICIADOR em nome de uma pessoa jurídica, você declara que possui todos os poderes ou autorizações necessárias para tanto, sendo de sua exclusiva responsabilidade qualquer fato que decorra desse uso. No mesmo sentido, você ainda compreende e autoriza que o INICIADOR tenha acesso aos dados de todas as contas bancárias mantidas perante a instituição financeira que você conectou a ele e ainda permite que o INICIADOR colete seus dados como representante. ● Dados de Menores de Idade: Podemos realizar a coleta e o tratamento de dados pessoais de menores de dados nos casos em que eles sejam dependentes, beneficiários ou clientes, sempre no melhor interesses destes titulares e em observância às diretrizes da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD). Os dados pessoais de menores (como nome, data de nascimento, sexo, CPF, RG, nacionalidade e endereço) são tratados pelo INICIADOR em 23 conformidade com a finalidade consentida por um dos pais ou pelo seu responsável legal, podendo ser utilizado para operacionalização dos produtos/serviços, atendimento e gestão de demanda regulatória, institucional, jurídica, prevenção a fraudes. Cabe ressaltar que o INICIADOR não utiliza dados de menores para fins de marketing e/ou oferta de produtos e serviços. o Dados FIDO 2: Podemos realizar a coleta e o tratamento de dados FIDO 2 dos nossos usuários que utilizarem serviços como o Pix Biométrico, Pix Aproximação e a Jornada sem Redirecionamento (JSR) com a finalidade de identificar e autenticar o usuário e pela garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, além do cumprimento de obrigações legais e regulatórias relacionadas a esses serviços. o Dados de Crédito (SCR): Podemos coletar e compartilhar dados de operações de crédito do cliente registrados no Sistema de Informações de Créditos (SCR) do Banco Central sempre com autorização do usuário, como o valor das operações de crédito, prazos, taxas de juros, garantias oferecidas, histórico de adimplência e inadimplência, além de informações sobre o saldo devedor e pagamentos realizados. Esses dados são acessados e compartilhados com o consentimento do cliente, visando aprimorar a análise de crédito, desenvolver produtos e serviços personalizados e promover melhores condições financeiras de acordo com o perfil e histórico de crédito do cliente. Além dos dados anteriormente descritos, coletamos informações sobre investimentos, operações de câmbio e dados do empregador, que serão utilizados para ampliar a personalização dos nossos serviços e aprimorar as análises de segurança e verificação de identidade. Essas informações serão tratadas conforme o consentimento concedido pelo usuário, de acordo com as disposições desta Política e da LGPD. Eventuais dados, documentos adicionais e metadados também poderão ser coletados durante a sua relação com o INICIADOR para cumprimento das finalidades e atividades contratadas, sendo estes tratados em conformidade com as disposições desta Política e da LGPD. Em alguns casos, quando o usuário é redirecionado através de um site de terceiro ou através de um link enviado por terceiros, que é parceiro do INICIADOR, o INICIADOR poderá coletar automaticamente de tal terceiro algumas informações, tais como as informações pessoais fornecidas a tais terceiros, como no caso de preenchimento automático de ficha cadastral nos canais de acesso e para facilitar o uso dos canais de acesso por você. 24 Nesse sentido, você deve ter aceitado a política de privacidade e os termos de uso da plataforma desse terceiro, que será responsável por sua respectiva política de privacidade e termos de uso e, consequentemente, pelo tratamento e proteção de informações que você transferiu para ele. Nossos sites e serviços poderão conter links para sites de terceiros, de modo que o INICIADOR não tem controle sobre esses sites e não pode garantir sua disponibilidade, precisão ou segurança. O usuário está ciente e concorda que a existência desses links não constitui endosso ou patrocínio de sites de terceiros e reconhece estar sujeito aos termos de uso e políticas de privacidade estabelecidas por eles nos seus respectivos sites, aplicativos ou plataformas.

2. Para quais outras finalidades utilizamos as informações que você nos envia? Além das informações acima, ao utilizar nossos serviços você autoriza expressamente o uso dos dados que coletamos para as seguintes finalidades: ● Fornecer, melhorar e desenvolver os serviços disponíveis. Usamos os seus dados para melhorar a qualidade, personalização e eficiência dos nossos serviços. Utilizamos cookies e outras tecnologias semelhantes somente para fornecer e apoiar nossos serviços através da personalização do conteúdo jurídico e informativo compartilhado, de forma a proporcionar a melhor experiência possível para nossos clientes. ● Informações que você oferece. Nos formulários de cadastro da plataforma (por exemplo para download de material comercial) coletamos os dados fornecidos por você como nome e sobrenome, endereço para correspondência, endereço de e-mail, CNPJ, razão social, informações de pagamento, endereço IP, bem como outras informações de contato online ou número de telefone, foto e demais informações requeridas no cadastro ou vinculados às mídias utilizados no login que você nos fornecer. ● Comunicação. Podemos registrar e gravar todos os dados fornecidos em toda comunicação realizada com nossa equipe através dos formulários de contato do site e trocas de e-mails ou aplicativos realizados após esse contato inicial. ● Endereço eletrônico (e-mail). Ao fazer login na plataforma, assinar nossa newsletter ou preencher e enviar um formulário de contato no site, nós coletamos o seu e-mail para fins cadastrais, sendo esse o principal meio pelo qual ocorrerão as comunicações de atualizações da plataforma, envio da newsletter e gerenciamento da sua conta, sempre com a possibilidade de se descadastrar e gerenciamento de preferências de e-mail. 25 ● Cookies. Registramos dados de sua visita ao nosso site por meio de cookies (pequenos arquivos que permitem identificar as preferências do usuário) e outras tecnologias incluindo seu endereço IP e nome de domínio, a versão do seu navegador e do seu sistema operacional, dados de tráfego online, dados de localização, logs da web e outros dados de navegação. ● Construção de conteúdo. Todo conteúdo compartilhado, ou divulgado, seja através de comentários, dicas ou sugestões de melhorias compõem o banco de dados da plataforma viabilizando a melhoria e conhecimento do produto pelos demais usuários. ● Para reorganização interna ou mudanças operacionais e gerenciais. Os dados coletados poderão ser utilizados para uma eventual reorganização interna ou para transferência de dados a terceiros ou seus assessores como parte de um processo de due diligence com a finalidade de analisar uma proposta de reorganização; ● Monitoramento de uso. Utilizamos seus dados para monitorar atividades e transações com a finalidade de garantir a qualidade do serviço, o atendimento às leis aplicáveis, o cumprimento de procedimentos e para combater a fraude. ● Obrigações legais. Podemos ser obrigados por lei a compartilhar seus dados com terceiros para cumprir exigências legais, regulatórias ou fiscais, envolvendo a divulgação de seus dados pessoais a terceiros, a um tribunal, reguladores ou agências governamentais, como as contidas no art. 14, do Marco Civil da Internet (Lei nº 12.965/2014 ou MCI), as obrigações regulatórias perante o Banco Central do Brasil, o Conselho Monetário Nacional, o Arranjo Pix, Open Finance Brasil e a Resolução Conjunta nº 1 de 4 de maio de 2020, conforme necessário;

