Código de Conduta

A Paybyrd recebe algo simples e valioso — dinheiro de terceiros, em movimento. Este Código descreve os padrões que todos os colaboradores, prestadores, dirigentes e administradores da Paybyrd devem cumprir, qualquer que seja a sua função ou o seu local de trabalho.

Não é uma lista de regras por si só. Reflecte o comportamento que devemos aos comerciantes que integram connosco, aos titulares de cartão e consumidores cujos dados passam pelos nossos sistemas, aos reguladores e proprietários dos esquemas a quem respondemos, e uns aos outros. Se alguma decisão do dia-a-dia colidir com este Código, prevalece o Código.

Este Código acompanha os Termos e Condições do Comerciante e a Política de Privacidade da Paybyrd. Quando uma política específica for mais exigente — por exemplo, os requisitos PCI DSS para dados de titular de cartão — prevalece a política específica.

Cinco princípios orientam todas as decisões que tomamos:

• Comerciante em primeiro lugar. O nosso produto existe para facilitar a vida dos comerciantes e fortalecer os seus negócios. Se uma decisão ajudar a Paybyrd à custa do comerciante, é a decisão errada.
• Integridade em cada transacção. Somos honestos nos preços, precisos no reporte e claros quanto ao que podemos e não podemos fazer. Não prometemos o que não podemos entregar.
• Segurança por omissão. Dados de titulares de cartão e dos comerciantes são tratados como radioactivos. O acesso é estritamente necessário; a encriptação e os registos estão sempre activos.
• Relação transparente. Taxas, contratos, políticas e estado do sistema são públicos, não escondidos. As alterações são anunciadas, nunca surpresa.
• Responsabilização. Os erros são assumidos, documentados e corrigidos. Os quase-incidentes são partilhados, não enterrados. Todos os trimestres, a equipa de liderança revê a aplicação deste Código.

A Paybyrd opera sob a supervisão de reguladores de serviços financeiros nos mercados onde actua. A conformidade não é um departamento — é uma restrição operacional que molda o que construímos e como nos comportamos.

Espera-se que todos os colaboradores e prestadores da Paybyrd conheçam, a um nível prático, as obrigações relevantes para a sua função, incluindo:

• Directiva de Serviços de Pagamento (PSD2) e regimes posteriores — autenticação forte do cliente, interfaces de open banking, prazos de disputas.
• PCI DSS Nível 1 — a Payment Card Industry Data Security Standard, que regula como os dados do titular de cartão são armazenados, processados e transmitidos nos nossos sistemas.
• RGPD (UE) 2016/679 e a legislação nacional equivalente — bases legais de tratamento, direitos dos titulares, notificação de violações, salvaguardas para transferências internacionais.
• Prevenção do Branqueamento de Capitais e do Financiamento do Terrorismo — Lei n.º 83/2017 (PT) e regimes equivalentes em toda a UE.
• Regras dos esquemas publicadas pela Visa, Mastercard, American Express, Discover e outras redes de cartões, conforme actualizadas periodicamente.
• Regimes de sanções — OFAC (EUA), lista consolidada de sanções da UE, HMT do Reino Unido e resoluções do Conselho de Segurança das Nações Unidas.

Sempre que um colaborador da Paybyrd tenha conhecimento de uma violação efectiva ou suspeita destas obrigações, deve notificar imediatamente a equipa de Compliance em compliance@paybyrd.com. Não escalar é, em si mesmo, uma violação deste Código.

