Segurança e proteção de dados públicos
Conformide processa dados orçamentários sensíveis. Tratamos isso com a seriedade que setor público merece — criptografia em trânsito, acesso mínimo, auditoria total.
Compromissos
Quatro pilares que organizam toda a postura de segurança
LGPD desde o desenho
Política de privacidade pública, DPO designado, base legal documentada para cada categoria de dado processado.
Criptografia em trânsito
Toda comunicação entre prefeitura e Conformide via TLS 1.2+. Sem dado trafegando em claro.
Acesso mínimo necessário
Conta de serviço de banco com escopo restrito. Sem credenciais administrativas no ERP.
Trilha de auditoria completa
Toda captura, análise e decisão fica registrada com timestamp, usuário responsável e contexto.
Defesa em profundidade
Quatro camadas que se reforçam mutuamente
Falha em uma camada não compromete o todo. Cada camada tem seu papel, documentado e auditável.
Camada de transporte
TLS 1.2+ em todas as conexões entre extensão, agente RPA e backend Conformide. Certificados válidos auditáveis externamente.
Camada de aplicação
Autenticação por token de serviço com escopo definido por município. Cada operador, cada agente, cada API call é identificável.
Camada de armazenamento
Dados em repouso criptografados na infraestrutura cloud. Backups com retenção configurada conforme política do município. {/* VALIDAR claim de criptografia at-rest */}
Camada de governança
Acessos administrativos via SSO + 2FA obrigatório. Logs de operação retidos para auditoria interna e externa.
LGPD e governança de dados
Aderência operacional, não cosmética
A LGPD não é uma página de aviso. É um conjunto de práticas operacionais que determinam como dados são coletados, armazenados, processados e deletados.
Base legal documentada
Cada categoria de dado processado tem base legal LGPD identificada (execução de contrato, obrigação legal, etc).
DPO designado
Encarregado pelo Tratamento de Dados Pessoais (DPO) acessível em /privacidade.
Direitos do titular
Canal estabelecido para exercício dos direitos LGPD (acesso, retificação, exclusão, portabilidade).
Retenção configurável
A prefeitura define o período de retenção dos dados. Conformide segue, com expurgo programático.
Controles operacionais
O que significa, na prática, durante a operação
Quem acessa o quê
- Acesso administrativo Conformide via SSO + 2FA obrigatório.
- Operadores da prefeitura recebem acesso por papel (RBAC).
- Sessão expira após inatividade configurável.
- Logout forçado em mudança de senha ou suspeita de comprometimento.
Audit trail
- Cada captura de dado registra timestamp + usuário ERP responsável.
- Cada análise de risco registra a regra aplicada e o resultado.
- Cada decisão administrativa (alerta, bloqueio, override) é rastreável.
- Histórico exportável em formato auditável para TCE/TCU/CGU/MP.
Resposta a incidentes
- Procedimento documentado de notificação ANPD em até 72h, conforme LGPD.
- Comunicação ao titular afetado conforme exigência legal.
- Postmortem técnico interno em todo incidente, sem cultura de blame.
Continuidade
- Backups regulares com retenção configurada por município.
- Disaster recovery testado periodicamente.
- Em caso de descontinuação contratual, exportação completa dos dados.
Documentação técnica completa
Pra quem precisa avaliar com profundidade
TI municipal, CISO ou DPO da prefeitura: temos documentação técnica detalhada disponível mediante NDA. Política de Privacidade pública e Política de Segurança da Informação acessíveis a qualquer momento.