3. Com quem compartilhamos seus dados? Quando necessário às atividades comerciais e aos produtos e serviços ofertados pelo INICIADOR, compartilhamos os seus dados com nossos parceiros e fornecedores apenas para fins de viabilizar pagamentos, processamento de dados, autenticação e outros procedimentos relevantes, bem como para tornar nossos produtos e serviços mais relevante e eficiente à sua finalidade. Esses dados serão devidamente informados a você quando da conexão com eles, ocasião em que também será coletado o seu consentimento acerca dessa possibilidade. Para fins de análise de dados e estatísticas relevantes sobre o uso e alcance do site assim como para criação dos e-mails da newsletter, compartilhamos seus dados com alguns parceiros, com destaque para: Google Analytics. 26 Além deles, podemos ser legalmente obrigados a compartilhar seus dados com terceiros para cumprir exigências legais, regulatórias ou fiscais, envolvendo a divulgação de seus dados pessoais a terceiros, a um tribunal, reguladores ou agências governamentais, como a própria Autoridade Nacional de Proteção de Dados (ANPD). Dependendo da localização do cliente ou dos serviços que serão prestados, o INICIADOR pode transferir os dados coletados para outros parceiros localizados no Brasil e em outros países e esses dados serão utilizados somente para os fins para o qual foram contratados. Procuramos contratar apenas parceiros que adotam todos os padrões necessários e adequados a LGPD ou legislação equivalente, como a General Data Protection Regulation (GDPR), de forma que os dados não poderão ser utilizados para outros fins e serão mantidos de acordo com padrões adequados de segurança. Também compartilhamos seus dados: a) Com fornecedores e instituições integrantes do conglomerado financeiro do INICIADOR, para fins publicitários, estatísticos (sempre anonimizados) e para a prestação dos serviços relacionados; b) De modo a proteger os interesses do INICIADOR, em qualquer espécie de conflito, inclusive demandas judiciais; c) No caso de operações societárias envolvendo o INICIADOR, hipótese em que a transferência das informações será necessária para a continuidade dos serviços; d) Mediante ordem judicial ou por requerimento de autoridades administrativas que detenham competência legal para sua requisição; e e) Com quaisquer outros terceiros para que sejamos obrigados a compartilhar as informações devido a obrigações legais, contratuais e regulatórias e/ou cuja divulgação das informações seja necessária ou recomendável para a devida, efetiva e eficiente operação dos serviços contratados pelo INICIADOR, bem como para a oferta dos serviços próprios e/ou das instituições financeiras parceiras; e/ou para contratar e manter com terceiros serviços de armazenamento e gestão de base de dados. Se o INICIADOR estiver envolvido em uma fusão, aquisição ou venda de todos ou de parte de seus ativos, os dados pessoais do cliente poderão ser compartilhados com o adquirente. Nesses casos o cliente será devidamente notificado sobre qualquer alteração e transferência dos seus dados.

4. Por quanto tempo armazenamos os seus dados? Nós manteremos seus dados pessoais somente pelo período que for necessário para o cumprimento das finalidades pelos quais os coletamos, pelo período que julgamos necessário de acordo com a necessidade de proteção legal do INICIADOR ou até que ocorra a solicitação de exclusão definitiva por sua parte. 27 Caso você solicite a exclusão dos seus dados, cessaremos imediatamente a utilização deles para todo e qualquer fim comercial. Entretanto, continuaremos armazenando seus dados enquanto possuirmos obrigações legais, tributárias ou judiciais a cumprir em relação a eles.

5. Onde armazenamos os dados que você nos fornece? Os dados coletados são armazenados de forma segura pelo INICIADOR na nuvem do Google Cloud Platform (GCP). Isso é feito para fins de melhorar o desempenho e proteger os dados de forma segura no caso de uma falha ou problema.

6. Qual o nosso compromisso com a transparência e com a segurança dos seus dados? Todos os dados que você nos fornece são tratados unicamente para atingir as finalidades listadas acima. Estamos em conformidade com a regulação do Arranjo Pix, com as regras do Diretório do Open Finance e a tecnologia certificada no padrão de segurança da indústria de pagamento (PCI-DSS), como também no padrão de autenticação e autorização OpenID foundation (OpenID). Em situações que demandam maior nível de segurança, o INICIADOR poderá coletar e tratar metadados específicos, como dados FIDO2, assinaturas de device e sinais de risco detalhados, para garantir a autenticação do usuário e monitoramento contínuo de acessos. Esses metadados são utilizados exclusivamente para prevenir fraudes e fortalecer a segurança da plataforma assim como afericação de métricas pelo INICIADOR e pelo BCB, sempre respeitando a LGPD e mediante consentimento específico Seus dados são armazenados em nossos computadores e servidores seguros ou de nossos fornecedores contratados e são acessados e utilizados de acordo com nossas políticas e padrões de segurança somente por nós e nossos parceiros. O INICIADOR utiliza protocolos de criptografia avançada (TLS/SSL) para proteger informações bancárias, como credenciais e dados transacionais. O acesso a dados bancários pelo INICIADOR ocorre somente mediante consentimento expresso do usuário, conforme exigido pela LGPD e regulamentação do Open Finance. O INICIADOR não armazena senhas ou tokens bancários além do necessário para a prestação dos serviços contratados, limitando-se ao tempo estritamente necessário para processamento. 28 Todo o tráfego entre nossos servidores ou entre o seu computador e nossos servidores é criptografado com Hypertext Transfer Protocol Secure (HTTPS) através do protocolo seguro Secure Sockets Layer (SSL)/Transport Layer Security (TLS) ou nível de criptografia semelhante. Contamos com uma “Política de Segurança da Informação e Segurança Cibernética” e tomamos todas as medidas de boas práticas existentes no mercado para garantir que os dados que coletamos sejam processados com o que está disposto nela, onde quer que estejam localizados. Não permitimos o uso de pen drives, HDs externos e outros equipamentos que poderiam comprometer a segurança e integridade dos dados guardados em nossos sistemas. O fator humano muitas vezes é o elo mais fraco na segurança da informação e os nossos funcionários são treinados em conceitos de cibersegurança para diminuir ao máximo o risco de dados e recomendamos o mesmo tipo de treinamento para todos os nossos clientes e parceiros. É impossível garantir a segurança total dos dados armazenados e usos indevidos por parte do usuário ou cliente, como softwares e hardwares inseguros, que podem comprometer a segurança do sistema. Caso você verifique uma falha de segurança ou acredite que exista qualquer indício de vulnerabilidade em relação aos seus dados, por favor entre em contato direto com nosso encarregado no e-mail: juridico@iniciador.com.br.

7. Quais são os direitos do titular de dados pessoais? Na posição de titular dos dados pessoais você tem os direitos listados abaixo e pode exercê-los mediante um pedido por escrito para o nosso encarregado no e-mail: “juridico@iniciador.com.br”. Além disso, para a revogação do consentimento e exercício de outros direitos do titular em relação aos serviços o usuário pode acessar a área específica no link “https://portal.iniciador.com.br”. Devido a nossa política de segurança e para evitar hacking social ou técnicas similares de obtenção de dados e outras informações restritas, os dados solicitados somente serão informados mediante a verificação de identidade do titular de dados pessoais a partir de login via consentimento Open Finance em sua instituição. a) Confirmação de existência de tratamento: esse direito permite que você saiba se estamos ou não tratando dos seus dados pessoais. 29 b) Acesso aos dados: esse direito permite que você tenha acesso aos seus dados pessoais que tratamos. c) Correção de dados incompletos, inexatos ou desatualizados: esse direito permite que você solicite a correção dos seus dados pessoais tratados por nós em relação ao fato deles estarem incompletos, pouco exatos, desatualizados ou incorretos. d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto a LGPD: esse direito permite que você solicite a anonimização, bloqueio ou eliminação dos seus dados caso o tratamento seja desnecessário ou esteja em desconformidade com a LGPD. Caso seja necessário manter seus dados em nossos servidores para fins de proteção do INICIADOR ou terceiros ou requisitos legais, isso será justificado em nossa resposta ao seu pedido. e) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial: esse direito permite que você receba seus dados para que os utilize com outro fornecedor de serviços. Entretanto, o escritório se reserva a não entregar dados que comprometam nossa propriedade intelectual ou segredos comerciais. f) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD: esse direito permite que você solicite a eliminação dos seus dados pessoais com exceção de casos de cumprimento de obrigação legal ou regulatória pelo INICIADOR, transferência já realizada a terceiro de acordo com os requisitos da LGPD e de dados que tenham sido anonimizados para uso exclusivo do escritório. g) Informação das entidades públicas e privadas com as quais o controlador compartilhou dados: esse direito permite que você seja informado se nós precisamos compartilhar seus dados com um órgão público, como por exemplo a Autoridade Nacional de Proteção de Dados (ANPD). h) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: esse direito permite que você saiba que é possível não fornecer o consentimento para o tratamento dos dados de forma completa ou específica em relação às finalidades mencionadas acima e quais os efeitos em relação a isso. No caso dos serviços de personalização do site, a revogação do consentimento sobre uso de cookies apenas tornará a experiência menos personalizada e impedirá que ela seja aprimorada. Agora, é importante fazer a ressalva de que existem casos em que o tratamento dos dados pelo INICIADOR ou seus parceiros seja essencial para a prestação dos serviços contratados, de forma que a necessidade é legítima e está acima de uma eventual negativa. i) Não fornecimento ou revogação do consentimento: esse direito permite que você não forneça ou revogue seu consentimento em relação ao tratamento de dados pessoais. É importante mencionar que a revogação do consentimento não afeta os tratamentos de dados realizados antes desta solicitação. 30

8. Como acessar e controlar as informações que você forneceu para nós? A gestão dos seus dados é feita de forma segura pelo INICIADOR e além dos procedimentos disponíveis em nossa plataforma, você também pode solicitar informações, alterações ou exclusões em relação aos seus dados ou solucionar quaisquer dúvidas sobre a presente Política de Privacidade através do contato do nosso encarregado no e-mail: juridico@iniciador.com.br. Após verificar a sua identidade através de um meio seguro, nós responderemos a sua solicitação em até 10 (dez) dias úteis. Você também tem o direito de entrar em contato diretamente com a Autoridade Nacional de Proteção de Dados (ANPD). O usuário também poderá acessar e gerenciar suas autorizações de pagamento diretamente pelo portal Open Finance. Esta funcionalidade permite visualizar todas as autorizações concedidas, além de possibilitar a revogação de consentimentos específicos, sempre que desejado. Todas as ações são registradas e podem ser consultadas pelo usuário em conformidade com a LGPD e demais regulamentações nacionais.