Os comerciantes escolhem a Paybyrd porque acreditam que seremos justos. Honramos essa confiança de cinco formas concretas:

• Preços honestos. Publicamos as nossas taxas. Não introduzimos custos ocultos, agravamentos-surpresa nem ajustes inexplicados nas liquidações. Quando as taxas mudam, os comerciantes são notificados por escrito com, pelo menos, 30 dias de antecedência.
• Contratos claros. Os Termos e Condições do Comerciante são escritos para serem lidos, não para esconder comportamento. As alterações materiais seguem o procedimento de aviso previsto nos Termos.
• Disputas são resolvidas, não ignoradas. Chargebacks, incidentes técnicos e divergências de facturação são investigados de boa-fé e respondidos nos prazos publicados no nosso Acordo de Nível de Serviço.
• Os dados servem o serviço. Os dados dos comerciantes são usados para prestar o serviço, cumprir obrigações legais e (com consentimento) melhorar o produto. Nunca são vendidos.
• Interfaces para o cliente são respeitosas. Cada checkout, link de pagamento, fluxo de terminal ou mensagem de chat que a Paybyrd toca transporta o mesmo padrão de honestidade e clareza que exigimos de nós próprios.

A Paybyrd tem tolerância zero para suborno e corrupção, seja qual for a forma, em qualquer jurisdição, independentemente de a prática local parecer tolerá-la.

Os colaboradores e prestadores da Paybyrd não podem, directa ou indirectamente:

• oferecer, prometer, dar, solicitar, concordar em receber ou aceitar qualquer vantagem financeira ou de outro tipo com o objectivo de induzir ou recompensar comportamento impróprio;
• efectuar ou aceitar pagamentos de facilitação — pequenas verbas não oficiais para acelerar acção governamental rotineira — mesmo quando tais pagamentos sejam informalmente tolerados a nível local;
• fazer contribuições políticas em nome da Paybyrd sem autorização prévia escrita do CEO e do CFO.

Ofertas e hospitalidade. O entretenimento empresarial razoável faz parte da vida comercial normal. Torna-se inaceitável quando é excessivo, secreto ou cria um sentido de obrigação. Qualquer oferta ou hospitalidade com valor superior a 150 € por pessoa por ano (agregado, por contraparte) deve ser comunicada à equipa de Compliance antes de ser aceite ou oferecida.

A Paybyrd reporta preocupações de suborno e corrupção através dos canais descritos na secção 10 (Falar abertamente). Retaliação contra uma denúncia de boa-fé é, em si mesma, uma violação deste Código.

Um conflito de interesses é qualquer situação em que um interesse privado possa comprometer, ou pareça comprometer, a isenção que devemos à Paybyrd ou aos seus comerciantes. Gerimos conflitos divulgando-os cedo e afastando-nos de decisões quando necessário.

Os colaboradores e prestadores da Paybyrd devem comunicar por escrito ao seu responsável e à equipa de Pessoas:

• qualquer participação social, cargo de administração ou consultoria remunerada num concorrente, comerciante, parceiro, fornecedor, proprietário de esquema ou acquirer;
• relações próximas familiares ou pessoais com qualquer pessoa que trabalhe em qualquer das entidades acima;
• outro trabalho remunerado que se sobreponha à actividade da Paybyrd ou consuma tempo que afecte materialmente as responsabilidades na Paybyrd;
• qualquer interesse financeiro pessoal — directo ou indirecto — numa transacção que a Paybyrd esteja a considerar celebrar.

Conflitos comunicados são geridos, não automaticamente proibidos. O que nunca é aceitável é um conflito ocultado.

Informação confidencial — dados comerciais de comerciantes, preços, pipelines, roadmaps de produto, PAN/CHD de clientes, segredos de autenticação — é tratada estritamente na base da necessidade de conhecer, apenas em sistemas autorizados, e apenas para os fins para que foi recolhida.

Obrigações específicas que cada colaborador da Paybyrd deve cumprir:

• Nunca armazenar, transmitir ou processar dados de PAN fora do ambiente abrangido pelo PCI DSS. Em caso de dúvida, consultar a Engenharia de Segurança antes de tocar nos dados.
• Encriptar dados em repouso e em trânsito. Desactivar TLS 1.1 e anteriores. Rotacionar segredos e chaves de acesso na cadência publicada.
• Utilizar equipamentos fornecidos pela Paybyrd para trabalho da Paybyrd. Não enviar dados confidenciais por email para contas pessoais nem copiá-los para drives de nuvem não aprovadas.
• Reportar qualquer suspeita de incidente de segurança — tentativa de phishing, equipamento perdido, comportamento inesperado do sistema, notificação de violação de um fornecedor — à equipa de Segurança no prazo de uma hora após tomar conhecimento. Não investigar por conta própria.
• Respeitar os direitos dos titulares de dados ao abrigo do RGPD. Pedidos de acesso, rectificação, apagamento e portabilidade são encaminhados para o Encarregado de Protecção de Dados em dpo@paybyrd.com.

