Esta política está em conformidade com a ISO/IEC 27001:2022, LGPD (Lei nº 13.709/2018) e Marco Civil da Internet (Lei nº 12.965/2014).

1. Objetivo

Estabelecer diretrizes, responsabilidades e controles para garantir a confidencialidade, integridade e disponibilidade das informações, protegendo os ativos de informação da 48px Software Ltda. contra ameaças internas e externas.

2. Abrangência

Esta política aplica-se a:

  • Todos os colaboradores, terceiros, prestadores de serviços e parceiros;
  • Todos os ativos de informação, sistemas, redes e infraestrutura;
  • Informações em qualquer formato (digital, físico, verbal);
  • Todos os ambientes (escritório, home office, cloud).

3. Princípios de Segurança

Confidencialidade

Garantir que informações sejam acessadas apenas por pessoas autorizadas.

Integridade

Assegurar que informações não sejam alteradas de forma não autorizada.

Disponibilidade

Garantir acesso às informações quando necessário.

4. Classificação da Informação

Classificação Descrição Controles
Confidencial Dados sensíveis, segredos comerciais, dados pessoais Criptografia, acesso restrito, auditoria
Interno Informações operacionais de uso interno Autenticação, controle de acesso
Público Informações destinadas ao público geral Aprovação prévia para publicação

5. Controle de Acesso

  • Princípio do Menor Privilégio: Acesso concedido apenas ao mínimo necessário;
  • Autenticação Forte: MFA obrigatório para sistemas críticos;
  • Revisão Periódica: Revisão trimestral de acessos;
  • Desligamento: Revogação imediata de acessos em desligamentos.

6. Gestão de Senhas

  • Mínimo de 12 caracteres com letras, números e símbolos;
  • Troca obrigatória a cada 90 dias para sistemas críticos;
  • Proibido reutilização das últimas 5 senhas;
  • Uso de gerenciadores de senha recomendado;
  • Proibido compartilhamento de credenciais.

7. Segurança de Rede e Infraestrutura

  • Firewall: Proteção de perímetro com regras restritivas;
  • VPN: Obrigatória para acesso remoto;
  • Criptografia: TLS 1.3 para comunicações, AES-256 para dados em repouso;
  • Segmentação: Separação de redes por criticidade;
  • Monitoramento: Logs centralizados e alertas em tempo real.

8. Gestão de Vulnerabilidades

  • Varreduras de vulnerabilidade mensais;
  • Patches de segurança críticos aplicados em até 72 horas;
  • Testes de penetração anuais;
  • Programa de Bug Bounty para vulnerabilidades reportadas.

9. Backup e Recuperação

  • Frequência: Backups diários incrementais, semanais completos;
  • Retenção: 30 dias para diários, 12 meses para mensais;
  • Criptografia: Backups criptografados em repouso;
  • Testes: Restauração testada trimestralmente;
  • Offsite: Réplica geográfica em região secundária.

10. Resposta a Incidentes

1Identificação e triagem
2Contenção imediata
3Erradicação da ameaça
4Recuperação dos sistemas
5Análise e lições aprendidas

Incidentes de segurança devem ser reportados imediatamente para: seguranca@48px.dev

11. Conformidade LGPD

  • Registro de operações de tratamento de dados pessoais;
  • Relatório de Impacto à Proteção de Dados (RIPD) quando aplicável;
  • Comunicação à ANPD em caso de incidente com dados pessoais (Art. 48);
  • Nomeação de Encarregado de Proteção de Dados (DPO).

12. Sanções

O descumprimento desta política pode resultar em:

  • Advertência formal;
  • Suspensão de acessos;
  • Rescisão contratual;
  • Responsabilização civil e criminal conforme legislação.

13. Contato

seguranca@48px.dev