9. Atualizações

Dos Termos de Uso e da Política De Privacidade O INICIADOR está sempre em constante evolução e aprimoramento, de forma que seus Termos de Uso e Política de Privacidade passam por alterações à medida que nossos serviços evoluem. A versão mais atualizada desses documentos sempre pode ser encontrada no nosso site, informamos nossos clientes sobre eventuais modificações e alterações relevantes. Você pode sugerir quaisquer modificações e solucionar quaisquer dúvidas sobre os documentos mencionados acima através do contato do nosso encarregado no e-mail: juridico@iniciador.com.br. 31

2. APRESENTAÇÃO E OBJETIVO

A presente Política de Segurança da Informação e Segurança Cibernética tem o objetivo de estabelecer diretrizes que permitem o INICIADOR INSTITUIÇÃO DE PAGAMENTO LTDA (“INICIADOR”), preservar e proteger as informações de seus clientes, funcionários, prestadores de serviços, partes interessadas e do próprio INICIADOR contra ameaças e riscos relacionados à segurança da informação e cibernética, bem como implementar controles e procedimentos que visam a reduzir a vulnerabilidade da Instituição a incidentes; dispõe, também, sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. 3 Ademais, esta política será compatível com: a) O porte, o perfil de risco e o modelo de negócio do INICIADOR; b) A natureza das atividades do INICIADOR e a complexidade dos produtos e serviços oferecidos; e c) A sensibilidade dos dados e das informações sob responsabilidade do INICIADOR. O Diretor de Tecnologia será responsável por esta Política e pela execução do plano de ação e de resposta a incidentes, o qual poderá desempenhar outras funções no INICIADOR, desde que não haja conflito de interesses.

3. ABRANGÊNCIA A Política se aplica a todos os Sócios e Administradores da (coletivamente “Alta Administração”), funcionários e empresas prestadoras de serviço1 do INICIADOR (coletivamente, “Colaboradores”) cujas atividades sejam desempenhadas visando ao desenvolvimento das operações atinentes a esta Política.

4. RESPONSABILIDADES

A implementação, execução e manutenção da presente Política será realizada pelos responsáveis seguintes. ● Área de Compliance: responsável, em conjunto com o diretor responsável pela execução e manutenção desta Política, pela sua aprovação e atualização periódica. ● Diretor de Tecnologia: responsável pela implementação, execução e manutenção da política e pela execução do plano de ação e de resposta a incidentes. ● Usuários: Alta Administração e Colaboradores do INICIADOR, que direta ou indiretamente utilizam ou suportam os sistemas, a infraestrutura ou as informações do INICIADOR, e que devem, no que couber: (i) cumprir as normas e procedimentos relacionados ao uso de informações e sistemas associados, em conformidade com o estabelecido nesta Política; (ii) informar, imediatamente, às áreas responsáveis, qualquer falha em dispositivos, 1 Quaisquer terceiros que atuem em nome do INICIADOR, tais como Auditoria Externa, Tecnologia da Informação, Infraestrutura de TI, dentre outras. 4 serviços ou processos relacionados à Segurança da Informação e Segurança Cibernética, para que sejam tomadas ações de forma tempestiva; (iii) utilizar as informações relacionadas à esta Política, como patrimônio do INICIADOR, e mantê-las seguras, íntegras e disponíveis, conforme sua classificação e necessidade.

5. DIRETRIZES Com o objetivo de garantir os objetivos desta Política, os procedimentos de Segurança da Informação e Segurança Cibernética seguirão as seguintes diretrizes: a) Assegurar que não haja acessos indevidos, modificações, destruições ou divulgações não autorizadas das informações. Para tanto, o acesso do Colaborador deve ser pessoal, intransferível e restrito aos recursos necessários para realizar suas atribuições no INICIADOR; b) Cada Colaborador, quando aplicável, receberá uma senha pessoal de acesso e ficará responsável por manter sua senha em sigilo para evitar acesso indevido às informações que estão sob sua responsabilidade. O INICIADOR adotará mecanismos que visam a assegurar a utilização segura de senhas; c) Qualquer risco à informação deverá ser imediatamente reportado pelo Colaborador por meio dos canais e procedimentos indicados pelo INICIADOR; d) Assegurar que todas as informações sejam tratadas de maneira ética e sigilosa e que sejam adotadas medidas capazes de evitar ou, ao menos, registrar acessos indevidos, modificações, destruições ou divulgações não autorizadas; e) Assegurar que as informações sejam utilizadas somente para a finalidade para a qual foram coletadas e que o acesso esteja condicionado à autorização; f) Assegurar o cumprimento dos procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de Segurança Cibernética, tais como, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações; g) Assegurar que os controles específicos, incluindo os voltados para a rastreabilidade da informação, garantam, no melhor nível possível, a segurança das informações sensíveis; h) Assegurar o registro, análise da causa e o impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades do INICIADOR; 5 i) Assegurar a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados; j) Definir os procedimentos e controles voltados à prevenção e ao tratamento dos incidentes que devem ser adotados pelos prestadores serviços e terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais do INICIADOR; k) Classificar os dados e as informações quanto à relevância; l) Definir os parâmetros a serem utilizados na avaliação da relevância dos incidentes; m) Assegurar os mecanismos para disseminação da cultura de segurança cibernética, incluindo (i) a implementação de programas de capacitação e de avaliação periódica de pessoal; (ii) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; n) Estimular iniciativas para compartilhamento de informações sobre incidentes relevantes, com Instituições de Pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo BCB; o) Manter o registro, análise da causa e do impacto, bem como o controle dos efeitos de incidentes de informações recebidas de empresas prestadoras de serviços a terceiros; e p) Contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pelo INICIADOR e por esta Política.

6. PROCESSO DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

A fim de assegurar que todas as diretrizes acima sejam cumpridas e que os princípios de Segurança da Informação e de Segurança Cibernética sejam devidamente seguidos, o INICIADOR adotará as seguintes políticas e procedimentos.

6.1. Gestão de Ativos Os Ativos são inventariados e protegidos de acessos indevidos ou ameaças que possam comprometer o negócio. Para tanto, o acesso às salas com armazenagem de documentos físicos deve ser restrito e limitado, por meio de mecanismos de autenticação e autorização de acesso, destinados a impedir o acesso de indivíduos não autorizados. Os Ativos devem ser utilizados tão somente para a finalidade devidamente autorizada. O INICIADOR deve assegurar proteção aos Ativos durante todo o seu ciclo de vida, a fim de garantir que os princípios da autenticidade, confidencialidade, disponibilidade e integridade sejam cumpridos integralmente. 6

6.2. Autenticação

O INICIADOR adotará mecanismos para garantir que o acesso às informações e ambientes tecnológicos seja permitido apenas a indivíduos autorizados.

6.3. Autorização Há processos de autorização levando em consideração o princípio do menor privilégio, a segregação de funções e a classificação da informação

6.4. Segmentação de Rede O INICIADOR adota mecanismos internos para a segmentação de rede para proteger seus dados de ataques cibernéticos e determinar que todos os computadores conectados à rede corporativa não estejam acessíveis diretamente pela Internet. Caso o Colaborador queira criar, alterar ou excluir regras nos firewalls e Ativos de rede deverá enviar uma requisição ao departamento de tecnologia da informação, que fará análise e aprovação.

6.5. Classificação

da Informação As informações devem ser classificadas segundo sua criticidade e sensibilidade para o negócio e seus clientes. Portanto, o INICIADOR deve adotar a seguinte classificação: a) Informação Pública: aquela que pode ser acessada por todos, sem restrição. São exemplos de Informação Pública: dados divulgados ao mercado e dados promocionais; b) Informação Interna: aquela que pode ser acessada somente por Colaboradores do INICIADOR. São exemplos de Informação Interna: normas, procedimentos e formulários do INICIADOR; c) Informação Restrita: aquela que pode ser acessada somente por Colaboradores que precisam dela para desempenhar suas atribuições. São exemplos de Informação Restrita: contratos e documentos estratégicos do INICIADOR; e d) Informação Confidencial: aquela que pode ser acessada somente por Colaboradores que tenham permissão de acesso ou que necessitem dela 7 para um propósito específico. São exemplos de Informação Confidencial: plano estratégico e informações de clientes.

