Lei Geral de Proteção de Dados Pessoais

Este Manual se aplica a todos aqueles que possuam cargo, função, posição, relação societária, empregatícia, comercial, profissional, contratual ou de confiança com a GV8 Capital, os quais devem conhecer integralmente as disposições deste Manual, aderindo a ele expressamente e por escrito.

A GV8 Capital se compromete a atualizar este Manual, sempre que necessário, por obrigação legal ou estrutural, disponibilizando em seu website ( www.gv8capital.com.br ), juntamente com os seguintes documentos: (i) Termo de Uso; (ii) Política de Privacidade; e (iii) Termo de Consentimento. A coordenação direta das atividades relacionadas a este Manual é uma atribuição do Diretor de Compliance e DPO da GV8 Capital “Ivo Silva”.

O presente Manual tem vigência a partir desta data, e vigorará por prazo indeterminado.

Os Colaboradores pautaram suas atividades nos princípios da boa-fé, lealdade, transparência, diligência e veracidade, fundamentaram este Manual, conforme os princípios do Art. 6 da LGPD: Art. 6º As atividades de tratamento de dados pessoais deverão observar os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A GV8 Capital atribui ao diretor de Compliance e DPO, Ivo Silva, a responsabilidade pelo acompanhamento e atualização deste Manual, relativas às políticas externas, (Normas, Leis e Regulamentos) relacionadas a proteção de dados, bem como, a responsabilidade pelo cumprimento das regras, pelos Colaboradores, Representantes e Prestadores de Serviços da GV8 Capital. O Diretor Responsável, além de responder pela área de compliance, também é o responsável pelos dados transitados pela empresa, e responde perante a ANPD – Autoridade Nacional de Proteção de Dados, MP – Ministério Público, Delegacia do Consumidor, demais órgãos correlatos e aos Titulares dos dados. Participou efetivamente na elaboração das diretrizes e regras pertinentes à gestão de segurança e risco da GV8 Capital . São obrigações do Diretor de Compliance e DPO, sem prejuízo das demais obrigações mencionadas ao longo deste Manual: ❖ Acompanhar as políticas descritas neste Manual; ❖ Solucionar ou buscar a melhor solução possível, a quaisquer pedidos de autorização, orientação ou esclarecimento, bem como nos casos de ocorrências, suspeita ou indício de prática que não esteja de acordo com as disposições deste Manual e das demais normas aplicáveis à atividade da GV8 Capital. Atender a todos os Colaboradores, Titulares de Dados, Representantes e/ou Prestadores de Serviços. ❖ Identificar possíveis condutas contrárias a este Manual. ❖ Promover a ampla divulgação e aplicação dos preceitos éticos no desenvolvimento das atividades de todos os Colaboradores, inclusive por meio de treinamentos. ❖ Apreciar todos os casos que cheguem ao seu conhecimento sobre o descumprimento dos preceitos éticos e de compliance previstos neste Manual e apreciar e analisar situações não previstas. ❖ Garantir o sigilo de eventuais denunciantes de delitos ou infrações, mesmo quando estes não solicitarem, exceto nos casos de necessidade de testemunho judicial. ❖ Solicitar sempre que necessário, para a análise de suas questões, o apoio de assessores profissionais. ❖ Tratar todos os assuntos que chegarem ao seu conhecimento dentro do mais absoluto sigilo e preservando os interesses e a imagem institucional e corporativa da GV8 Capital, como também dos Colaboradores e Clientes envolvidos. ❖ Aplicar aos Colaboradores, os treinamentos previstos neste Manual. ❖ Encaminhar aos sócios e/ou diretores da GV8 Capital, até o último dia útil do mês de abril de cada ano, relatório relativo ao ano civil imediatamente anterior à data de entrega, contendo: (a) as conclusões dos problemas levantados; (b) as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronogramas de saneamento, quando for o caso; e (c) as manifestações dos diretores responsáveis por eventuais perdas, pelas respectivas áreas, a respeito das deficiências encontradas em verificações anteriores e das medidas planejadas, de acordo com o cronograma específico, ou efetivamente adotadas para saná-las; devendo o referido relatório, permanecer disponível aos Diretores da GV8 Capital. ❖ O Diretor de Compliance/DPO poderá, eventualmente, e conforme o caso, adotar, também, as seguintesrotinas: (a) Checagem esporádica do conteúdo de arquivos dos Colaboradores, nos termos deste Manual; e (b) Emitir Parecer, solicitando sanções administrativas, quando comprovada a má fé pelo colaborador, representante ou prestador de serviço, previstas neste Manual, justificando e fundamentando tal pedido. Todo e qualquer Colaborador que souber de informações ou situações em andamento, que possam afetar os interesses da GV8 Capital, gerar conflitos ou, ainda, se revelarem contrárias aos termos previstos neste Manual, deverá informar ao Diretor de Compliance/DPO, através do e-mail: compliance@gv8capital.com.br, para que sejam tomadas as providências cabíveis

A GV8 Capital instituiu o Comitê de Compliance, composto por representantes das seguintes áreas: ( Compliance, RH, Comercial, TI e Financeiro), com o objetivo de zelar pelo cumprimento deste Manual e assegurar a compreensão e a disseminação dos valores que orientam a GV8 Capital . O Comitê deve se reunir sempre que necessário, podendo a reunião ser convocada por qualquer dos representantes, cabendo a cada um, o direito a um voto.

Conflitos de Interesse O conflito de interesse ocorre quando os Colaboradores utilizam sua influência ou cometem atos com o intuito de beneficiar interesses particulares e/ou de terceiros em detrimento de outrem. Sempre que ocorrerem situações em que se observe um potencial conflito de interesse, o Colaborador deverá estar atento para evitar que tal conflito se materialize e/ou entrar em contato com o superior hierárquico, para resolução de eventual conflito de interesse.

Em atenção às regras de sigilo, os aspectos morais e éticos devem ser observados, de forma que os Colaboradores não se utilizem de informações confidenciais e/ou privilegiadas, bem como aquelas não públicas, para benefício próprio e/ou de terceiros.

Os Colaboradores obrigam-se a: I - Desempenhar suas atribuições, de modo a atender aos objetivos determinados neste Manual, que tem por finalidade, atender as exigências estabelecidas na LGPD; II - Zelar pelos interesses dos clientes no tocante a: Segurança, Sigilo, Transparência, Disponibilidade e Atualização dos dados que lhe forem confiados ou que tenha acesso; III - Empregar, no exercício de sua atividade, o cuidado e a diligência que todo homem ativo e probo costuma ter, atuando com lealdade em relação aos interesses estabelecidos pela GV8 Capital, neste Manual. IV - Cumprir fielmente todos os tramites previstos neste manual; V - Evitar práticas que possam ferir a relação comercial mantida entre clientes e a GV8 Capital; VI - Preservar elevados padrões éticos de conduta nas negociações realizadas no mercado de meios de pagamentos, que envolvam dados pessoais de clientes da GV8 Capital; VII - Evitar a utilização de procedimentos que possam vir a configurar criação de condições artificiais de mercado, manipulação de informações, realização de operações fraudulentas e uso de prática não-equitativa ou ilegal; VIII - Manter atualizada, em perfeita ordem e à disposição dos clientes da GV8 Capital, toda a documentação relativa às operações realizadas sob sua gestão; IX – Prestar as informações que lhes forem solicitadas pelos clientes, de forma clara, precisa e transparente, pertinentes as transações realizadas e/ou dados tratados pela GV8 Capital ; X - Quando aplicável, orientar os clientes da GV8 Capital sobre possíveis problemas que os mesmos possam evitar; e XI - Não manifestar opinião que possa denegrir ou prejudicar a imagem de Clientes e da GV8 Capital.

A PPLD observa a legislação brasileira a respeito de prevenção à lavagem de dinheiro, Lei nº 9.613/98, além de normas e regulamentos editados pelo Bacen - Banco Central do Brasil e Coaf- Conselho de Controle de Atividades Financeiras. A presente política observa e incorpora orientações de organizações internacionais que tratam de prevenção à lavagem de dinheiro. A PPLD propõe controles e procedimentos que pretendem identificar as operações suspeitas com base nos meios e nas informações que a GV8 Capital tem à sua disposição. Detectada uma transação suspeita, a GV8 Capital, entende ser necessário a comunicação de imediato ao COAF, nos termos da legislação vigente.

Nos termos deste Manual, sócios, administradores, funcionários e demais colaboradores da GV8 Capital; realizam treinamentos periódicos a respeito do Manual de PPLD. Ainda nos termos deste Manual, a GV8 Capital indicou um diretor responsável para lidar com questões relacionadas à PPLD “Ivo Silva”, desde a implementação ao cumprimento das políticas.

