Política de Criptografia de Dados

1. Disposições Gerais

1.1. A 48px Software Ltda. ("48px") adota técnicas de criptografia como medida de segurança para proteção de dados pessoais e informações confidenciais, em conformidade com as melhores práticas de mercado e padrões internacionalmente reconhecidos.

1.2. A criptografia constitui medida técnica essencial para garantir a confidencialidade, integridade e autenticidade das informações tratadas pela 48px.

2. Fundamento Legal

A adoção de criptografia pela 48px fundamenta-se em:

• LGPD, Art. 6º, VII: Princípio da segurança no tratamento de dados pessoais;
• LGPD, Art. 46: Obrigação de adotar medidas técnicas aptas a proteger dados pessoais;
• LGPD, Art. 48, §3º: Criptografia como fator atenuante na comunicação de incidentes de segurança;
• Marco Civil da Internet, Art. 13: Proteção de registros de conexão e acesso;
• Normas ISO/IEC 27001 e 27002: Padrões internacionais de segurança da informação.

3. Escopo de Aplicação

3.1. Esta política aplica-se a:

• Dados pessoais e dados pessoais sensíveis (Art. 5º, I e II, LGPD);
• Informações classificadas como confidenciais conforme nossa Política de Segurança da Informação;
• Comunicações entre sistemas, aplicativos e usuários;
• Dados armazenados em nossos sistemas e infraestrutura.

4. Compromisso de Proteção

4.1. Dados em Trânsito: Todas as comunicações entre os sistemas da 48px e seus usuários são protegidas por protocolos de criptografia atualizados e reconhecidos internacionalmente, impedindo a interceptação ou adulteração das informações.

4.2. Dados em Repouso: Informações sensíveis armazenadas em nossos sistemas são protegidas por mecanismos criptográficos que garantem sua confidencialidade, mesmo em caso de acesso não autorizado ao meio de armazenamento.

4.3. Credenciais de Acesso: Senhas e demais credenciais de autenticação são processadas por algoritmos que impossibilitam sua recuperação, garantindo que nem mesmo a 48px tenha acesso às senhas originais dos usuários.

5. Gestão de Chaves Criptográficas

5.1. A 48px mantém procedimentos documentados para geração, armazenamento, distribuição, renovação e destruição de chaves criptográficas.

5.2. As chaves criptográficas são protegidas por controles de acesso rigorosos, sendo acessíveis apenas a pessoal autorizado.

5.3. A 48px realiza a renovação periódica das chaves criptográficas conforme procedimentos internos de segurança.

6. Padrões e Certificações

6.1. A 48px utiliza exclusivamente algoritmos e protocolos criptográficos reconhecidos por organismos internacionais de padronização e segurança.

6.2. Não são utilizados algoritmos obsoletos ou que apresentem vulnerabilidades conhecidas.

6.3. A adequação dos padrões criptográficos é revisada periodicamente para garantir conformidade com as evoluções tecnológicas e regulatórias.

7. Incidentes de Segurança

7.1. Em caso de incidente de segurança envolvendo dados pessoais, a existência de criptografia será considerada na análise de riscos e na comunicação aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD), conforme Art. 48 da LGPD.

7.2. A criptografia adequada pode atenuar ou eliminar a necessidade de comunicação aos titulares quando o incidente não representar risco relevante aos seus direitos.

8. Responsabilidades

• Área de Tecnologia: Implementar e manter os controles criptográficos;
• Área de Segurança: Definir padrões e auditar sua aplicação;
• Encarregado (DPO): Supervisionar a conformidade com a LGPD;
• Colaboradores: Utilizar os recursos conforme orientações de segurança.

9. Auditoria e Revisão

9.1. Os controles criptográficos são objeto de auditoria periódica, interna ou externa, para verificação de sua adequação e eficácia.

9.2. Esta política é revisada anualmente ou quando houver alterações relevantes na legislação, tecnologia ou nos riscos identificados.

10. Disposições Finais

10.1. Informações técnicas detalhadas sobre a implementação criptográfica são tratadas como informação confidencial e não são divulgadas publicamente por razões de segurança.

10.2. Dúvidas sobre esta política podem ser encaminhadas ao Encarregado de Proteção de Dados.