Política de Segurança da Informação

Última atualização: 28/03/2025

A Codgital ("nós", "nossa empresa" ou "organização") está comprometida com a proteção e segurança das informações de nossos clientes, parceiros e colaboradores. Esta Política de Segurança da Informação estabelece as diretrizes fundamentais para garantir a confidencialidade, integridade e disponibilidade dos dados sob nossa responsabilidade.

1. Objetivo e Escopo

1.1. Objetivo: Estabelecer diretrizes para a proteção dos ativos de informação da Codgital e de terceiros, garantindo a continuidade dos negócios e minimizando riscos de segurança.

1.2. Escopo: Esta política aplica-se a todos os funcionários, prestadores de serviços, parceiros e terceiros que tenham acesso às informações da Codgital.

2. Princípios Fundamentais

• Confidencialidade: Garantir que as informações sejam acessíveis apenas por pessoas autorizadas

• Integridade: Assegurar a precisão e completude das informações e métodos de processamento

• Disponibilidade: Garantir que usuários autorizados tenham acesso às informações quando necessário

• Autenticidade: Verificar a identidade de usuários, processos ou sistemas

• Não-repúdio: Impedir a negação da autoria de ações realizadas no sistema

3. Governança e Responsabilidades

3.1. Alta Direção: Gabriel Ramalho e Marcon Willian, como fundadores, são responsáveis por aprovar esta política e garantir recursos adequados para sua implementação.

3.2. Gestão de TI: Responsável pela implementação técnica das medidas de segurança e monitoramento contínuo.

3.3. Todos os Colaboradores: Devem conhecer, compreender e cumprir as diretrizes desta política em suas atividades diárias.

4. Controles de Acesso e Autenticação - Conformidade Legal

4.1. Política de Controle de Acesso Publicada: A Codgital mantém esta política de controle de acesso formalmente publicada e disponível a todos os colaboradores e parceiros, restringindo rigorosamente o acesso a dados pessoais baseado no princípio do privilégio mínimo.

4.2. Princípio do Menor Privilégio: Todos os funcionários e partes contratantes recebem privilégios de acesso estritamente baseados em suas funções específicas. Nenhum usuário possui acesso além do necessário para execução de suas atividades.

4.3. Gestão de Logs de Acesso: Mantemos registros completos de logs de acesso ao sistema, incluindo horários, usuários, recursos acessados e ações realizadas, com retenção mínima de 2 anos.

4.4. Revisão Anual de Privilégios: Os privilégios de usuário para todos os sistemas da empresa são revisados no mínimo uma vez por ano, com revisões adicionais sempre que há mudanças de função ou desligamento de colaboradores.

4.5. Controles Técnicos Implementados:

• Implementação de autenticação multifator (MFA) para sistemas críticos

• Políticas de senhas fortes com complexidade e alteração regular

• Bloqueio automático de contas após tentativas de login falhadas

• Monitoramento em tempo real e auditoria de acessos aos sistemas

• Segregação de ambientes (desenvolvimento, homologação e produção)

5. Proteção de Dados e Informações - Conformidade Legal

5.1. Política de Classificação de Dados Publicada: A Codgital mantém uma política formal de classificação de dados publicada e implementada. As informações são rigorosamente classificadas em quatro níveis: Públicas, Internas, Confidenciais e Secretas, cada uma com controles específicos de proteção e acesso.

5.2. Criptografia Obrigatória - Dados em Trânsito: TODOS os dados confidenciais são obrigatoriamente criptografados durante transmissão utilizando TLS 1.3+ (Transport Layer Security). Nenhuma informação sensível trafega sem criptografia adequada.

5.3. Criptografia Obrigatória - Dados em Repouso: TODOS os dados confidenciais armazenados são obrigatoriamente criptografados utilizando algoritmo AES-256 (Advanced Encryption Standard). Bancos de dados, arquivos e backups contendo informações sensíveis possuem criptografia ativa.

5.4. Controles por Classificação:

• Dados Públicos: Sem restrições de acesso, podem ser divulgados

• Dados Internos: Acesso restrito a colaboradores autorizados

• Dados Confidenciais: Acesso mediante autorização específica + criptografia obrigatória

• Dados Secretos: Máximo nível de proteção + criptografia + auditoria completa

5.5. Backup Seguro: Backups automáticos diários com criptografia AES-256, teste de recuperação mensal e armazenamento em múltiplas localizações geográficas seguras.