A PPLD da GV8 Capital é orientada a partir de sua atuação concreta no mercado de meios de pagamentos. Vale dizer, sua estrutura institucional parte das atividades que exerce, e deste diagnóstico, implementa dentro do possível e segundo sua atuação, a PPLD.

O processo de identificação de clientes, através de Representantes/Clientes Revendedores, Prestadores de Serviços, por meio de Contrato e/ou acesso aos meios de pagamentos disponibilizados pela GV8 Capital a, identificam pessoas naturais, atraindo a incidência da lei 13.709. Nos termos deste Manual, a GV8 Capital trata dados pessoais de clientes e colaboradores, em consonância com a LGPD, e exige dos Representantes e Prestadores de Serviços, que atendam às exigências a seguir: I - Procedimentos estabelecidos nos artigos 5º, 6º e 7º da lei 13.709, e II – Determinações contidas na Resolução 4658 do BACEN. O Processo é realizado através de transações realizadas entre os Representantes da GV8 Capital e o usuário final, “clientes” titulares dos dados, atraindo a incidência da LGPD entre as partes, porém, como esta operação de coleta e tratamento dos dados, são realizadas através de soluções sistêmicas disponibilizadas pela GV8 Capital, compartilhou-se neste ato a responsabilidade entre os mesmos, tornando-se necessário o cumprimento a lei 13.709 Lei Geral de Proteção de Dados, pela GV8 Capital e seus Representantes/Clientes.

As operações realizadas pelos Representante/Clientes, são validadas com as informações obtidas através das soluções de meios de Pagamento da GV8 Capital. Apesar de a GV8 Capital, não ter nenhuma influência na aprovação ou negação da transação realizada, entende que pode contribuir com as análises realizadas e identificar operações que podem configurar indício de ocorrência de crimes descritos na Lei 9.613/98, nos termos dos artigos 6º, 7º e 7º-A da ICVM 301/99. I - Compatibilidade das transações entre o Representante e o Cliente versos o valor da venda; II – O Valor da transação, muito superior ao volume de produtos oferecido; III - Oscilação comportamental em relação a volume, frequência e modalidade; IV - Identificação dos beneficiários finais das operações; V - Transferências e/ou pagamentos a terceiros; VI - Transações que possam ser convertidas em espécie; VII- Clientes categorizados como alto risco; VIII - Pessoas politicamente expostas em sua totalidade; e IX - Procuradores/Representantes legais.

O processo de análise de transações e suas operações é regular e imediato, e observa ainda os seguintes fatores: 1. Objeto Social do Cliente; 2. CNAE e MCC; 3. Ticket médio comparado com o perfil histórico de transações; 4. Volume de Transação comparativa mês a mês; e 5. Análise de operações canceladas ou que resultaram em Chargebck.

O presente documento inclui a política anticorrupção já adotada pela GV8 Capital. A Política Anticorrupção é interpretada em conjunto com o Manual de Compliance da GV8 Capital .

Este documento atende a legislação brasileira pertinente à prevenção, detecção e remediação de atos lesivos contra a administração pública nacional e estrangeira, especialmente a Lei Federal nº 12.846, De 1º de agosto de 2013, e o Decreto 8.420, de 18 de março de 2015.

A Política Anticorrupção é resultado e expressão do comprometimento da alta direção da GV8 Capital com a integridade das relações que tem com entes públicos e privados. Este documento é a base da cultura organizacional da GV8 Capital, que prega o apreço à ética em suas relações de negócio. Nos termos desta Política Anticorrupção e em consonância com o Manual, sócios, administradores, funcionários e demais colaboradores da GV8 Capital são conjuntamente denominados “Colaboradores”, e estão igualmente e integralmente a ela submetidos. Dentre os demais Colaboradores da GV8 Capital, incluem-se pessoas físicas ou jurídicas, com ou sem fins lucrativos, tais como, mas não limitados a associações, fornecedores, subcontratados, despachantes, consultores e prestadores de serviços.

A GV8 Capital instituiu o Comitê de Compliance, composto por gerentes e/ou profissionais das respectivas áreas. O Comitê tem como o objetivo zelar pelo cumprimento do Manual, bem como da presente Política Anticorrupção, de modo a assegurar a compreensão e a disseminação dos valores que a orientam. Seguindo a estrutura do Manual, na eventualidade de os Colaboradores possuírem quaisquer dúvidas sobre a interpretação das regras e/ou normas contidas nesta Política Anticorrupção, tais dúvidas serão esclarecidas, da seguinte forma: I - O Colaborador poderá/deverá, sempre que possível, conversar pessoalmente com o superior hierárquico imediato, a fim de esclarecer dúvidas e/ou interpretações, bem como fornecer relatos e apontar falhas relacionadas à presente política; e II - Caso não seja possível solucionar as dúvidas e/ou interpretações de imediato, ou houver necessidade de aprofundamento a respeito dos relatos realizados por Colaboradores, deverá ser encaminhada mensagem eletrônica para o Diretor Responsável “Ivo Silva”, para que o mesmo, busque o melhor tratamento dos fatos.

A Política Anticorrupção da GV8 Capital é orientada a partir de sua atuação concreta no mercado de meios de pagamentos. Vale dizer, sua estrutura institucional parte das atividades que exerce, e, a partir dessas atividades, realiza diagnósticos e implementa suas políticas anticorrupção. São conceitos fundantes da presente Política Anticorrupção:

Órgãos e entidades estatais, de qualquer nível ou esfera de governo, bem como as pessoas jurídicas controladas, direta ou indiretamente, pelo poder público nacional ou de país estrangeiro.

Pessoa que exerce função pública, tais como: agentes políticos (aqueles que exercem cargos de chefia nos três poderes);servidor estatal (pessoa que integra administração direita ou indireta)

Pessoa que exerça cargo, emprego ou função pública em órgãos, entidades estatais ou em representações diplomáticas de país estrangeiro. Incluem-se nesta definição pessoas jurídicas controladas direta ou indiretamente por estado estrangeiro ou organizações públicas internacionais.

Prometer, oferecer ou dar, direta ou indiretamente, vantagem indevida a Agente Público, ou a terceira pessoa a ele relacionada; No que diz respeito a licitações e contratos: I - Frustrar ou fraudar, mediante ajuste, combinação ou qualquer outro expediente, o caráter competitivo de procedimento licitatório público; II - Impedir, perturbar ou fraudar a realização de qualquer ato de procedimento licitatório público; III - Afastar ou procurar afastar licitante, por meio de fraude ou oferecimento de vantagem de qualquer tipo; IV - Fraudar licitação pública ou contrato dela decorrente; V - Criar, de modo fraudulento ou irregular, pessoa jurídica para participar de licitação pública ou celebrar contrato administrativo; VI - Obter vantagem ou benefício indevido, de modo fraudulento, de modificações ou prorrogações de contratos celebrados com a administração pública, sem autorização em lei, no ato convocatório da licitação pública ou nos respectivosinstrumentos contratuais; ou VII - Manipular ou fraudar o equilíbrio econômico-financeiro dos contratos celebrados com a administração pública; VIII - Dificultar atividade de investigação ou fiscalização de órgãos, entidades ou agentes públicos, ou intervir em sua atuação, inclusive no âmbito das agências reguladoras e dos órgãos de fiscalização do sistema financeiro nacional. Com o objetivo de evitar, detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a Administração Pública, nacional ou estrangeira, a Política Anticorrupção da GV8 Capital, proíbe as seguintes ações por parte de seus Colaboradores: I - Receber, oferecer, prometer, fazer, autorizar ou proporcionar (diretamente ou indiretamente por meio de terceiros) qualquer vantagem indevida, pagamentos, presentes ou a transferência de qualquer valor para qualquer pessoa, seja ela Agente Público ou não, para influenciar ou recompensar qualquer ação oficial ou decisão de tal pessoa em benefício da GV8 Capital. II- Oferecer ou entregar brindes, presentes, viagens e entretenimento a qualquer pessoa, seja Agente Público ou não, para influenciar ou compensar impropriamente um ato ou decisão, como compensação real ou pretendida para qualquer benefício dA GV8 Capital, de seus sócios e Colaboradores. III - Contratação de Colaboradores que tenham sido indicados ou recomendados, ainda que informalmente, por Agentes Públicos. IV - Prática de atos descritos nesta Política Anticorrupção por parte de Colaboradores que atuam em seu nome, mesmo que informalmente. V - Contribuir, doar ou patrocinar pessoa física ou jurídica, de que natureza for, sem prévia e expressa aprovação por escrito do Comitê. VI - Contratar com Administração Pública sem prévia “due diligence” específica para apuração de cumprimento de leis anticorrupção, e sem aprovação prévia expressa do Comitê. VII - Realizar qualquer negócio jurídico sem observar as leis anticorrupção e a presente política.