6.6. Controle de Acesso O INICIADOR deve adotar controles de acesso em toda infraestrutura para evitar que indivíduos não autorizados tenham acesso aos ambientes segregados, aos sistemas internos e as informações que não sejam de livre acesso e sem permissão prévia. Desta forma, o INICIADOR deve implementar mecanismos para a autenticação de usuários, manutenção de segregação de funções, rastreabilidade de acesso e aprovação de acesso, quando aplicável, de forma a garantir procedimentos internos adequados e consistentes.

6.7. Gestão de Riscos O INICIADOR possui processo para análise de vulnerabilidades, ameaças e impactos sobre os Ativos de informação para, diante de um incidente, adotar as medidas adequadas para minimizar os danos causados. Os processos de gestão de riscos englobam os controles de mudanças no ambiente de tecnologia do INICIADOR, que são estruturados e aplicados através de um conjunto de processos que vão atuar em todas as áreas potencialmente impactadas, bem como a capacitação e o engajamento dos Colaboradores diretamente envolvidos nas ações mitigatórias dentro do INICIADOR, com o objetivo da preparação para essas situações. Neste processo, será levado em conta: (i) o levantamento dos impactos organizacionais; (ii) a priorização das ações de mudanças no ambiente de tecnologia do INICIADOR; (iii) o planejamento; (iv) os testes; (v) a mobilização; (vi) a comunicação; e (vii) os treinamentos contínuos para a devida capacitação das pessoas diretamente envolvidas no processo de gestão de riscos e controle dos respectivos ambientes de tecnologia do INICIADOR, da seguinte forma: i. O levantamento dos impactos organizacionais irá detalhar quais áreas do INICIADOR podem vir a ser impactadas direta e/ou indiretamente; ii. A priorização das ações de mudanças no ambiente de tecnologia irá avaliar e elencar todas as mudanças que precisam ser implementadas, definindo quais demandas serão tratadas com prioridade e quais poderão ser mitigadas; iii. O planejamento irá definir os planos de implementação, impactos e correções, visando maximizar a segurança e integridade dos ambientes de tecnologia, e minimizar ao máximo riscos de ações ineficientes e ineficazes; 8 iv. Os testes irão monitorar todo o processo e se certificar que tudo está acontecendo conforme o planejamento realizado. Através dos testes serão elaborados relatórios, os quais serão revisados pelo Diretor responsável pela execução e manutenção desta Política, que descreverão os resultados, funcionalidades e correções; v. A mobilização irá, através do Diretor responsável por esta Política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes, direcionar o INICIADOR e todos os Colaboradores ao encontro do objetivo deste processo da gestão de riscos e de controles de mudanças no ambiente de tecnologia do INICIADOR; e vi. A comunicação irá informar e detalhar os objetivos da mudança através dos canais de comunicação e do desenvolvimento do plano de comunicação, para que todos os Colaboradores do INICIADOR tenham conhecimento da relevância e da necessidade do engajamento para o alcance de todas as medidas adequadas e mitigatórias, para neutralizar ou minimizar os eventuais ou potenciais danos. O treinamento contínuo irá garantir a transferência e o nivelamento de conhecimentos relacionados ao trabalho desenvolvido no processo da gestão de riscos e de controles de mudanças no ambiente de tecnologia do INICIADOR.

6.8. Gestão de Fornecedores O INICIADOR verifica o grau de comprometimento com relação a controles de Segurança da Informação e Segurança Cibernética de todos os seus prestadores de serviços, fornecedores, provedores e parceiros que processam e armazenam dados do INICIADOR, com a finalidade de verificar o nível de maturidade dos controles de segurança e o plano de tratamento de incidentes adotados.

6.9. Segurança Física do Ambiente O INICIADOR possui sistema para controle de acesso dos Colaboradores, prestadores de serviços, fornecedores, provedores e parceiros aos locais restritos. Os equipamentos e instalações de processamento de informação crítica ou sensível devem ser mantidos em áreas seguras, com níveis de controle de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais.

6.10. Backup e Gravação de LOG O INICIADOR adota uma rotina de backup e restauração de dados para assegurar a disponibilidade das informações relevantes para o pleno funcionamento de suas atividades. 9 Sendo assim, realiza gravação de logs de dados que permitam a rastreabilidade do acesso e a identificação do criador, data, meios de acesos e informações acessadas. As informações dos logs devem ser protegidas contra alterações e acessos não autorizados.

6.11. Proteção Contra Vírus, Arquivos e Softwares Maliciosos O INICIADOR adota mecanismos para prevenir que vírus e outros tipos de software e condutas maliciosas (e.g., phishing, spam etc.) se propaguem nos computadores, sistemas e servidores internos ou exponham a Instituição a vulnerabilidades. Para tanto, os softwares de segurança, como o antivírus, devem estar instalados e atualizados em toda a rede interna do INICIADOR.

6.12. Testes de Varredura Para Detecção de Vulnerabilidade O INICIADOR se preocupa em identificar e eliminar as vulnerabilidades de seus sistemas e servidores para assegurar a integridade do ambiente dos processos de negócio. Assim, através de alertas, dashboards e ferramentas para verificar vulnerabilidades e variabilidades, promove monitoramento constante e condução de testes e varredura para detecção de vulnerabilidades, avaliação de riscos e determinação de medidas de correção adequadas. Ressalta, ainda, que tais procedimentos e controles abrangem, dentre outros, os seguintes requisitos: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações. Adota, também, processo de atualização periódica de segurança no parque tecnológico, de forma a prevenir vulnerabilidades que possam ocasionar brechas de segurança para ataque de vírus e outros tipos de software, que se propaguem nos computadores, sistemas e servidores do INICIADOR.

6.13. Criptografia

Os Ativos de informação do INICIADOR devem possuir criptografia adequada, conforme a classificação da informação, em todo tráfego que ocorrer em rede pública, a fim de se garantir proteção em todo o ciclo de vida da informação, em conformidade com os padrões de segurança dos órgãos reguladores. 10

6.14. Plano de Continuidade O INICIADOR realiza plano de continuidade dos serviços prestados a partir da adoção de um conjunto preventivo de estratégias e planos de ação para garantir que os serviços essenciais do INICIADOR sejam devidamente identificados e preservados após a ocorrência de uma contingência. Para tanto, o INICIADOR realizará o mapeamento de processos críticos, análise de impacto nos negócios e inventário dos cenários de crises cibernéticas relacionados aos incidentes de segurança. Devem ser aplicados testes de continuidade de serviços de pagamento e realização testes periódicos para garantir a eficácia e segurança dos processos. O teste deve ser conduzido em um ambiente controlado que permita que o INICIADOR certifique a conformidade dos planos desenvolvidos com os objetivos do INICIADOR e requisitos legais.

6.15. Mecanismos de Rastreabilidade O INICIADOR adota controles específicos para promover a rastreabilidade da informação, principalmente que busquem garantir a segurança das informações sensíveis.

6.16. Registro de Impacto O INICIADOR realiza o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades do INICIADOR, abrangendo, inclusive, informações recebidas de empresas prestadoras de serviços a terceiros.

6.17. Treinamentos

e Conscientização O INICIADOR preza por uma cultura de Segurança da Informação e Segurança Cibernética. Dessa forma, são adotados políticas e procedimentos para a difusão dos princípios e diretrizes integrantes desta Política, garantindo-se a capacitação e conscientização para toda a Alta Administração e todos os seus Colaboradores. O INICIADOR promoverá a ampla divulgação desta Política a todos os seus Colaboradores e o público em geral, bem como às empresas prestadoras de serviços a terceiros, no que couber, mediante linguagem clara, acessível e em nível 11 de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações, incluindo a prestação de informações aos usuários finais sobre medidas de precaução para a utilização dos produtos e serviços oferecidos. Além disto, a Alta Administração do INICIADOR deverá difundir a cultura de Segurança da Informação e Segurança Cibernética para promover melhorias contínuas em seus processos internos, a fim de evitar quaisquer incidentes relacionado à Segurança da Informação e Segurança Cibernética.