O acesso a sistemas de produção é registado. Os registos são revistos. Acessos invulgares são investigados.

A Paybyrd concorre pelo mérito — preço, fiabilidade, segurança, serviço, velocidade de integração — e por nada mais.

• Sem acordos anticoncorrenciais. Não combinamos, tácita ou expressamente, com concorrentes sobre preços, alocação de clientes, divisão de mercados ou manipulação de concursos.
• Sem abuso de posição dominante. Onde a Paybyrd é forte num determinado corredor ou vertical, essa força não é usada para afastar comerciantes ou parceiros de alternativas.
• Respeito pela propriedade intelectual. A Paybyrd assenta em código open-source e licenciado de forma responsável, honrando as obrigações de licença. Não nos apropriamos indevidamente de segredos comerciais, documentação técnica ou listas de comerciantes de concorrentes.
• Marketing verdadeiro. As afirmações públicas sobre desempenho, poupanças ou disponibilidade baseiam-se em dados verificáveis. Afirmações comparativas sobre concorrentes são verificadas antes da publicação e revistas mediante pedido.
• Sem manipulação de mercado. Colaboradores com acesso a informação não pública sobre a Paybyrd, os seus investidores ou comerciantes não transaccionam com base nessa informação, não a transmitem e não a discutem fora do círculo mínimo necessário.

A Paybyrd exige que cada pessoa seja tratada com respeito, independentemente do cargo, senioridade, origem, identidade ou crença. Assédio, bullying e discriminação não têm lugar nos nossos escritórios, espaços remotos, reuniões com clientes, eventos ou canais digitais.

• Não discriminação. Decisões sobre contratação, remuneração, promoção e atribuição de funções baseiam-se em competência, contributo e aderência — nunca em raça, cor, origem étnica ou nacional, sexo, identidade ou expressão de género, orientação sexual, religião, idade, deficiência, estado civil ou familiar, ou qualquer outra característica protegida.
• Sem assédio. Assédio inclui comportamento indesejado de natureza sexual, verbal ou físico, bem como qualquer comportamento hostil ou intimidatório que crie um ambiente abusivo. Não se torna aceitável por o contexto ser social ou fora do horário de trabalho.
• Saúde e segurança. Os espaços físicos e os arranjos de trabalho remoto são desenhados para serem seguros. Questões de segurança são levantadas de imediato; não ficam no fundo do backlog.
• Consumos. Colaboradores não se apresentam ao trabalho — incluindo em videochamadas — sob efeito de álcool ou drogas que afecte o discernimento ou a segurança.
• Conduta social e com clientes. O comportamento em encontros Paybyrd, eventos do sector e jantares com clientes está sujeito ao mesmo padrão que o comportamento no escritório.

Um Código só é tão forte quanto a vontade das pessoas nele abrangidas de falar quando é quebrado. A Paybyrd protege e incentiva denúncias de boa-fé.

Onde reportar. Preocupações sobre violações efectivas ou suspeitas deste Código, da lei ou de política interna podem ser levantadas através de qualquer dos seguintes canais, em ordem crescente de independência:

• o seu responsável directo ou o nível acima;
• a equipa de Pessoas em people@paybyrd.com;
• a equipa de Compliance em compliance@paybyrd.com;
• o Encarregado de Protecção de Dados em dpo@paybyrd.com para preocupações relacionadas com dados;
• a caixa de correio confidencial de denúncias speakup@paybyrd.com, lida apenas pelo Comité de Auditoria e pelo DPO.