A GV8 Capital, criou uma estrutura voltada a atender a área de Compliance e LGPD, com profissionais de todas as áreas da empresa de forma a atender toda e qualquer demanda encaminhada a este comitê. Por esse motivo, e de acordo com as transações realizadas, a estrutura permite responder e cobrar das respectivas áreas, o cumprimento integral deste Manual. Nos termos do Manual, a GV8 Capital realiza análise das informações colhidas de todos os Parceiros e Representantes, com os quais se relaciona e exige que os mesmos cumpram com as exigências previstas nas lei de 13.709 – LGPD, Lei 9.613 Anticorrupção e demais normas relacionadas a políticas anticorrupção preventivas e eficazes.

A presente Política Anticorrupção propõe controles e procedimentos que pretendem identificar as operações suspeitas com base nos meios e nas informações que a GV8 Capital tem à sua disposição. Detectada operação suspeita, a GV8 Capital entende ser necessário a imediata comunicação às autoridades competentes, nos termos da legislação vigente. Nos termos deste Manual, a GV8 Capital realiza monitoramento das transações realizadas pelos seus clientes, as quais são comparadas com as informações obtidas através do cadastro e/ou acesso ao site ou soluções oferecidas pela GV8 Capital. A partir dessa comparação, a GV8 Capital entende ser possível identificar operações que podem configurar indício de ocorrência de crimes descritos na Lei 9.613/98. Adicionalmente às atividades mencionadas acima, a GV8 Capital entende que, para garantir o cumprimento das leis anticorrupção, os Colaboradores devem estar atentos para sinais de alerta que podem indicar que vantagens ou pagamentos indevidos possam estar ocorrendo. A ocorrência dos sinais abaixo indicados deve ser comunicada às Instâncias Responsáveis: I - Pagamento ou percepção de benefício por qualquer pessoa que seja Agente Público ou seusfamiliares. II - Contraparte tenha reputação no mercado de envolvimento, ainda que indireto, em assuntos relacionados à corrupção, atos antiéticos ou potencialmente ilegais. III - Contraparte pediu uma comissão que é excessiva, paga em dinheiro ou de outra forma irregular. IV - Contraparte é controlada por um Agente Público ou tem relacionamento próximo com o Governo. V - Contraparte é recomendada por um Agente Público. VI - Contraparte fornece ou requisita fatura ou outros documentos duvidosos. VII - Contraparte se recusa ou tenta dificultar a inclusão das cláusulas anticorrupção no contrato por escrito. VIII - Contraparte propõe operação financeira diversa das práticas comerciais usualmente adotadas para o tipo de operação/negócio a ser realizado.

A GV8 Capital entende que a Política Anticorrupção deve ser eficaz. Por esse motivo, incorpora as práticas de treinamento adotadas pelo Manual. Dessa forma, portanto, todas as atividades de treinamento no âmbito do Manual, incorporam as diretrizes e obrigações desta Política Anticorrupção. A esse respeito, sublinha-se o “Termo de Cumprimento da Política de Treinamento”, conforme modelo constante do Anexo IV daquele Manual. Tal documento atestará que o Colaborador foi treinado em consonância com a Política de Treinamento do Manual, e em consonância com a presente Política Anticorrupção.

O descumprimento total ou parcial das regras contidas na Política Anticorrupção constitui violação dos padrões éticos, técnicos e/ou operacionais da GV8 Capital. A ocorrência de fatos violadores acarretará a abertura de sindicância administrativa para apuração de possíveis irregularidades. Se for o caso, serão aplicadas sanções disciplinares que podem variar entre advertência, suspensão e demissão, conforme a gravidade e a reincidência na violação

Com o objetivo de resguardar a privacidade de Informações Confidenciais conforme definido abaixo, a GV8 Capital estabeleceu disposições neste capítulo que se aplicam aos Colaboradores, que, por meio de suas funções ou relacionamento com a GV8 Capital, podem ter ou vir a ter acesso a informações confidenciais, reservadas ou privilegiadas de natureza financeira, técnica, comercial, estratégica, negocial ou econômica, dentre outras, incluindo informações de clientes da GV8 Capital. Todos os Colaboradores deverão ler atentamente e entender o disposto neste Manual, bem como deverão firmar o termo de confidencialidade, conforme modelo constante no Anexo V (“Termo de Confidencialidade”).

Caso a GV8 Capital venha a contratar terceiros para prestação de serviços e estes venham a ter acesso a Informações Confidenciais, conforme abaixo definido, o contrato de prestação de serviços deverá prever cláusula de confidencialidade e, ainda, o estabelecimento de multa em caso de quebra de sigilo. Além disso, o funcionário do terceiro contratado que tiver acesso a Informações Confidenciais, conforme abaixo definido, deverá assinar pessoalmente um termo de confidencialidade se comprometendo a guardar o sigilo das referidas informações. São consideradas informações confidenciais, reservadas ou privilegiadas (“Nome, RG, CPF, e-mail e demais dados que possam identificar ou tornar identificável uma pessoa natural”), (Inciso I do Art. 5º da LGPD) para os fins deste Manual, independente destas informações estarem contidas em discos, disquetes, pen-drives, fitas, e-mails, outros tipos de mídia ou em documentos físicos, ou serem escritas, verbais ou apresentadas de modo tangível ou intangível, qualquer informação relativa a Clientes e Colaboradores da GV8 Capital, incluindo: I - Know-how, técnicas, cópias, diagramas, modelos, amostras, programas de computador; II - Informações técnicas, financeiras ou relacionadas as transações realizadas entre os Clientes e a GV8 Capital ou relativas a colaboradores da GV8 Capital; III - Relatórios, estudos, bancos de dados com informações de clientes e/ou colaboradores; IV - Relação de clientes, contrapartes comerciais, fornecedores e prestadores de serviços; V - Informações estratégicas, mercadológicas ou de qualquer natureza relativas á clientes suas atividades; VI - Transações realizadas e que ainda não tenham sido divulgadas publicamente; e Outras informações obtidas junto a sócios, diretores, funcionários, trainees, estagiários ou jovens aprendizes da GV8 Capital ou, ainda, junto a seus representantes, consultores, assessores, clientes, fornecedores e prestadores de serviços em geral. A revelação dessas informações a autoridades governamentais ou em virtude de decisões judiciais, arbitrais ou administrativas deverá ser prévia e tempestivamente discutida pelo Comitê de Compliance, para que este decida sobre a forma mais adequada para proceder tal revelação. Excetuados os casos em que há determinação legal ou judicial ou autorização do superior hierárquico imediato, é vedada a extração de cópias ou retenção de quaisquer documentos que contenham Informações Confidenciais. Os documentos confidenciais cujas cópias forem desnecessárias ou não mais utilizadas devem ser destruídos, conforme orientação do Diretor de Compliance quanto ao meio a ser utilizado para tanto. Os documentos contendo Informações Confidenciais devem ser identificados, de tal forma que a segurança na sua transmissão seja sempre preservada. Especial atenção deve ser dispensada na transmissão de Informações Confidenciais por meio eletrônico, de forma a evitar o acesso indevido por pessoas não autorizadas. Os Colaboradores detentores de Informações Confidenciais, em função de seu cargo ou atribuição, devem estabelecer uma barreira de informações com os demais Colaboradores. O Diretor de Compliance manterá o registro dos Colaboradores que detenham informações privilegiadas, com a indicação do tipo de informação detida.

Divulgação de Material Todo o material disponibilizado pelos Colaboradores aos clientes, potenciais clientes, e ao mercado em geral, sejam apresentações, estudos, clippings, etc., são vistos como uma comunicação da GV8 Capital, logo devem ser tratados como materiais oficiais de divulgação da mesma. A elaboração de material de divulgação ou relatórios de análise deve ser efetuada com a máxima diligência a fim de evitar que informações incorretas sejam passadas aos clientes, potenciais clientes, e ao mercado em geral. Considerando a legislação vigente para divulgação dos produtos da GV8 Capital, todos os materiais institucionais devem conter os disclaimers previamente aprovados pelo Comitê.