7. INCIDENTES DE SEGURANÇA

7.1. Classificação

de Relevância dos Incidentes O INICIADOR classifica os incidentes de segurança segundo sua relevância, bem como a classificação das informações envolvidas e o impacto na continuidade se seus negócios. Assim, no dia a dia da Instituição, são utilizados diversos parâmetros para a avaliação de incidentes, tais como: (i) falta de conectividade; (ii) acesso negado; (iii) ransomware; (iv) entre outros.

7.2. Gestão de Incidentes Todos os incidentes ou suspeitas de incidentes identificados por um Colaborador, cliente, prestador de serviços, fornecedor, provedor ou parceiro devem ser imediatamente comunicados à área responsável. A comunicação deverá ser feita por meio dos canais indicados pelo INICIADOR através do e-mail contato@iniciador.com.br. Os incidentes reportados serão classificados segundo o risco que representam para o INICIADOR e o impacto na continuidade dos negócios do INICIADOR. Além disso, devem ser devidamente registrados, tratados e comunicados. O INICIADOR adotará procedimentos para mitigar os efeitos dos incidentes relevantes e a interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados. 12

7.3. Plano de Compartilhamento de Incidentes Sem prejuízo do dever de sigilo e da livre concorrência, o INICIADOR adota iniciativas para o compartilhamento de informações sobre incidentes relevantes com outras Instituições de Pagamento por meio dos canais adotados pelas instituições. As informações compartilhadas também estarão disponíveis ao BCB. Caso haja incidentes relevantes ou interrupção dos serviços relevantes, o INICIADOR comunicará o BCB e adotará medidas necessárias para que as suas atividades sejam reiniciadas, informando o prazo para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, estabelecendo e documentando os critérios que configuraram a situação de crise.

7.4. Plano de Ação e Resposta a Incidentes O INICIADOR deve estabelecer plano de ação e de resposta a incidentes visando à implementação desta Política, que abrange, minimamente: a) As ações a serem desenvolvidas para adequar as estruturas organizacional e operacional às diretrizes desta Política; b) As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes.

7.5. Relatório Anual de Incidentes O INICIADOR deve elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro, o qual abordará: a) A efetividade da implementação das ações de adequação suas estruturas organizacional e operacional, com o objetivo de adequar suas estruturas organizacional e operacional aos princípios e às diretrizes desta Política; b) O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes desta Política; c) Os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; 13 d) Os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.

8. CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E COMPUTAÇÃO EM NUVEM

8.1. Contratação de Terceiros O processamento e armazenamento de dados e computação em nuvem será realizado por meio de terceiros localizados no Brasil ou no exterior. A contratação de terceiros deve ser realizada por meio da aferição da capacidade do prestador de serviço para realizar as atividades em cumprimento com a legislação e regulamentação aplicável. Desta forma, o INICIADOR deve adotar procedimentos para verificação da capacidade do potencial prestador de serviço de forma a assegurar: a) O cumprimento da legislação e da regulamentação em vigor; b) O acesso do INICIADOR aos dados e às informações a serem processados ou armazenados pelo prestador de serviço; c) A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço; d) A aderência do prestador de serviço às certificações exigidas pelo INICIADOR para a prestação do serviço a ser contratado; e) O acesso do INICIADOR aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados; f) O provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados; g) A identificação e a segregação dos dados dos clientes e dos usuários finais do INICIADOR por meio de controles físicos ou lógicos; e h) A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes e dos usuários finais do INICIADOR. Na avaliação da relevância do serviço a ser contratado, será considerada a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação dos dados e informações quanto à sua relevância. Todos os procedimentos devem ser documentados. 14 Ademais, o INICIADOR adota os recursos e medidas necessários para a adequada gestão dos serviços contratados ou a serem contratados futuramente, inclusive para análise de informações e uso dos recursos providos pelo potencial prestador de serviços.

8.2. Execução de Aplicativos pela Internet No caso da execução de aplicativos por meio da internet, qual seja, aqueles implantados ou desenvolvidos pelo prestador de serviço, com a utilização de seus próprios recursos computacionais, o INICIADOR deve assegurará que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

8.3. Serviços de Computação em Nuvem Os serviços de computação em nuvem disponibilizados ao INICIADOR, sob demanda e de maneira virtual, deverão incluir um ou mais serviços, conforme descritos abaixo: a) Processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam ao INICIADOR implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pelo INICIADOR ou por ele adquiridos; b) Implantação ou execução de aplicativos desenvolvidos pelo INICIADOR, ou por ele adquiridos, utilizando recursos computacionais do prestador de serviços; e/ou c) Execução, por meio da internet, de aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços. O INICIADOR é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem será comunicada pelo INICIADOR ao BCB, o qual poderá vetar ou impor restrições para a contratação quando constatar, a qualquer tempo, violação à Regulamentação. 15

8.4. Contratação de Serviços de Computação em Nuvem no Exterior Em caso de contratação de serviços de processamento, armazenamento de dados e de computação em nuvem no exterior, o INICIADOR deverá observar os seguintes requisitos: a) Existência de convênio para troca de informações entre o BCB e as autoridades supervisoras dos países onde os serviços serão prestados; b) Verificação de que a prestação dos serviços não causará prejuízos ao seu regular funcionamento nem embaraço à atuação do BCB; c) Definição, previamente à contratação, dos países e regiões em cada país em que os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e d) Previsão de alternativas para a continuidade negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços. Caso não haja convênio para troca de informações entre o BCB e as autoridades supervisoras dos países em que os serviços serão prestados, o INICIADOR solicitará, com 60 (sessenta) dias de antecedência, autorização do BCB para a contratação do serviço. O mesmo se dará no caso de qualquer alteração contratual que implique em modificação de informações referentes: (i) a denominação da empresa contratada; (ii) os serviços relevantes contratados; e/ou (iii) a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados. O INICIADOR assegurará que a legislação e a regulamentação nos países em que os serviços serão prestados não restrinjam ou impeçam o acesso do INICIADOR e do BCB aos dados e às informações. A comprovação do atendimento aos requisitos e o cumprimento desta exigência serão devidamente documentados.

8.5. Contrato de Prestação de Serviços O INICIADOR assegurará que os contratos de prestação de serviços de processamento, armazenamento de dados e computação em nuvem prevejam: a) A indicação dos países e da região em cada país em que os serviços poderão ser prestados e os dados armazenados, processados e gerenciados; b) A adoção de medidas de segurança para a transmissão e armazenamento dos dados; 16 c) A manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes e dos usuários finais; d) Em caso de extinção do contrato, a obrigatoriedade de transferência dos dados ao novo prestador de serviços ou ao INICIADOR, bem como a exclusão dos dados pela empresa contratada substituída, após a transferência destes e a confirmação da integridade e da disponibilidade dos dados recebidos; e) O acesso do INICIADOR às informações fornecidas pela empresa contratada; bem como as informações relativas às certificações e aos relatórios de auditoria especializada e informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados; f) A obrigação de a empresa contratada notificar o INICIADOR sobre a subcontratação de serviços relevantes para a Instituição; g) A permissão de acesso do BCB aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações; h) A adoção de medidas pelo INICIADOR, em decorrência de determinação do BCB; e i) A obrigação de a empresa contratada manter o INICIADOR permanentemente informado sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor. Em caso de decretação de regime de resolução do INICIADOR pelo BCB, o contrato de prestação de serviços deve prever: a) A obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, acordos, documentação e informações referentes aos serviços prestados, dados armazenados e informações sobre seus processamentos, cópias de segurança dos dados e das informações, bem como códigos de acesso, que estejam em poder da empresa contratada; e b) A obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços. A notificação deverá ocorrer com 30 dias de antecedência da data prevista para a interrupção dos serviços prestados e deverá determinar que (i) a empresa contratada se obriga a aceitar eventual pedido de prazo adicional de 30 dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; (ii) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência do INICIADOR. 17

9. ARQUIVAMENTO DE INFORMAÇÕES

O INICIADOR armazenará, em meio físico ou digital, pelo prazo de 5 (cinco) anos, as seguintes informações: a) Todas as versões das políticas de Segurança Cibernética aplicadas no período; b) Todos os Planos de Ação e de Resposta a Incidentes aplicados no período; c) Todos os relatórios anuais sobre a implementação do plano de ação e de resposta a incidentes apresentados no período; d) A documentação referente à contratação de serviços relevantes de processamento e armazenamento de dados e computação em nuvem, inclusive aquelas que contemplem o procedimento de verificação da capacidade do prestador de serviço exigidos; e) No caso de contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior, a documentação que comprove os requisitos exigidos; f) Os contratos referentes a prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, sendo contado o prazo do arquivamento a partir de sua extinção; g) Os dados, os registros e as informações relativas aos mecanismos de acompanhamento e controle para assegurar a implementação e a efetividade da presente política, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, sendo contado o prazo do arquivamento a partir de sua implementação; e h) A documentação referente a ocorrência de incidentes relevantes e interrupções dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados, que configurem situação de crise.

