background

Segurança da Informação

Controles que protegem o dado que você nos confia.

Segurança da Informação

Prevenir, detectar, responder — e assumir que nenhum sistema é inviolável.

Modelo mental

Tratamos segurança como disciplina operacional, não como produto. A pergunta que guia nossas decisões não é “isso é seguro?”, e sim “se um atacante comprometer esta camada, o que acontece depois?”. A resposta precisa sempre existir e sempre ser pequena.

Controles técnicos

  • Criptografia em trânsito (TLS 1.2+) e em repouso para todos os dados de clientes.
  • Autenticação com MFA obrigatório em sistemas internos e de provedor.
  • Controle de acesso por função (RBAC) com concessão por prazo definido.
  • Logs centralizados e imutáveis para ações sobre dados de clientes.
  • Segmentação de rede entre ambientes de desenvolvimento, homologação e produção.
  • Backups diários com teste regular de restauração.
  • Varreduras automatizadas de vulnerabilidade em dependências e infraestrutura.

Controles organizacionais

  • Inventário de dados com classificação de sensibilidade.
  • Termo de confidencialidade para todos os colaboradores e parceiros.
  • Política de mesa limpa e tela bloqueada.
  • Treinamento inicial e reciclagem anual em phishing, engenharia social e boas práticas.
  • Política formal de BYOD e gestão de dispositivos corporativos.

Gestão de acesso

O acesso a dados de clientes é concedido por necessidade — nunca por cargo. Toda concessão tem prazo, registra motivo e é revisada periodicamente. Desligamentos revogam acessos em até 24h.

Resposta a incidentes

Operamos um plano formal de resposta a incidentes com papéis definidos, fluxo de comunicação e cronograma de notificação. Em caso de incidente que possa gerar risco relevante a dados de terceiros:

  • Contenção imediata, com registro técnico completo.
  • Análise de escopo e impacto em até 72 horas.
  • Notificação à ANPD e aos clientes afetados quando aplicável, conforme art. 48 da LGPD.
  • Pós-mortem com ações de prevenção, revisadas pelo comitê.

Fornecedores e subprocessadores

Mantemos lista de fornecedores que processam dados em nosso nome. Cada um passa por due diligence de segurança e proteção de dados antes de ser contratado. Principais categorias: infraestrutura em nuvem, armazenamento de mídia, entrega de e-mail, observabilidade.

Detalhes sobre tratamento de dados pessoais e a lista atualizada estão em Política de Privacidade e em LGPD.

Buscas mais frequentes