Serão convocadas reuniões periódicas, pelo Diretor de Compliance, para discussão sobre as práticas adotadas pelos Colaboradores, bem como sobre o cumprimento das regras constantes deste Manual e eventuais alterações. Os Colaboradores podem contribuir com sugestões bem como fazer reclamações, sempre que isso se reverter em benefícios para a GV8 Capital. O treinamento consiste também (i) na atualização do conhecimento dos Colaboradores sobre as matérias relacionadas ao mercado de meios de pagamentos e legislação vigente, bem como (ii) no treinamento sobre as regras de controle de arquivos e acessos e sobre as Políticas de Segurança da Informação, Sigilo da Informação e Segurança Cibernética, e Confidencialidade. Os Colaboradores que tiverem recebido treinamento devem declarar, através da assinatura do “Termo de Cumprimento da Política de Treinamento”, conforme modelo constante do Anexo II ao presente Manual, que foram treinados em consonância com a Política de Treinamento constante deste Manual e que estão cientes da observância das Políticas de Confidencialidade, Segurança e Sigilo da Informação e Segurança Cibernética.

Conceito e Princípios A informação é um ativo que possui grande valor para a GV8 Capital, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. Sua utilização deve atender ao Art. 6º da Lei 13.709, destacados a seguir: I - finalidade; II - adequação; III - necessidade; IV - livre acesso; V - qualidade dos dados; VI - transparência; VII - segurança; VIII - prevenção; IX - não discriminação; X - responsabilização e prestação de contas. A adoção de políticas e procedimentos que visem garantir a segurança da informação, são prioridades constante da GV8 Capital, visam reduz, riscos de falhas, danos e/ou prejuízos que possam comprometer a imagem e os objetivos dos Clientes e da GV8 Capital. A informação pode existir e ser tratada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, Internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo, etc. A GV8 Capital deve garantir a segurança da informação prioritariamente, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos dos Clientes e da GV8 Capital. Por princípio, a segurança da informação deve abranger aos requisitos estabelecidos no Art. 46. dá LGPD, adotando medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Deve assegurar ao titular dos dados, acesso grátis, de forma clara, transparente e sempre que possível, atualizados.

A Política de Segurança da Informação é uma declaração formal da GV8 Capital, acerca de seu compromisso com a proteção das informações sob sua responsabilidade e/ou guarda, devendo ser cumprida por todos os Colaboradores. Seu propósito é estabelecer as diretrizes a serem seguidas pelos Colaboradores no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação, em conformidade com os Arts. 46, 47, 48 e 49 da Lei 13.709.

Uma efetiva política de segurança depende da conscientização de todos os envolvidos e do esforço constante para se fazer um bom uso da informação e dos recursos de tecnologia existentes na Sociedade. A Política de Segurança da Informação deve ser conhecida e obedecida por todos os Colaboradores que utilizam recursos de processamento da informação de propriedade ou controlados pela GV8 Capital, sendo de responsabilidade de cada um o seu cumprimento.

Cabe a todos os Colaboradores: i. Cumprir fielmente a Política de Segurança da Informação; ii. Buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à segurança da informação; iii. Proteger as informações contra acesso, modificação, destruição ou divulgação nãoautorizados pela GV8 Capital; iv. Assegurar que os recursos tecnológicos à sua disposição sejam utilizados apenas para as finalidades aprovadas pela GV8 Capital; v. Cumprir as leis e normas que regulamentam os aspectos relacionados à propriedade intelectual no que se refere às informações de propriedade ou controladas pela GV8 Capital; e vi. Comunicar imediatamente ao Encarregado/DPO (Diretor de Compliance) da GV8 Capital, qualquer descumprimento ou violação da Política de Segurança da Informação.

A seguir,são apresentadas as diretrizes da Política de Segurança da Informação. Adoção de Comportamento Seguro Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os Colaboradores. Portanto, é fundamental para a proteção e salvaguarda das informações que os Colaboradores adotem comportamento seguro e consistente com o objetivo de proteção das informações da GV8 Capital, com destaque para os seguintes itens: I - Os Colaboradores devem assumir atitude proativa e engajada no que diz respeito à proteção das informações; II - Os Colaboradores devem compreender e evitar ameaças externas que podem violar as informações da GV8 Capital, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos, etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação; III – Todo tipo de acesso à informação da GV8 Capital que não for explicitamente autorizado é proibido; IV - Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontrossociais, etc.); V - A senha do Colaborador é pessoal e intransferível, não podendo ser compartilhada, divulgada a terceiros (inclusive outros Colaboradores), anotada em papel ou em sistema visível ou de acesso não-protegido; VI - Somente softwares homologados peloaGV8 Capital podem ser instalados nas estações de trabalho, o que deve ser feito, com exclusividade, pela equipe de infraestrutura e informática da GV8 Capital; VII - Arquivos eletrônicos de origem desconhecida nunca devem ser abertos e/ou executados; VIII - Mensagens eletrônicas e seus anexos são para uso exclusivo do remetente e destinatário e podem conter informações confidenciais e/ou legalmente privilegiadas. Não podem ser parcial ou totalmente reproduzidos sem o consentimento do autor. Qualquer divulgação ou uso não autorizado de mensagens eletrônicas e/ou seus anexos é proibida; IX - Documentos impressos e arquivos contendo informações confidenciais devem ser adequadamente armazenados e protegidos; e X - Qualquer tipo de dúvida sobre a Política de Segurança da Informação deve ser imediatamente esclarecida com o superior hierárquico imediato, se não conseguir responder, levará a dúvida ao Diretor de Compliance, se por ventura não conseguir responder, reunirá o Comitê para tratar o assunto e responder adequadamente.

Todo acesso às informações e aos ambientes lógicos da GV8 Capital deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas, ou responsável por sua guarda e preservação.

Os sistemas, informações e serviços utilizados pelos Colaboradores são de exclusiva propriedade da GV8 Capital, não podendo ser interpretados como de uso pessoal. Todos os Colaboradores tem ciência de que o uso das informações e dos sistemas de informação da GV8 Capital é monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações do Manual e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

Controle de Acesso, Circulação e Proteção O acesso ao prédio, aos andares e às instalações da GV8 Capital são controlados, sendo obrigatório o registro de entrada e o de saída de todos os usuários e visitantes. O acesso às instalações da GV8 Capital por usuários (temporários ou não) e visitantes são aprovados e liberados por funcionários com esta responsabilidade. Todas as pessoas são devidamente identificadas. A presença de uma pessoa não autorizada dentro da área de Acesso Controlado caracteriza um incidente de segurança e, portanto, o fato deve ser imediatamente reportado como tal. Papéis e mídia magnética contendo informações confidenciais possuem controles de segurança no armazenamento, impressão, manuseio e descarte. Todos os usuários mantem as informações da GV8 Capital fora do alcance de terceiros (seja indivíduos ou organizações), mantendo seus locais de trabalho limpos e organizados e as informações, em qualquer meio físico ou lógico, devidamente guardadas e seguras. Todos os terceiros locados ou visitantes que prestam serviços para a GV8 Capital, assinaram o Termo de Prestador de Serviços.

O Controle de Acessos a todos os sistemas de informação da GV8 Capital preveem: • Armazenar dados de conta e senha de usuários em forma cifrada, utilizando algoritmos fortes; • Mantem as informações em arquivos separados, dos dados de sistemas ou código-fonte da aplicação; • Mostra um aviso, advertindo que apenas pessoas autorizadas podem acessar o sistema e todos os acessos ao sistema são monitorados; e • Permiti uma única conexão e acesso de usuário para cada conta e senha nos sistemas, exceto quando justificada mediante aprovação formal pelo gestor da área e documentação conforme processo definido pela área de Tecnologia. Senhas a todos usuários, para acesso a um sistema, possui uma identificação composta pelo login e senha. • A senha representa um processo de autenticação, por meio da qual se comprova a identidade do usuário. • Preferencialmente, a identificação do usuário (login e senha) deve ser única para todos os sistemas e mantida em segredo. Cabe a cada usuário, durante a criação ou revalidação da senha, seguir o procedimento que define as regras de criação de senhas estabelecidas.

Os controles e configurações de segurança homologados para todas as estações de trabalho são mantidos pela área de Tecnologia. • Todos os usuários quando se ausenta temporariamente de sua mesa, deixam seu equipamento inacessível, precisando de Login e senha, para cessá-lo novamente.

Todo o acesso à internet ou a redes públicas a partir da rede corporativa da GV8 Capital, são feitos através de ferramentas de segurança (ex. firewall, proxies e etc.) e controlado pela área de Tecnologia. • O uso de rede sem fio somente é realizado mediante aprovação formal pela Diretoria de Infraestrutura da Tecnologia da Informação.

• É de responsabilidade do gestor de cada área, estabelecer os critérios relativos a classificação da informação gerada por sua área.