10. DISPOSIÇÕES GERAIS

Esta Política foi elaborada pela Área de Compliance e pelo Diretor responsável por esta política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes, e aprovada pela Alta Administração, e será revisada com a periodicidade mínima anual. Estando no momento em sua segunda versão. Os Colaboradores do INICIADOR, a ela devem aderir formalmente por meio de um termo em que se comprometem a agir de acordo com esta Política. 18 Os contratos celebrados com terceiros pelo INICIADOR e que tratem de Ativos de informação referentes a esta Política devem possuir cláusula que assegure a segurança das informações. A Política também poderá ser alterada, a qualquer momento, para contemplar quaisquer alterações regulatórias e outras obrigações legais. Esta Política está disponível em local acessível a todos Colaboradores, em linguagem clara e acessível. É possível acessá-la no site www.Iniciador.com.br/politicas-seguranca-cibernetica.

11. NORMAS APLICÁVEIS

Resolução BCB nº 85/2021: Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil. Manual de Segurança do Pix Versão 3.6: Este manual descreve os principais requisitos técnicos de segurança do ecossistema de pagamentos instantâneos (Pix), e tem como objetivo descrever como deve ser implementada a criptografia da comunicação, a autenticação, os processos de assinatura digital e de gestão dos certificados digitais utilizados no ecossistema, bem como os aspectos de segurança associados à iniciação de pagamentos por QR Codes dinâmicos. Os requisitos para implementação segura de aplicativos, APIs e sistemas relacionados ao Pix também constam neste manual, assim como os requisitos para manutenção de logs de auditoria. 19

1. APRESENTAÇÃO E OBJETIVO

O presente Regulamento do Canal de Denúncias faz parte das Políticas do INICIADOR INSTITUIÇÃO DE PAGAMENTO LTDA (“INICIADOR”) e tem como objetivo estabelecer diretrizes para o uso, gestão e tratamento de seu Canal de Denúncias, o qual é destinado à comunicação de quaisquer condutas consideradas irregulares, ilegais, antiéticas, fraudulentas ou que se encontrem em desacordo com os normativos internos, as normas regulatórias e a legislação. Ainda, este Regulamento é compatível com: a. O porte, o perfil de risco e o modelo de negócio do INICIADOR; b. A natureza das atividades do INICIADOR e a complexidade dos produtos e serviços oferecidos; e c. A sensibilidade dos dados e das informações sob responsabilidade do INICIADOR.

2. ABRANGÊNCIA Esta Política abrange todas as áreas do INICIADOR, a Alta Administração, Clientes, Colaboradores, Fornecedores, Usuários, Parceiros e demais terceiros

3. PRINCÍPIOS DO CANAL

O Canal atenderá aos seguintes princípios: a. Sigilo – Todas as informações fornecidas pelo denunciante, bem como sua identidade, serão tratadas com confidencialidade; b. Imparcialidade – A apuração das denúncias será conduzida de maneira técnica, objetiva e autônoma; c. Boa-fé – As denúncias devem ser realizadas com base em suspeitas razoáveis, não com o intuito de prejudicar terceiros; d. Ausência de Retaliação – O denunciante de boa-fé será protegido de qualquer forma de retaliação, represália ou constrangimento; e e. Rastreabilidade – Todas as etapas do tratamento da denúncia serão devidamente documentadas.

4. FUNCIONAMENTO DO CANAL

O Canal de Denúncias se dará por meio do endereço de e-mail denuncia@iniciador.com.br. Nossa equipe, através da área de Compliance, realizará o tratamento adequado das ocorrências encaminhadas pelo canal, por meio do(a): recebimento, registro, análise preliminar, classificação, tratamento, monitoramento, investigação, tomada de decisão e reporte das denúncias ao(s) órgão(s) competente(s), até o devido encerramento das ocorrências. As ocorrências e denúncias serão recebidas por profissionais capacitados e com autonomia necessária, sendo garantido o anonimato e sigilo das comunicações, bem como a preservação da integridade do denunciante.

5. COMUNICAÇÃO E TREINAMENTO

O INICIADOR promoverá treinamentos periódicos sobre o uso do Canal, bem como disponibilizará o presente Regulamento interna e externamente, em seu sítio eletrônico.

6. DISPOSIÇÕES GERAIS

A Área de Compliance é responsável pela revisão, alteração e atualização periódica deste Regulamento. É dever da Área de Compliance, manter em ambiente seguro, com controle de acesso, pelo prazo de, pelo menos, 5 (cinco) anos, os registros das denúncias e documentação correspondente, o que, também, ficará à disposição do Banco Central do Brasil.

7. NORMAS APLICÁVEIS

Resolução CMN n°. 4.859/20: Dispõe sobre a remessa de informações relativas aos integrantes do grupo de controle e aos administradores das instituições financeiras e das demais instituições autorizadas a funcionar pelo Banco Central do Brasil e sobre a disponibilização de canal para comunicação de indícios de ilicitude relacionados às atividades da instituição. As leis e normas acima são citadas de forma exemplificativa, e não esgotam toda a Legislação Aplicável às atividades do INICIADOR quanto ao Canal de Denúncia. As regras são citadas para o conhecimento dos Colaboradores, sendo a Área de Compliance responsável por verificar eventuais atualizações, revogações ou a publicação de novas normas. No caso de novas normas virem a demandar alterações a esta Política, o INICIADOR promoverá a sua revisão.

1. APRESENTAÇÃO E OBJETIVO

A presente Política de Responsabilidade Social, Ambiental e Climática (PRSAC) tem o objetivo de estabelecer as diretrizes, critérios e procedimentos de natureza social, ambiental e climática observados pelo INICIADOR INSTITUIÇÃO DE PAGAMENTO LTDA. (“INICIADOR”) na condução de seus negócios, atividades e processos, bem como na sua relação com clientes, usuários, comunidade interna, fornecedores, prestadores de serviços terceirizados e investidores, em atendimento à regulamentação do Bacen e às melhores práticas. Esta Política será compatível com: a. O porte, o perfil de risco e o modelo de negócio do INICIADOR; b. A natureza das atividades do INICIADOR e a complexidade dos produtos e serviços oferecidos; e c. A sensibilidade dos dados e das informações sob responsabilidade do INICIADOR.

2. TIPOS DE RISCO

2.1. Risco Social Considera-se como Risco Social aquele que traz possibilidade de ocorrência de perdas para a Instituição ocasionadas por eventos associados à violação de direitos e garantias fundamentais ou a atos lesivos ao interesse comum. Por sua vez, interesse comum é aquele associado a um grupo de pessoas ligadas jurídica ou factualmente pela mesma causa ou circunstância. Como exemplos de risco social, temos a ocorrência ou indícios da ocorrência de: a. Ato de assédio, de discriminação ou de preconceito com base em atributos pessoais, tais como etnia, raça, cor, condição socioeconômica, situação familiar, nacionalidade, idade, sexo, orientação sexual, identidade de gênero, religião, crença, deficiência, condição genética ou de saúde e posicionamento ideológico ou político; b. Prática relacionada ao trabalho em condições análogas à escravidão; c. Exploração irregular, ilegal ou criminosa do trabalho infantil; d. Prática relacionada ao tráfico de pessoas, à exploração sexual ou ao proveito criminoso da prostituição; e. Não observância da legislação previdenciária ou trabalhista, incluindo a legislação referente à saúde e segurança do trabalho; f. Ato irregular, ilegal ou criminoso que impacte negativamente povos ou comunidades tradicionais, entre eles indígenas e quilombolas, incluindo a invasão ou a exploração irregular, ilegal ou criminosa de suas terras; g. Ato lesivo ao patrimônio público, ao patrimônio histórico, ao patrimônio cultural ou à ordem urbanística; h. Prática irregular, ilegal ou criminosa associada a alimentos ou a produtos potencialmente danosos à sociedade, sujeitos a legislação ou regulamentação específica, entre eles agrotóxicos, substâncias capazes de causar dependência, materiais nucleares ou radioativos, armas de fogo e munições; i. Exploração irregular, ilegal ou criminosa dos recursos naturais, relativamente à violação de direito ou de garantia fundamental ou a ato lesivo a interesse comum, entre eles recursos hídricos, florestais, energéticos e minerais, incluindo, quando aplicável, a implantação e o desmonte das respectivas instalações; j. Tratamento irregular, ilegal ou criminoso de dados pessoais; k. Desastre ambiental resultante de intervenção humana, relativamente à violação de direito ou de garantia fundamental ou a ato lesivo a interesse comum, incluindo rompimento de barragem, acidente nuclear ou derramamento de produtos químicos ou resíduos nas águas; l. Alteração em legislação, em regulamentação ou na atuação de instâncias governamentais, associada a direito ou garantia fundamental ou a interesse comum, que impacte negativamente a instituição; e m. Ato ou atividade que, apesar de regular, legal e não criminoso, impacte negativamente a reputação da instituição, por ser considerado lesivo a interesse comum.

