Política de Segurança da Informação

Versão 1.0  ·  Vigência: Abril de 2026  ·  Revisão: Abril de 2027

1. Objetivo

Este documento estabelece as diretrizes, controles e responsabilidades adotados pela plataforma para garantir a confidencialidade, integridade e disponibilidade das informações processadas, armazenadas e transmitidas pelo sistema.

2. Escopo

Esta política aplica-se a todos os componentes da plataforma, incluindo serviços de back-end, interfaces de programação de aplicações (APIs) e interface web. Abrange dados de usuários, empresas, transações financeiras, documentos e demais informações operacionais.

3. Controle de Acesso

3.1 Autenticação

  • Acesso requer autenticação por token assinado digitalmente com prazo de validade definido.
  • Tokens invalidados são registrados em lista de bloqueio persistente, impedindo reutilização após encerramento de sessão.
  • Senhas são armazenadas exclusivamente na forma de hash irreversível com fator de custo elevado, nunca em texto legível.
  • Verificações de identidade por e-mail e número de telefone são exigidas no cadastro e em operações sensíveis.

3.2 Autorização

  • O sistema adota controle de acesso baseado em perfis (RBAC): usuário comum, empresa e administrador do sistema.
  • Cada requisição é validada por guardiões de autorização que verificam o perfil do solicitante antes de conceder acesso ao recurso.
  • Rotas administrativas e operações de sistema são protegidas por camadas adicionais de verificação independentes da autenticação do usuário.

3.3 Bloqueio por Tentativas Excessivas

  • Após tentativas de autenticação malsucedidas consecutivas, o endereço de origem é bloqueado automaticamente por período determinado.
  • Rotas públicas de verificação possuem controle de taxa próprio armazenado em banco de dados, resistente a reinicializações do serviço.
  • Administradores podem liberar bloqueios manualmente mediante justificativa registrada.

4. Criptografia

4.1 Dados em Trânsito

  • Toda comunicação entre clientes e a plataforma ocorre sobre protocolo seguro (HTTPS/TLS), com redirecionamento obrigatório de conexões não cifradas.
  • Conexões em tempo real utilizam protocolo WebSocket Secure (WSS).
  • Versões de protocolo inferiores a TLS 1.2 são rejeitadas.
  • O cabeçalho HSTS é aplicado, instruindo navegadores a utilizarem exclusivamente HTTPS por período mínimo de um ano.
  • Chamadas a serviços externos são realizadas com validação de certificado obrigatória.

4.2 Dados em Repouso

  • Colunas sensíveis no banco de dados são cifradas com o algoritmo AES-256-GCM antes do armazenamento.
  • Cada valor cifrado possui vetor de inicialização (IV) único e tag de autenticação, garantindo integridade e impossibilidade de manipulação silenciosa.
  • A chave de criptografia é derivada por função de derivação de chave (scrypt) a partir de segredo armazenado em variável de ambiente, nunca embutido no código-fonte.
  • Senhas são protegidas por hash unidirecional e nunca armazenadas em texto legível.

4.3 Cabeçalhos de Segurança HTTP

  • Os serviços aplicam conjunto de cabeçalhos de segurança HTTP, incluindo Content-Security-Policy, X-Frame-Options e X-Content-Type-Options, para mitigar ataques de injeção de conteúdo e clickjacking.

5. Registro e Auditoria

5.1 Log de Auditoria

  • Todas as operações relevantes geram registros de auditoria persistidos em banco de dados, contendo: identificador do usuário, tipo de ação, recurso acessado, detalhes da operação e timestamp.
  • O interceptador de auditoria é aplicado globalmente em todos os endpoints.
  • Os registros são consultáveis por administradores com filtros por usuário, tipo de ação e período.

5.2 Eventos de Segurança

  • Tentativas de autenticação (sucesso e falha), bloqueios por excesso de tentativas e tokens inválidos são registrados como eventos de segurança com endereço de origem, agente de usuário e timestamp.
  • Eventos críticos geram alertas imediatos nos logs do sistema.

5.3 Rastreamento de Atividade

  • Um middleware de rastreamento de atividade está aplicado a todas as rotas, permitindo identificar padrões de uso anômalos e sessões ativas.

6. Disponibilidade e Continuidade

6.1 Ambientes Isolados

  • Os ambientes de desenvolvimento e produção utilizam bancos de dados completamente separados, eliminando o risco de contaminação ou vazamento de dados reais em testes.
  • Variáveis de ambiente são carregadas de arquivos distintos por ambiente, controlados por configuração explícita de execução.

6.2 Backup e Recuperação

  • Backups periódicos do banco de dados são realizados e armazenados em local dedicado.
  • O processo de backup é documentado e pode ser executado manualmente ou de forma automatizada.
  • Procedimentos de restauração são verificados periodicamente para garantir a integridade dos backups.

6.3 Modo de Manutenção

  • A plataforma possui mecanismo de modo de manutenção controlado, que restringe o acesso de usuários comuns durante operações críticas, mantendo acesso apenas para administradores autorizados.

7. Segurança no Desenvolvimento

  • Segredos, chaves e credenciais nunca são incluídos no código-fonte ou repositório de versionamento.
  • O código-fonte passa por revisão antes de implantação em produção.
  • Dependências de software são mantidas atualizadas para mitigação de vulnerabilidades conhecidas.
  • Dados sensíveis não são registrados em logs de aplicação.
  • Entradas de usuários são validadas antes do processamento em todos os endpoints.

8. Conformidade com a LGPD

  • A plataforma trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
  • Dados pessoais são coletados apenas para finalidades específicas e legítimas.
  • O acesso a dados pessoais é restrito aos usuários e sistemas com necessidade operacional justificada.
  • Em caso de incidente envolvendo dados pessoais, a plataforma adota procedimento de notificação conforme exigências legais.
  • Usuários podem solicitar acesso, correção, exclusão ou portabilidade de seus dados diretamente com o Encarregado de Proteção de Dados (DPO).

Encarregado de Proteção de Dados (DPO)

Nos termos do Art. 41 da LGPD, a plataforma possui DPO designado. Para exercer seus direitos como titular ou reportar incidentes de privacidade, entre em contato: kauadzpericias@gmail.com

Consulte nossa Política de Privacidade para detalhes completos sobre o tratamento de dados.

9. Gestão de Incidentes

Em caso de suspeita de incidente de segurança, o seguinte processo é adotado:

  1. Identificação: Detecção do evento por monitoramento automatizado ou reporte.
  2. Contenção: Isolamento imediato dos sistemas ou contas afetadas.
  3. Investigação: Análise dos logs de auditoria e eventos de segurança para determinar escopo e causa.
  4. Remediação: Correção da vulnerabilidade explorada e restauração da operação normal.
  5. Notificação: Comunicação às partes afetadas e, quando aplicável, à Autoridade Nacional de Proteção de Dados (ANPD), conforme prazos legais.
  6. Lições aprendidas: Revisão dos controles para prevenção de recorrência.

10. Revisão da Política

Esta política é revisada anualmente ou sempre que houver mudanças significativas na arquitetura da plataforma, na legislação aplicável ou após ocorrência de incidente relevante. Versões anteriores são mantidas em arquivo para fins de rastreabilidade.

Para dúvidas ou solicitações relacionadas à segurança da informação, entre em contato pelos canais oficiais disponíveis na plataforma.