As redes corporativas de computadores nas organizações já costumam possuir uma alta complexidade de administração, e costumam crescer rapidamente por meio da adição de clientes, parceiros e fornecedores. Este fato implica no considerável aumento de tarefas de monitoração e administração, além de risco de modificação ou acesso não autorizado a informações sensíveis da corporação. Novas conexões na rede interna da GV8 Capital somente ocorrem após: • Implementação de filtros de tráfego ou firewalls para bloqueio de acessos não autorizados bem como monitoramento adequado. • Elaboração de documentação técnica completa pela Diretoria de Infraestrutura da Tecnologia da Informação (topologia, relação de novos dispositivos de rede necessários). • Autorização formal da área de Tecnologia. • São mantidos mecanismos de segregação interna da rede corporativa em domínios lógicos, de modo a facilitar o monitoramento e controle de acesso.

A GV8 Capital mantem o registro de todas as operações críticas realizadas nos sistemas, com o objetivo de documentar divergências e evidências de violação desta Política e procedimentos referentes à segurança. Todos os sistemas geram registros de eventos para operações críticas ou sensíveis.

Este registro de eventos incluiu-se informações tais como: a. Identificação da conta do usuário responsável pela operação; b. Tipo de evento; c. Datas e horários do evento; d. Indicação de êxito ou falha; e. Detalhamento de características da operação (valores, conteúdo e departamento responsável); f. Indicação da origem do evento; g. A identidade ou o nome dos dados afetados, componentes do sistema ou recurso. Os registros de eventos são protegidos contra desativação ou acesso não autorizado e armazenados. Os eventos são mantidos por no mínimo um ano. Estes registros de eventos são analisados em intervalos regulares, cuja frequência será determinada pela criticidade do sistema ou operações executadas. As atividades de monitoramento são executadas por pessoas diferentes daquelas cujas operações estão sendo monitoradas.

Os usuários da GV8 Capital não podem adquirir ou possuir quaisquer ferramentas de hardware ou software para avaliar ou subverter a segurança dos sistemas. A não ser que formalmente autorizado pela área de Tecnologia. Alguns exemplos de ferramentas, são softwares que permitem: A obtenção do código fonte ou cópias não autorizadas de sistemas. a. Quebra de senhas. b. Decodificação de arquivos cifrados. c. Identificação de vulnerabilidades de segurança. d. Monitoramento de tráfego nas redes corporativas ou demais atividades nos computadores da GV8 Capital. e. Ou qualquer outra ferramenta que possa pôr em risco a integridade, confidencialidade e disponibilidade dos ativos da GV8 Capital . f. A utilização de tais softwares poderá ser antiética e/ou ilegal, é considerado uma grave violação desta Política.

Por meio de criptografia (ou cifragem), são implementados controles que permitem: a. Proteger os dados contra alteração indevida ou destruição. b. Proteger a informação contra acesso não autorizado. c. Garantir que o usuário não possa negar ter sido responsável por uma transação eletrônica. d. Comprovar a origem de mensagens ou arquivos. A criptografia é empregada para a proteção de dados confidencias ou de uso interno, enviados ou mantidos em: a. Arquivos de dados enviados por parceiros de negócio. b. Mensagens de correio eletrônico. c. Servidores. d. Estações de trabalho. e. Computadores portáteis. A proteção de informações contra acesso não autorizado é vital no caso de informações mantidas em computadores portáteis, no envio de mensagens confidenciais através de redes públicas (internet), e na proteção do tráfego de dados entre GV8 Capital e seus principais parceiros de negócio A Diretoria de Infraestrutura da Tecnologia da Informação disponibiliza e recomenda ferramentas e métodos homologados para criptografia, conforme a necessidade das áreas de negócio.

A GV8 Capital mantem proteção contra vírus nos seguintes ambientes: a. Correio eletrônico – filtrando arquivos anexos que possam estar contaminados antes mesmo da abertura das mensagens pelos usuários. b. Estações de trabalho – prevenindo contra contaminação através de unidades de armazenamentos, abertura de arquivos recebidos pela Internet, correio eletrônico ou servidores de arquivos. c. Servidores – prevenidos contra contaminações e indisponibilidade do serviço por qualquer tipo de código malicioso. d. Firewall ou proxies – bloqueando a importação de arquivos contaminados, spam e filtrando a execução de applets que possam executar código perigoso nas estações ou servidores. e. Servidores de arquivos – filtrando e eliminando arquivos contaminados, antes que eles possam ser disseminados para as estações. São mantidos também, recursos para: a. Instalação automatizada para todas as novas estações que forem conectadas à rede corporativa; b. Atualização automática das assinaturas do produto antivírus; c. Monitoramento remoto de locais de contaminação. Toda estação de trabalho e servidores conectados na rede corporativa devem utilizar o produto de antivírus homologado pela área de Tecnologia.

A criação ou alteração de perfis de acesso aos sistemas corporativos são precedida pela autorização expressa do proprietário da informação, que será obrigatoriamente um superior hierárquico do solicitante, sendo ao menos um gestor da área. A GV8 Capital mantem um sistema formal de registro e cancelamento de usuários para obtenção de acesso a todos os sistemas corporativos. Todas as solicitações de gerenciamento de acessos são registradas e documentadas, para análises periódicas. Todos os usuários que tenham saído da GV8 Capital, tem os seus direitos de acesso imediatamente revogados. A utilização de contas administrativas ou avançadas é restrita, exclusivamente para os usuários que necessitarem deste tipo de acesso para o exercício de suas funções. Os acessos e utilização dos sistemas corporativos ocorrem por meio de conta e senha individual, de modo a permitir que cada usuário possa ser identificado e responsabilizado pelos seus atos. Todos os usuários que possuem contas administrativas, mantem também, contas pessoais com nível de acesso normal, para a execução de tarefas diárias que não necessitem de acesso administrativo.

A GV8 Capital mantem um processo formal de registro e autorização de modificações nos sistemas e recursos de processamento de informações, incluindo: a. Registro de solicitações de modificações e responsabilidades. b. Avaliação de impacto potencial das mudanças em todas as áreas envolvidas. c. Teste e documentação formal dos resultados em ambiente segregado da produção.

d. Aprovação formal das mudanças solicitadas por parte dos gestores dos sistemas afetados. e. Comunicação prévia aos usuários. f. Identificação de responsáveis para a suspensão das mudanças e retorno ao estado anterior dos sistemas, em caso de insucesso. Este processo abrange os mecanismos de registro e aprovação formal e, também, nos casos de mudanças emergenciais.

A GV8 Capital mantem uma separação entre os ambientes de produção, homologação e desenvolvimento. Esta separação traz os benefícios de aumento de segurança para o ambiente de produção e aumento de produtividade para os demais ambientes, que mantêm menores restrições e controles. A colocação de código-fonte em ambiente de produção ocorre apenas após: a. Geração de evidências documentais de testes e aceitação do usuário final, para as alterações efetuadas pela equipe de desenvolvimento. b. Verificação da aderência aos procedimentos de desenvolvimento de sistemas pelas áreas responsáveis pela gestão de mudanças e Segurança da Informação. c. Autorização formal do gestor de negócios responsável pela aplicação. As equipes de desenvolvimento não podem ter acesso direto ao ambiente e servidores de produção, salvo com autorização formal através de e-mail da Diretoria de Infraestrutura da Tecnologia da Informação.

O desenvolvimento e manutenção de sistemas críticos de negócio, especialmente sistemas desenvolvidos para o acesso via internet ou extranet, passam por um processo de avaliação e certificação de segurança independente. O desenvolvimento de novos sistemas e aplicações, incluem requisitos documentados e formais de controle e segurança tais como: a. Controle de acesso lógico, utilizando perfil. b. Criptografia. c. Alçadas de aprovação. d. Segregação de funções. Todos os controles realizados para os sistemas desenvolvidos internamente serão aplicáveis também à implantação e modificações corretivas ou evolutivas de pacotes adquiridos externamente.

Os gestores da GV8 Capital asseguram que os processos de negócio sob sua gestão estão protegidos contra possíveis falhas ou desastres que possam interromper as operações dos mesmos, causando impactos financeiros no negócio ou na sua reputação e imagem. Já tem desenvolvido e implantado seu PCN – Plano de Continuidade de Negócio

A GV8 Capital garante a recuperação dos ativos de informações importantes em caso de necessidade por meio de cópias de segurança (backups). As cópias de segurança têm uma proteção física e ambiental e são testadas periodicamente, de modo a assegurar a sua integridade, confidencialidade e disponibilidade. Existem cópias de segurança mantidas fora do ambiente em que foram geradas, a uma distância suficiente para livrá-las de qualquer desastre que possa ocorrer na instalação principal.