2.2. Risco Ambiental Risco Ambiental é definido como a possibilidade de ocorrência de perdas para a Instituição ocasionadas por eventos associados à degradação do meio ambiente, incluindo o uso excessivo de recursos naturais. Como exemplos deste tipo de risco temos a ocorrência ou indícios da ocorrência de: a. Conduta ou atividade irregular, ilegal ou criminosa contra a fauna ou a flora, incluindo desmatamento, provocação de incêndio em mata ou floresta, degradação de biomas ou da biodiversidade e prática associada a tráfico, crueldade, abuso ou maus-tratos contra animais; b. Poluição irregular, ilegal ou criminosa do ar, das águas ou do solo; c. Exploração irregular, ilegal ou criminosa dos recursos naturais, relativamente à degradação do meio ambiente, entre eles recursos hídricos, florestais, energéticos e minerais, incluindo, quando aplicável, a implantação e o desmonte das respectivas instalações; d. Descumprimento de condicionantes do licenciamento ambiental; e. Desastre ambiental resultante de intervenção humana, relativamente à degradação do meio ambiente, incluindo rompimento de barragem, acidente nuclear ou derramamento de produtos químicos ou resíduos no solo ou nas águas; f. Alteração em legislação, em regulamentação ou na atuação de instâncias governamentais, em decorrência de degradação do meio ambiente, que impacte negativamente a instituição; e g. Ato ou atividade que, apesar de regular, legal e não criminoso, impacte negativamente a reputação da instituição, em decorrência de degradação do meio ambiente.

2.3. Risco Climático Já o Risco Climático apresenta duas vertentes: Risco Climático de Transição, o qual apresenta a possibilidade de ocorrência de perdas para a Instituição ocasionadas por eventos associados ao processo de transição para uma economia de baixo carbono, em que a emissão de gases de efeito estufa é reduzida ou compensada e os mecanismos aturais de captura desses gases são preservadas. São exemplos de eventos: a. Alteração em legislação, em regulamentação ou em atuação de instâncias governamentais, associada à transição para uma economia de baixo carbono, que impacte negativamente a instituição; b. Inovação tecnológica associada à transição para uma economia de baixo carbono que impacte negativamente a instituição; c. Alteração na oferta ou na demanda de produtos e serviços, associada à transição para uma economia de baixo carbono, que impacte negativamente a instituição; e d. Percepção desfavorável dos clientes, do mercado financeiro ou da sociedade em geral que impacte negativamente a reputação da instituição relativamente ao seu grau de contribuição na transição para uma economia de baixo carbono. E Risco Climático Físico, o qual apresenta a possibilidade de perdas para a Instituição ocasionadas por eventos associados a intempéries frequentes e severas ou a alterações ambientais de longo prazo, que possam ser relacionadas a mudanças em padrões climáticos. São exemplos de eventos: a. Condição climática extrema, incluindo seca, inundação, enchente, tempestade, ciclone, geada e incêndio florestal; e b. Alteração ambiental permanente, incluindo aumento do nível do mar, escassez de recursos naturais, desertificação e mudança em padrão pluvial ou de temperatura.

3. ATRIBUIÇÕES E RESPONSABILIDADES

A governança corporativa do INICIADOR está respaldada nas melhores práticas de mercado. Dentre as práticas que envolvem os temas social, ambiental e climático, destacamos (i) a formalização de processos e a adoção de políticas e procedimentos, respeitando as leis e normas vigentes; (ii) o constante aprimoramento e disseminação da cultura de sustentabilidade e responsabilidade social, ambiental e climática; (iii) o mapeamento constante de tais riscos. Fica responsável pela presente política o Diretor de Riscos (CRO) do Iniciador, o qual, desde que inexistentes conflitos de interesse, poderá desempenhar outras funções na Instituição. São, ainda, suas atribuições e responsabilidades: a. Prestar subsídio e participar no processo de tomada de decisões relacionadas ao estabelecimento e à revisão da PRSAC, auxiliando a Alta Administração; b. Implementar ações com vistas à efetividade da presente política; c. Monitorar e avaliar as ações implementadas; d. Aperfeiçoar as ações implementadas, quando identificadas eventuais deficiências; e e. Divulgar adequada e fidedignamente as informações ao público externo. Caberá à Alta Administração: a. Propor recomendações sobre o estabelecimento e a revisão da presente política, mantendo seu registro; b. Avaliar o grau de aderência das ações implementadas e, quando necessário, propor recomendações de aperfeiçoamento, mantendo seu registro; c. Com auxílio do CRO, aprovar e revisar a presente política; d. Assegurar a aderência da Instituição à PRSAC e às ações com vistas à sua efetividade; e. Assegurar a compatibilidade e a integração desta PRSAC às demais políticas do INICIADOR; f. Assegurar a correção tempestiva de deficiências relacionadas à PRSAC; g. Assegurar que a estrutura remuneratória adotada pela Instituição não incentive comportamentos incompatíveis com a PRSAC; h. Promover a disseminação interna da PRSAC e das ações com vistas à sua efetividade; e i. Conduzir suas atividades em conformidade com a presente política e com as ações implementadas com vistas à sua efetividade.

4. PRINCÍPIOS Tendo em vista atuar sempre em atendimento às suas responsabilidades sociais, ambientais e climáticas, o INICIADOR fixa os seguintes princípios: a. Transparência – Comunicação das atividades e decisões de forma clara, precisa, tempestiva e completa, respondendo pelos seus impactos na sociedade, clima e meio ambiente; b. Ética – Tem como base os valores de honestidade, integridade e equidade, perante a sociedade e a natureza; c. Atenção aos Direitos Humanos – Respeito e reconhecimento da importância dos direitos humanos a fim de que as atividades a ações da Instituição não os atinjam ou os agridam, direta ou indiretamente; d. Promoção da Educação; e. Promoção da Diversidade; e f. Accountability - Responsabilização pelos atos e decisões e seus respectivos impactos causados na sociedade, na economia e no meio ambiente, devendo haver prestação de contras e a aplicação das medidas de reparação cabíveis.

5. DIRETRIZES Para o presente Plano, fixam-se as seguintes diretrizes: a. Incentivo à criação de produtos e serviços que possuam impactos positivos na sociedade; b. Monitoramento a fim de que não sejam estabelecidas relações com possíveis clientes, parceiros, colaboradores ou fornecedores comprovadamente envolvidos em práticas relacionadas: (i) ao trabalho em condições análogas à escravidão; (ii) à exploração de trabalho infantil; (iii) ao tráfico de pessoas ou exploração sexual; c. Combate a qualquer discriminação em relação à raça, gênero, cor, deficiência, orientação sexual, orientação política, religião, idade, entre outros aspectos discriminatórios; d. A incorporação das variáveis social, ambiental e climática na análise e gerenciamento de riscos da Instituição; e. A adoção de medidas anticorrupção, detalhadas no Código de Ética e Conduta; f. A adoção de medidas contra a lavagem de dinheiro e o terrorismo, detalhadas na Política de PLD/FT; g. A adoção de medidas que promovam impactos positivos sobre o meio ambiente, visando a sua preservação e recuperação; h. Viabilização do trabalho híbrido, a fim de reduzir a pegada ambiental das suas atividades diretas; i. Cumprir com as normas ambientais aplicáveis às atividades da Instituição j. Priorizar ações, produtos e serviços que possuam contribuições positivas para a agenda ambiental e climática.