Não retaliação. A Paybyrd não tolerará retaliação — despedimento, despromoção, exclusão, ameaça ou qualquer outra acção adversa — contra quem levante uma preocupação de boa-fé, participe numa investigação ou se recuse a participar em acto suspeito. A retaliação é, em si mesma, uma infracção disciplinar.

Anonimato. As denúncias podem ser feitas anonimamente. Denúncias anónimas são investigadas com a mesma seriedade que as identificadas, sujeitas aos limites práticos de agir sobre informação que não pode ser verificada junto do denunciante.

Direitos externos preservados. Nada neste Código impede um colaborador da Paybyrd de reportar suspeitas de comportamento ilegal a um regulador, autoridade policial ou ao Huis voor Klokkenluiders (Autoridade de Denunciantes holandesa) — ou, em Portugal, à Entidade Reguladora para a Comunicação Social, CNPD ou autoridade competente consoante a matéria.

A Paybyrd não faz negócios com pessoas, entidades ou jurisdições sob sanções, e as pessoas, produtos e comerciantes que ligamos à nossa rede são avaliados nessa base.

• Screening. Todo o comerciante, principal e contraparte é verificado contra as listas OFAC, consolidada da UE, HMT do Reino Unido e da ONU na integração e de forma contínua. Correspondências são escaladas para a equipa de Compliance e apuradas ou rejeitadas antes de o serviço prosseguir.
• Jurisdições proibidas. A Paybyrd não facilita conscientemente pagamentos de ou para jurisdições sujeitas a sanções abrangentes (Cuba, Irão, Coreia do Norte, Síria e as regiões não controladas pelo governo da Crimeia, Donetsk, Kherson, Luhansk e Zaporizhzhia), e restringe a actividade em jurisdições parcialmente sancionadas em linha com o regime aplicável.
• Padrões de fornecedor. Todo o fornecedor ou parceiro com acesso a sistemas, dados de comerciantes ou dados de titulares de cartão da Paybyrd está sujeito a due diligence, a um contrato escrito com cláusulas de protecção de dados e segurança, e a uma cadência de revisão proporcional ao seu perfil de risco. Os fornecedores de serviços materiais estão identificados nos Termos e Condições da Paybyrd.
• Supervisão de outsourcing. Quando a Paybyrd subcontrata um serviço, a responsabilidade pelo resultado permanece na Paybyrd. O trabalho subcontratado é monitorizado segundo os mesmos padrões que a Paybyrd mantém para si própria.

Este Código é supervisionado pela equipa de Compliance da Paybyrd, com padrinho ao nível do conselho de administração. O CEO e o Chief Compliance Officer são conjuntamente responsáveis por garantir que é aplicado na prática.

Formação. Todos os colaboradores da Paybyrd concluem formação inicial sobre este Código durante o onboarding e formação anual de reciclagem a seguir. Formação específica por função (PCI DSS, AML/CFT, sanções) acresce a — não substitui — esta base.

Consequências de violações. As violações deste Código são tratadas através do processo disciplinar da Paybyrd, proporcional à gravidade e ao contexto. As consequências vão desde planos de remediação até à cessação de contrato. Certas violações — incluindo suborno, roubo de dados, assédio grave e violações de listas de sanções — são motivo para cessação imediata e podem ser reportadas a autoridades policiais ou reguladoras.

Revisão anual. Este Código é revisto pelo menos uma vez por ano pela equipa de Compliance, e actualizado à medida que a regulação, as regras dos esquemas e o nosso próprio negócio evoluem. Alterações materiais são comunicadas a todos os colaboradores e publicadas em paybyrd.com/pt/code-of-conduct.

Questões. Qualquer colaborador, comerciante, parceiro ou membro do público que tenha uma questão sobre este Código, uma preocupação a levantar ou uma situação sobre a qual tenha dúvidas pode escrever para compliance@paybyrd.com. A equipa de Compliance compromete-se a responder substantivamente no prazo de cinco dias úteis.