A Política de Negociação com colaboradores, tem por objetivo estabelecer diretrizes para tratamento de dados, que envolvam seus respectivos cônjuges e dependentes, a fim de evitar: (i) a utilização indevida de recursos físicos e intelectuais de propriedade da GV8 Capital; (ii) conflito de interesses de qualquer natureza, e (iii) o vazamento de informações de natureza confidencial. Para fins do disposto neste Capítulo, entende-se por vazamento de dados, quando o processo ou a transação, envolver um Colaborador (incluindo seu respectivo cônjuge e dependentes) com possiblidade de obter um ganho financeiro ou evitar uma perda financeira, em benefício próprio ou de terceiros, em detrimento de um cliente atual ou potencial ou, ainda, da própria GV8 Capital

O descumprimento total ou parcial das regras contidas neste Manual e na legislação vigente constitui violação dos padrões éticos, técnicos e/ou operacionais, conforme o caso, que regem o funcionamento da GV8 Capital e acarretará a abertura de sindicância administrativa para apuração de possíveis irregularidades. Se for o caso, serão aplicadas sanções disciplinares que podem variar entre advertência, suspensão e demissão, conforme a gravidade e a reincidência na violação.

A aplicação das sanções disciplinares não impede a adoção, pela GV8 Capital, das medidas legais cabíveis, para reparar qualquer dano provocado pelos Colaboradores a GV8 Capital e/ou Cliente do mesmo.

O descumprimento total ou parcial será apurado ou informado pelo Diretor de Compliance e DPO da GV8 Capital, que, analisará e se for o caso, convocará reunião extraordinária para avaliar a conduta praticada e aplicar penalidade,se for o caso.

Fiscalização

O cumprimento deste Manual pelos Colaboradores deve ser monitorado por todos. O Diretor de Compliance e DPO da GV8 Capital, é o responsável pela fiscalização dos Colaboradores, e tem como função exercer o controle da adoção das práticas e regras de compliance constantes deste Manual e da legislação vigente. Não obstante o dever de fiscalização do Diretor de Compliance e DPO da GV8 Capital, qualquer violação ou suspeita de violação a este Manual identificada pelos Colaboradores, deve ser levada ao conhecimento do mesmo, que analisará e poderá tomar decisões embasadas e fundamentadas nas responsabilidades estabelecidas neste Manual. Suas análises e resoluções, deverão serem proferidas em até 30 (trinta) dias, sobre a aplicação ou não de sanção disciplinar à eventual violação a este Manual.

O acompanhamento do cumprimento das regras de compliance da GV8 Capital é realizado de forma extensiva, contínua e com o auxílio material de ferramentas e sistemas, que permitem implementar rotinas para a verificação desse cumprimento, rotinas estas detalhadas nos itens abaixo: I- As ligações telefônicas dos Colaboradores poderão ser gravadas, com acesso pleno ao responsável pelo compliance, sem aviso prévio. Para tanto, a GV8 Capital utiliza um sistema de gravação telefônica digital, tornando-se um elemento de controle dos usuários, na medida em que permite fiscalizar as conversas mantidas. II- A GV8 Capital possui servidor de autenticação centralizada, com controle de permissão de acesso aos arquivos por grupo e por usuário, com histórico de data da alteração dos arquivos. Deste modo, na medida em que os computadores utilizados pelos Colaboradores possuem senhas pessoais e intransferíveis, a qualquer momento o responsável pelo compliance pode verificar no histórico disponibilizado pelo mencionado servidor de autenticação centralizada, as atividades desenvolvidas por cada um dos Colaboradores. III - A rede utilizada pela GV8 Capital é protegida por firewall parametrizado com restrição a sites não desejados, e as mensagens de correio eletrônico são arquivadas através de backup para futura consulta e eventual responsabilização. IV - Periodicamente, o responsável pelo compliance, aleatoriamente independentemente de suspeitas de condutas irregulares, checa os dados dos referidos sistemas por amostragem, bem como a comunicação dos Colaboradores, de modo a prevenir e identificar desvios de conduta. Além destes mecanismos, a GV8 Capital adota métodos preventivos de compliance, como a adesão pelos Colaboradores a este Manual e sua participação em treinamentos periódicos, bem como a proximidade do convívio diário de todos os Colaboradores com o responsável pelo compliance, tendo em vista as dimensões da equipe. Na hipótese de descumprimento total ou parcial das regras contidas neste Manual e na legislação vigente serão aplicadas as sanções disciplinares cabíveis nos termos do Capítulo 8 deste Manual.

Toda e qualquer alteração a este Manual deve ser previamente aprovada pelo Diretor de Compliance e será disponibilizada para conhecimento dos Colaboradores através de mensagem eletrônica ou por escrito.

A adesão ao presente Manual, implica na estrita observância das regras contidas nele e da legislação vigente, sob pena de aplicação de sanções disciplinares. A adesão dos Colaboradores a este Manual se dará pela assinatura de “Termo de Adesão ao Manual de Compliance”, conforme modelo constante do Anexo I a este Manual. A cada alteração deste Manual, serão circuladas mensagens eletrônicas ou escritas aos Colaboradores, com resumo sobre a alteração realizada, e sempre que as alterações deste Manual forem consideradas pelo Diretor de Compliance, como relevantes e/ou importarem obrigações adicionais aos Colaboradores, estes (Colaboradores) deverão reiterar a sua intenção de continuar a aderir às práticas e regras adotadas por este Manual, por meio da assinatura de “Termo de Adesão às Alterações ao Manual de Compliance”, conforme modelo constante do Anexo III a este Manual.

O Diretor de Compliance, encaminhará, até o ultimo dia útil do mês de janeiro de cada ano, aos Diretores(sócios), relatório relativo ao exercício anterior contendo, no mínimo: I - Exames e conclusões efetuados pelos controles deste Manual; II - Eventuais recomendações a respeito de deficiências, com o estabelecimento de cronogramas de saneamento, quando for o caso; e III - Manifestação dos gestores responsáveis por, cada uma das áreas envolvida, ou, quando for o caso, pelo Diretor Responsável a respeito das deficiências encontradas em verificações anteriores e das medidas planejadas, de acordo com cronograma específico, ou efetivamente adotadas para saná-las.

A GV8 Capital desempenhará as atividades voltadas para a administração e gestão das atividades desempenhas em compliance com as Leis e Normas regulamentadoras, que tenham como objetivo a Segurança e o Sigilo da informação. As atividades desenvolvidas pela GV8 Capital são exaustivamente reguladas, especialmente pela Lei 13.709 LGPD e Resolução BACEN 4658, não havendo exigências ou necessidades de segregação de atividades. Neste sentido, a GV8 Capital, assegura aos Colaboradores, seus clientes e às autoridades reguladoras, que as demais empresas controladas, ligadas ou coligadas, são responsáveis por diferentes atividades e sobre as mesmas foram tomadas providencias operacionais, objetivando a segregação física de instalações entre as empresas do grupo GV8 Capital, respondendo cada uma, individualmente porsuas ações.

Embora permitido pela RESOLUÇÃO Nº 4.282 do BACEN, a GV8 Capital, não tem a intenção de realizar outras atividades que não aquelas descritas em seu Contrato Social.

A Política de Seleção e Contratação de Terceiros (Representantes/Prestadores de Serviços), tem como objetivo definir o processo de contratação e supervisão destes, a serem adotadas pela GV8 Capital em atendimento as Leis e Normas regulamentadoras, no tocante a: Segurança, Sigilo e Disponibilidade de dados pessoais. A presente Política foi elaborada com base nas melhores práticas de mercado e de acordo com a regulamentação e autorregulamentação em vigor, notadamente a LGPD, Resolução 4658 BACEN e demais normas correlacionadas. O processo de contratação e supervisão do Terceiro (Representantes/Prestadores de Serviços), será efetuado visando o melhor interesse no atendimento a todas as necessidades estabelecidas em lei, nos casos em que haja ligação direta ou indireta entre o contratado e demais prestadores de serviços. Nesse sentido, a GV8 Capital irá zelar, ao contratar Terceiros (Representantes/Prestadores de Serviços), que eventualmente pertençam ao seu Conglomerado ou Grupo Econômico, para que os mesmos, observem as condições estabelecidas nesta Política. Para fins desta Política, “Conglomerado” ou “Grupo Econômico” significam um conjunto de entidades controladoras diretas ou indiretas, controladas, coligadas ou submetidas a controle comum.

A seleção e contratação de Terceiros (Representantes/Prestadores de Serviços), é um processo conduzido de forma conjunta pelo Diretor de Compliance, responsável pela seleção e indicação dos potenciais contratados, responsável pela condução do processo de due diligence prévio à contratação. O referido processo de due diligence visa obter informações qualitativas sobre o Terceiro (Representantes/Prestadores de Serviços), que tenha interesse em iniciar vínculo jurídico com a GV8 Capital, de modo a permitir um melhor julgamento durante a pré-seleção. A avaliação de tais informações será feita mediante critério preestabelecidos, com base em levantamento de cadastros SERASA.