6. GERENCIAMENTO DE RISCO

O INICIADOR possui Estrutura de Gerenciamento de Riscos, devidamente estabelecida na Política de Gerenciamento de Riscos da Instituição, a qual prevê uma atuação compartilhada para a gestão de cada tipo de risco. Assim, o gerenciamento dos riscos social, ambiental e climático é realizado de forma integrada aos demais riscos, de forma a identificar, mensurar, avaliar, monitorar, reportar, controlar e mitigar sua ocorrência através das três linhas de defesa, visando sustentar o desenvolvimento adequado das atividades. Ainda, o INICIADOR realiza o monitoramento dos riscos SAC incorridos em decorrência de seus produtos, serviços, atividades e processos, bem como das atividades desempenhadas por contrapartes, fornecedores e prestadores de serviços terceirizados da Instituição. Os riscos são identificados, avaliados, classificados e mensurados separadamente, com base em critérios e informações obtidas de forma consistente e passíveis de verificação. Serão previstos, ainda, caso existentes: a. O registro de dados relevantes, incluindo, quando disponíveis, aqueles referentes às perdas incorridas pela Instituição, contendo o detalhamento de valores, natureza do evento, região geográfica e setor econômico associado à exposição; b. A identificação tempestiva de mudanças políticas, legais, regulamentares, tecnológicas ou de mercado, incluindo alterações significativas nas preferências de consumo, que possam impactar de maneira relevantes os riscos SAC incorridos pela Instituição, com como os procedimentos para a mitigação desses impactos; c. O monitoramento de concentrações de exposições a setores econômicos ou a regiões geográficas, definidas com base em critérios consistentes e passíveis de verificação, mais suscetíveis de sofrer ou de causar danos sociais, ambientais ou climáticos, e, quando apropriado, estabelecimento de limites para essas exposições; d. A identificação tempestiva de percepção negativa de clientes, do mercado financeiro e da sociedade em geral sobre a reputação da Instituição, quando essa percepção possa impactar de maneira relevante o risco SAC por ela incorrido; e e. A realização de análise de cenários, no âmbito do programa de testes de estresse, que considerem hipóteses de mudanças em padrões climáticos e de transição para uma economia de baixo carbono.

7. DIVULGAÇÃO DE INFORMAÇÕES

A presente política, bem como as ações que sejam implementadas com vistas à sua efetividade, serão divulgadas no endereço eletrônico do INICIADOR.

8. DISPOSIÇÕES FINAIS

A PRSAC será revisada, no mínimo, a cada três anos, ou quando da ocorrência de eventos considerados relevantes pela Instituição e ficará à disposição do Banco Central do Brasil. Todo colaborador que identificar situações de não conformidade com a PRSAC e souber de informações ou situações em andamento, que possam de alguma forma afetar os interesses ou expor o INICIADOR aos riscos apontados nesta Política, deverá informar de imediato seu superior de área, o CRO, e a Área de Compliance para que sejam tomadas as providências cabíveis. O cumprimento da política será monitorado pela área de Riscos e pela área de Compliance, e para aqueles que não cumprirem as diretrizes e responsabilidades desta política serão aplicadas as medidas disciplinares cabíveis, sujeitando ainda o Colaborador, conforme o caso, a penalidades administrativas, cíveis e trabalhistas. O Colaborador que deliberadamente deixar de notificar violações a esta política ou omitir informações relevantes também estará sujeito às medidas disciplinares aqui mencionadas. Tendo em vista a Classificação do INICIADOR como participante do Segmento S5 - Instituições e Conglomerados não Bancários com Perfil de Risco Simplificado, fica dispensada a remessa de informações ao BCB relativas aos riscos social, ambiental e climático estabelecida na IN BCB n°. 222/2021.

9. NORMAS APLICÁVEIS

Resolução BCB n° 265/2022: Dispõe sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações de instituição classificada como Tipo 3 enquadrada no Segmento 2 – S2, Segmento 3 – S3 ou Segmento 4 – S4. Resolução BCB n° 331/2023: Dispõe sobre a Política de Responsabilidade Social, Ambiental e Climática – PRSAC a ser estabelecida por instituição classificada como Tipo 3 e sobre as ações com vistas à sua efetividade. As leis e normas acima são citadas de forma exemplificativa, e não esgotam toda a Legislação Aplicável às atividades do INICIADOR quanto ao gerenciamento de riscos SAC. As regras são citadas para o conhecimento dos Colaboradores, sendo a Área de Compliance responsável por verificar eventuais atualizações, revogações ou a publicação de novas normas. No caso de novas normas virem a demandar alterações a esta Política, o INICIADOR promoverá a sua revisão.

1. APRESENTAÇÃO E OBJETIVO

O presente Regulamento da Ouvidoria faz parte das Políticas do INICIADOR INSTITUIÇÃO DE PAGAMENTO LTDA (“INICIADOR”) e tem como objetivo estabelecer diretrizes para o componente organizacional da ouvidoria da Instituição. Ainda, este Regulamento é compatível com: a. O porte, o perfil de risco e o modelo de negócio do INICIADOR; b. A natureza das atividades do INICIADOR e a complexidade dos produtos e serviços oferecidos; e c. A sensibilidade dos dados e das informações sob responsabilidade do INICIADOR.

2. ESTRUTURA A ouvidoria tem como finalidade atender, em última instância, as demandas dos clientes que não tiverem sido solucionadas nos canais de atendimento primário, bem como atuar como um canal de comunicação com estes, inclusive na mediação de conflitos. Assim, a ouvidoria do INICIADOR visa escutar todos os clientes e usuários que busquem qualquer tipo de atendimento, seja por não estarem satisfeitos, seja para registrar solicitações, sugestões, denúncias ou elogios, buscando sempre a melhor experiência do cliente.

2.1. Atendimento ao Cliente O INICIADOR disponibiliza um time certificado e capacitado para realizar o atendimento e direcionamento das manifestações, em todos os nossos canais. A Ouvidoria é responsável pelo tratamento de demandas em seus canais oficiais, como telefone e e-mail, assim como de plataformas externas de mediação de conflito, como o RDR (Registros de Demandas do Cidadão através do sistema do Banco Central do Brasil), Consumidor.gov.br (serviço público de interlocução entre consumidor e empresa) e Procon (serviço público cuja missão é harmonizar e equilibrar relações entre consumidores e fornecedores).

2.2. Canais de Atendimento A ouvidoria se encontra disponível pelos seguintes canais de atendimento: a. E-mail: ouvidoria@iniciador.com.br b. Telefone: 0800 828 1100 (Atendimento das 9h às 18h em dias úteis) Para acessar a Ouvidoria do INICIADOR, o cliente precisa apenas do número de seu CPF/CNPJ, que deverá ser informado no respectivo atendimento. Além disso, o cliente elegível que contatar a Ouvidoria nos horários fora do expediente, feriados ou fins de semana, tem a opção de deixar seus dados registrados no SAC para que a Ouvidoria possa contatá-lo no dia útil seguinte.

3. FUNCIONAMENTO

A ouvidoria é responsável por atender, registrar, instruir, analisar e dar tratamento formal adequado às demandas recebidas através de seus canais de atendimento. Recebida a demanda, será aberto número de protocolo, o qual será fornecido ao cliente, acompanhado de esclarecimentos iniciais ou a requisição de informações, sempre no prazo de até 3 (três) dias úteis. A resposta conclusiva da demanda se dará dentro do prazo de 10 (dez) dias úteis. Todo o processo será gravado, quando realizado por telefone, e arquivado, quando por meio eletrônico.

4. COMUNICAÇÃO E TREINAMENTO

O INICIADOR promoverá treinamentos periódicos sobre o uso do Canal, bem como disponibilizará o presente Regulamento interna e externamente, em seu sítio eletrônico.

5. DISPOSIÇÕES GERAIS

A Área de Compliance é responsável pela revisão, alteração e atualização periódica deste Regulamento. É dever da Área de Compliance, manter em ambiente seguro, com controle de acesso, pelo prazo de, pelo menos, 5 (cinco) anos, contados da protocolização da ocorrência, os registros das demandas e documentação correspondente, o que, também, ficará à disposição do Banco Central do Brasil.

6. NORMAS APLICÁVEIS

Resolução BCB N°. 28/2020: Dispõe sobre a constituição e o funcionamento de componente organizacional de ouvidoria pelas instituições de pagamento, pelas administradoras de consórcio, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil. As leis e normas acima são citadas de forma exemplificativa, e não esgotam toda a Legislação Aplicável às atividades do INICIADOR quanto à ouvidoria. As regras são citadas para o conhecimento dos Colaboradores, sendo a Área de Compliance responsável por verificar eventuais atualizações, revogações ou a publicação de novas normas. No caso de novas normas virem a demandar alterações a esta Política, o INICIADOR promoverá a sua revisão.