6. Segurança da Infraestrutura

• Firewalls configurados com regras restritivas

• Sistemas de detecção e prevenção de intrusões (IDS/IPS)

• Monitoramento 24/7 da infraestrutura

• Atualizações de segurança aplicadas em até 72 horas

• Segregação de redes por criticidade e função

• Controle físico de acesso aos servidores e equipamentos

7. Desenvolvimento Seguro

• Análise de segurança em todas as fases do desenvolvimento

• Testes de penetração em aplicações críticas

• Revisão de código focada em segurança

• Utilização de ferramentas SAST e DAST

• Treinamento em desenvolvimento seguro para a equipe

8. Gestão de Incidentes de Segurança

8.1. Detecção: Monitoramento contínuo para identificação precoce de incidentes.

8.2. Resposta: Plano de resposta a incidentes com times definidos e procedimentos documentados.

8.3. Recuperação: Procedimentos para restauração dos serviços e análise de lições aprendidas.

9. Treinamento e Conscientização

9.1. Programa de Treinamento: Todos os colaboradores recebem treinamento anual sobre segurança da informação.

9.2. Simulações: Realização de exercícios de phishing e outros testes de conscientização.

9.3. Comunicação: Divulgação regular de alertas e boas práticas de segurança.

10. Conformidade e Auditoria

• Conformidade com LGPD, GDPR e outras regulamentações aplicáveis

• Auditorias internas semestrais de segurança

• Auditorias externas anuais por empresa especializada

• Documentação e evidências de conformidade

• Relatórios de segurança para alta direção

11. Gestão de Fornecedores e Terceiros

11.1. Avaliação: Todos os fornecedores são avaliados quanto aos riscos de segurança antes da contratação.

11.2. Contratos: Cláusulas específicas de segurança são incluídas em todos os contratos.

11.3. Monitoramento: Acompanhamento contínuo do desempenho de segurança dos fornecedores.

11.4. Exigências Contratuais para Parceiros: Todos os parceiros devem comprovar possuir uma política de controle de acesso publicada equivalente aos nossos padrões. É obrigatório que implementem o princípio do menor privilégio, mantenham logs de acesso e realizem revisões anuais de privilégios de usuário em seus sistemas.

12. Revisão e Atualização

Esta política é revisada e atualizada anualmente ou sempre que necessário devido a mudanças no ambiente de negócios, tecnológico ou regulatório. As atualizações são comunicadas a todos os envolvidos e requerem nova aprovação da alta direção.

13. Declaração de Conformidade Legal

A Codgital DECLARA e CONFIRMA o cumprimento integral de todos os requisitos legais estabelecidos:

✓ Política de Controle de Acesso Publicada: Esta política está formalmente publicada e implementada, restringindo acesso a dados pessoais exclusivamente com base no princípio do privilégio mínimo.

✓ Privilégios Baseados em Funções: Todos os funcionários e partes contratantes recebem privilégios de acesso exclusivamente baseados em suas funções específicas de trabalho.

✓ Manutenção de Logs de Acesso: Mantemos obrigatoriamente logs completos de acesso ao sistema, incluindo registro de todas as atividades e acessos a dados pessoais.

✓ Revisão Anual de Privilégios: Realizamos revisão obrigatória dos privilégios de usuário para todos os sistemas da empresa no mínimo uma vez por ano, conforme exigido por lei.

✓ Exigências para Parceiros: Todos os nossos parceiros são obrigados contratualmente a possuir política de controle de acesso publicada e cumprir os mesmos padrões de segurança aqui estabelecidos.

✓ Política de Classificação de Dados Publicada: Mantemos política formal de classificação de dados publicada, categorizando informações em quatro níveis distintos com controles específicos de proteção.

✓ Criptografia de Dados Confidenciais: TODOS os dados confidenciais são obrigatoriamente criptografados tanto em trânsito (TLS 1.3+) quanto em repouso (AES-256), conforme exigido por lei.

14. Contato e Reporte de Incidentes

Para reportar incidentes de segurança ou esclarecer dúvidas sobre esta política:

Email: [email protected]

Telefone: +55 (11) 96976-8796 (24/7)

Resposta a Incidentes: Para procedimentos detalhados de resposta a incidentes e gerenciamento de vulnerabilidades, consulte nossa Política de Resposta a Incidentes e Gerenciamento de Vulnerabilidades.

Aprovado por: Gabriel Ramalho e Marcon Willian - Fundadores da Codgital