Adicionalmente a due diligence, a GV8 Capital deverá se assegurar de que os potenciais Terceiros (Representantes/Prestadores de Serviços), a serem contratados estão cumprindo a legislação em vigor, devendo esta, para tanto, exigir cópia das certidões descritas abaixo, cabendo ao Diretor de Compliance avalia-las: ❖ Certidão Negativa de Débitos – CND (obtida através do website da Receita Federal); ❖ Certidão Conjunta de Tributos Federais e Dívida Ativa (obtida através do website da Receita Federal); ❖ Certidão de Tributos Mobiliários; ❖ Certidão de Regularidade FGTS (obtida através do website da CEF); ❖ Assegurar-se de que os fornecedores ou prestadores não constem no Cadastro de Empregadores estabelecido na Portaria nº 540, de 15 de outubro de 2004, denominada “Lista Suja” do Trabalho Escravo, nem no Cadastro de Empresas Inidôneas e Suspensas (CEIS), da Controladoria-Geral da União. Em todos os casos, o Diretor de Compliance, exigirá, no que couber, a documentação comprobatória das informações prestadas. Caso não seja possível aferir a veracidade da informação por meio de documentos comprobatórios, o Diretor de Compliance, envidará melhores informações para conferir tais informações. O critério primordial para a escolha do Terceiro (Representantes/Prestadores de Serviços), será o menor preço versus competência técnica. Do equilíbrio desses dois critérios, bem como a observação do resultado da due diligence mencionada acima, será definido o Terceiro que será, efetivamente, contratado. O início das atividades do Terceiro (Representantes/Prestadores de Serviços), deve ser vinculado à formalização da contratação, e nenhum tipo de pagamento poderá ser efetuado antes da celebração do contrato. O contrato escrito a ser celebrado com o Terceiro (Representantes/Prestadores de Serviços), deverá prever, no mínimo, cláusulas que tratam: I - das obrigações e deveres das partes envolvidas; II- da descrição das atividades que serão contratadas e exercidas por cada uma das partes; III - da obrigação de cumprir suas atividades em conformidade com as disposições previstas na regulamentação e autorregulação aplicáveis à atividade; e IV - que os Terceiros (Representantes/Prestadores de Serviços), contratados devem, no limite de suas atividades, deixar à disposição do contratante todos os documentos e informações exigidos pela regulação em vigor que sejam necessários para a elaboração de documentos e informes periódicos obrigatórios, salvo aqueles considerados confidenciais, nos termos da regulação em vigor. Quando o contratado tiver acesso a informações sigilosas dos clientes e da GV8 Capital, deverá assinar um contrato com cláusula de confidencialidade que estabeleça multa em caso de quebra de sigilo ou termo de confidencialidade (conforme documento arquivado na sede da GV8 Capital). O funcionário do Terceiro que tiver acesso a informações confidenciais deverá assinar pessoalmente termo de confidencialidade se comprometendo a guardar o sigilo das referidas informações.

I - dever de considerar preços, custos, velocidade, probabilidade de execução e liquidação, tamanho, natureza de ordens e quaisquer outros elementos relevantes para a estratégia; II - dever de colocar os interesses dos clientes acima de seus próprios; III - dever de minimizar o risco de conflito de interesse;

Após a contratação do Terceiro, (Representantes/Prestadores de Serviços), a GV8 Capital realiza o monitoramento contínuo das atividades exercidas pelos Terceiros contratados, até o término do prazo da contratação. O monitoramento será de responsabilidade do Diretor de Compliance, que poderá contar com o auxílio dos gerentes e gestores das áreas envolvidas. A análise, para fins de monitoramento, deverá considerar o objeto contratado versos a entrega realizada, com ênfase nas eventuais disparidades, na tempestividade, qualidade e quantidade esperadas. Ainda, o monitoramento deve ser capaz de identificar preventivamente atividades que possam resultar em riscos para a GV8 Capital. Sem prejuízo, em casos específicos, adotará controles mais rigorosos, conforme adiante detalhado na seção abaixo, a qual trata da supervisão baseada em risco para Terceiros contratados (Representantes/Prestadores de Serviços),. A partir dos elementos supracitados, o Diretor de Compliance, confeccionará, em periodicidade mínima anual, um relatório a ser enviado por e-mail - com confirmação de recebimento - aos demais diretores e sócios da GV8 Capital, para fins de ciência. Na hipótese de serem encontradas não conformidades e ressalvas, o Diretor de Compliance, notificará imediatamente o Terceiro contratado, (Representantes/Prestadores de Serviços), para que este sane a questão ou adeque a sua conduta dentro do prazo que a GV8 Capital entender razoável, respeitando, sempre, o contrato celebrado. Caso o Terceiro contratado não cumpra com os termos exigidos na notificação, o Diretor de Compliance, poderá proceder com a aplicação da cláusula indenizatória eventualmente prevista ou com a descontinuidade do serviço.

A supervisão baseada em risco tem como objetivo destinar maior atenção aos Terceiros contratados (Representantes/Prestadores de Serviços), que demonstrem maior probabilidade de apresentar falhas em sua atuação ou representem potencialmente um dano maior para os Clientes e/ou GV8 Capital. Segundo critérios decididos internamente pelo Diretor de Compliance, os Terceiros contratados são classificados pelos seguintes graus de risco: Alto, Médio ou Baixo. As supervisões ocorrerão da seguinte forma: -“Alto Risco”. Com a periodicidade anual, a GV8 Capital deverá rever o desempenho de cada Terceiro avaliando, entre outros aspectos: (i) a qualidade das execuções fornecidas; (ii) o custo das execuções; (iii) eventuais acordos realizados; (iv) potenciais conflitos de interesse. -“Médio Risco”. A cada 12 (doze) meses, a GV8 Capital confirmará se manterá ou não a parceria com o Terceiro contratado, bem como, deverá rever o desempenho de cada Terceiro avaliando, entre outros aspectos: (i) a qualidade das execuções fornecidas; (ii) o custo das execuções; (iii) eventuais acordos realizados; (iv) potenciais conflitos de interesse, e (v) eventuais alterações nos manuais e políticas do Terceiro; e -“Baixo Risco”. A cada a cada 24 (vinte e quatro) meses, a GV8 Capital confirmará se manterá ou não a parceria com o Terceiro contratado, bem como, deverá rever o desempenho de cada Terceiro avaliando, entre outros aspectos: (i) a qualidade dos serviços prestados; e (ii) o custo das operações executadas. A GV8 Capital reavaliará tempestivamente os Terceiros contratados, na ocorrência de qualquer fato novo que preocupe a GV8 Capital, ou na hipótese de alteração significativa no Terceiro que cause dúvidas na GV8 Capital quanto à classificação do Terceiro.

A GV8 Capital elaborou o Relatório de impacto à Proteção de Dados pessoais, (DPIA) a fim de atender a qualquer situação de emergência ou solicitação da ANPD e/ou órgãos correlatos. O relatório contem: - a descrição dos tipos de dados coletados; - a metodologia utilizada para a coleta e segurança das informações ; - e mecanismos de mitigação de risco adotados. Em caso de vazamento ou acesso as informações pessoais a clientes e/ou colaboradores da GV8 Capital, será comunicado à ANPD e se envolver alto risco aos clientes e/ou colaboradores, os mesmos, também serão informados, mencionando: : I - a descrição da natureza dos dados pessoais afetados;, II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Podendo ainda avaliar a gravidade dos fatos e promover: a) - ampla divulgação do fato em meios de comunicação. Disponibiliza a comprovação de que foram adotadas medidas técnicas adequadas que tornaram os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. Os sistemas utilizados para o tratamento de dados pessoais são estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

A GV8 Capital observa a legislação e fornece a segurança que o titular dela espera, consideradas as circunstâncias relevantes, entre as quais: I - o modo pelo qual é realizado; II - o resultado e os riscos que razoavelmente dele se esperam; III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. A GV8 Capital adota regras de boas práticas e de governança, estabelece as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, a GV8 Capital levou em consideração, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º da LGPD, a GV8 Capital, observou a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos, para os titulares dos dados, visando: I - implementar um programa de governança em privacidade que: a) demonstre o comprometimento da GV8 Capital em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; II – demonstra a efetividade de seu programa de governança em privacidade, atendendo a pedidos da ANPD Autoridade Nacional de Proteção de Dados ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da Lei 13.709. A GV8 Capital, publicará e atualizará periodicamente, as regras de boas práticas e de governança. Este relatório “DPIA” partiu do detalhamento de todos os processos de tratamento pelos quais os dados pessoais passam, durante o seu ciclo de vida na operação, assim como, das bases legais necessárias e as medidas de segurança adotadas. Essa descrição permite identificar o data mapping da empresa, e a partir dessa fotografia, poder endereçar quais medidas devem ser tomadas e quais são os agentes ou interessados que devem ser envolvidos na operação. Ao entender e definir o ciclo de vida dos dados pessoais, permitiu a GV8 Capital, identificar os pontos de fragilidade da operação, que podem representar algum risco aos direitos dos titulares dos dados. Assim, foi feita uma avaliação desses riscos, a partir da qual permitiu-se identificar as medidas necessárias para a sua contenção, que foram implementadas e testadas.

O relatório foi elaborado com base na documentação levantada em todos os processos e procedimento que envolviam informações que torne uma pessoa, identificada ou identificável. O DPIA tornou-se a ferramenta através da qual a GV8 Capital tem melhor visualização e compreensão de suas operações, permitindo evitar excessos e adotar as soluções e medidas mais apropriadas no contexto de privacidade e de proteção de dados. Além de, assegurar desde cedo, que todos os requisitos legais estão sendo cumpridos, colaborando com o cumprimento de um importante dever estabelecido pela LGPD. A adoção de medidas protetivas à privacidade desde o início ”privacy by design”, assegura que os dados desde a concepção do produto, a coleta e o tratamento de Dados, serão tratados com segurança em todo o processo, é uma maneira de analisar sistematicamente de forma abrangente seu processamento, auxilia na identificação e minimização de riscos de proteção de dados. A GV8 Capital tem a responsabilidade de garantir o cumprimento à Lei Geral de Proteção de Dados e suas determinações relativas ao tratamento desses dados. A presente Política engloba a Retenção e Descarte em complemento a Política de Privacidade e de Segurança da Informação, no tocante ao armazenamento, retenção e descarte de dados no meio físico e digital. Esse controle se aplica a todas as operações, pessoas e processos que compõem o sistema de informações da empresa, incluindo colaboradores, diretores, fornecedores, clientes e terceiros que têm acesso aos dados tratados. Classificação dos Dados A GV8 Capital classifica os dados pessoais de forma a estabelecer critérios de retenção e descarte para cada categoria. Todos os dados pessoais serão armazenados apenas pelo tempo necessário ao cumprimento do objetivo para que foram coletados, sempre com finalidades lícitas, específicas e informadas. Para aqueles dados pessoais cujo prazo de arquivamento ainda não foi fixado em lei, será estabelecido um período razoável e coerente com as práticas de mercado e com a natureza do tratamento. Para os demais registros, incluindo aqueles de ordem tributária, trabalhista e previdenciária, a GV8 Capital reserva o direito de mantê-los armazenados até o fim do prazo prescricional estipulado em legislação.

Dados Comerciais: informações registradas em quaisquer meios, criadas ou capturadas que reflitam circunstâncias, eventos, atividades, transações ou resultados criados ou mantidos como parte da condução de negócios da empresa, como por exemplo, negociação e venda dos produtos do portfólio e celebração e execução de contratos. Dados de Comunicação: informações pessoais obtidas pela GV8 Capital em (i) campanhas publicitárias, ações promocionais e pesquisas; (ii) redes sociais; e (iii) fale conosco. Os dados que forem utilizados para fins de marketing ou de pesquisa permanecerão armazenados na base do Estabnk apenas enquanto perdurar o interesse do titular em receber esses materiais, sendo possibilitada a exclusão a qualquer tempo, com a revogação do consentimento, caso esta seja essa a base legal que fundamente a respectiva modalidade de tratamento. Dados Fiscais: Dados pessoais coletados para (i) finalidades fiscais/tributárias, como por exemplo, imposto de renda, contribuição social sobre lucro líquido, programa de integração social, contribuição para financiamento da seguridade social, notas fiscais, recibos e demais comprovantes de lançamentos, livros fiscais e contábeis, sistemas eletrônicos de dados de escrituração fiscal ou contábil, declaração anual do simples nacional, declaração de ajuste anual. Dados Trabalhistas: Dados pessoais coletados para (i) finalidades trabalhistas, como por exemplo, gerenciamento de tempo de trabalho, salários, benefícios, contribuições previdenciárias e impostos; férias, licenças, ausências; (ii) gestão de carreira, como treinamentos, avaliações, experiência profissional; (iii) administração para comunicação corporativa, trabalho em rede social da GV8 Capital e uso de ferramentas de computador e telefonia; organogramas, serviços corporativos, planejamento e orçamentos, relatórios, pesquisa, reorganizações, aquisições e cisões; (iv) saúde ocupacional, como atestados médicos, prontuário médico, atestados de saúde ocupacional e todos os demais relacionados à saúde do empregado; (v) recrutamento e seleção, como nome, gênero, estado civil, idade, dados de contato, RG, CPF, comprovante de endereço, dados bancários, informações de função, habilidades, experiências, qualificações, referências, currículo, dados de entrevista e avaliação, notas e registros da entrevista e qualquer outra informação que o candidato disponibilize. Alguns dados pessoais são retidos após o término do contrato de trabalho, estágio ou contrato de trabalho temporário para cumprimento dos períodos legais de armazenamento definidos pela legislação trabalhista ou tributária. Os contratos de trabalho, as fichas de registro de empregados e os respectivos Perfis Profissiográficos Previdenciários (PPP) serão armazenados por períodoindeterminado, mesmo após a rescisão contratual. Dados de Segurança: informações coletadas para identificação corporativa, gerenciamento de acesso e permanência nas instalações, logs, login e senha para acesso aos sistemas, etc. Princípio Geral de Retenção O período de retenção máximo, no que se refere aos dados pessoais, não serão mantidos por mais tempo do que necessário para os requisitos operacionais, conforme art. 15 e 16, da Lei nº 13.709/2018. Assim, o tempo que manteremos os dados dependerá diretamente da finalidade da coleta e armazenamento dos dados ou após arquivamento da demanda judicial,se for o caso. No caso de qualquer categoria de dados pessoais não especificados nesta política, na Tabela de Retenção de Dados ou exigidos de outra forma pela legislação aplicável, os dados serão tratados na forma determinada no art. 16 e 15, da LGPD.

Destruição e Eliminação dos Dados Ao final do período de temporalidade de armazenamento e desde que não exista uma razão válida para a manutenção das informações, os dados pessoais mantidos em cópias físicas serão destruídos como resíduo confidencial e aqueles mantidos eletronicamente serão eliminados dos sistemas da empresa. Existência de processos judiciais ou administrativos ou mesmo investigações em andamento são motivos válidos para manutenção dos dados na base da empresa, conforme mencionado e, nesses casos, independente de consentimento, o período de armazenamento poderá ser prorrogado. Na hipótese de o titular dos dados pessoais optar por exercer seu direito de eliminação dessas informações, seus dados pessoais deverão ser descartados prontamente pela empresa, excetuadas as hipóteses de cumprimento de obrigação legal ou regulatória. Revisão de Retenção e Armazenamento Está implementado controles para o armazenamento e retenção por todas as áreas que façam tratamento de dados pessoais, para garantia da observância desta política. O Comitê de Privacidade deverá adotar mecanismos necessários para monitorar a regularidade dos controles de armazenamento e retenção pelas áreas que façam o tratamento de dados pessoais. Violação, Execução e Conformidade O Encarregado de Dados Pessoais (DPO) é responsável por monitorar os controles e apoiar as atividades, garantindo que todas as áreas cumpram esta política. Qualquer suspeita de violação desta política deve ser reportada ao Setor de T.I e ao Encarregado de Dados Pessoais. Todos os casos de suspeita deverão ser apurados, podendo ser aplicadas medidas disciplinas, administrativas e judiciais. Contato Facilitado Os titulares dos dados tratados pela empresa podem exercer seus direitos durante todo o período de tratamento e suas solicitações serão respondidas em conformidade com a forma e prazos exigidos pelas normas aplicáveis. O titular, ao formalizar uma solicitação sobre seus dados pessoais, deve indicar claramente seu nome completo, inserir uma cópia de um documento de identificação e indicar o endereço ou e-mail para o qual a resposta deve ser enviada. O Encarregado pode ser contatado no e-mail privacidade@gv8capital.com.br para responder a eventuais dúvidas ou fornecer maiores informaçõessobre esta Política de Retenção e Descarte de Dados Pessoais Atualização A GV8 Capital se reserva ao direito de alterar ou atualizar esta Política a qualquer tempo.