Legal

Segurança

Última atualização: fevereiro de 2026

Aviso: Este documento é um modelo base. Recomenda-se revisão jurídica e técnica especializada antes da publicação e uso em produção.

1. Compromisso com a Segurança

A segurança dos dados e da infraestrutura do CIA — Console Integrado de Análise é uma prioridade contínua. Adotamos um programa de segurança baseado em risco, com revisão periódica de controles técnicos e organizacionais, seguindo referências como ISO/IEC 27001, OWASP e as diretrizes da ANPD.

2. Controles Técnicos

  • Criptografia em trânsito: todas as comunicações entre cliente e servidor são protegidas por TLS 1.2 ou superior (HTTPS obrigatório);
  • Criptografia em repouso: dados sensíveis armazenados são cifrados com AES-256 ou equivalente;
  • Autenticação: suporte a autenticação multifator (MFA) e políticas de senhas robustas;
  • Controle de acesso: modelo de menor privilégio (least privilege), com revisão periódica de permissões;
  • Registro de auditoria: logs imutáveis de acesso e operações críticas, com retenção mínima de 12 meses;
  • Testes de segurança: varreduras regulares de vulnerabilidades e testes de penetração periódicos;
  • Gestão de dependências: monitoramento contínuo de CVEs em bibliotecas de terceiros com atualização tempestiva.

3. Controles Organizacionais

  • Treinamento periódico da equipe sobre segurança da informação e engenharia social;
  • Política de controle de acesso e gestão de identidades documentada;
  • Procedimentos de offboarding que incluem revogação imediata de acessos;
  • Avaliação de segurança de fornecedores e prestadores de serviço antes da contratação;
  • Plano de continuidade de negócios e recuperação de desastres (BCP/DRP) testado anualmente.

4. Infraestrutura e Disponibilidade

A Plataforma é hospedada em provedores de nuvem com certificação SOC 2 Type II e ISO 27001. Contamos com:

  • Backups automatizados com frequência mínima diária e retenção de 30 dias;
  • Monitoramento 24/7 de disponibilidade e alertas de anomalias;
  • Segregação de ambientes de desenvolvimento, homologação e produção;
  • Proteção contra DDoS gerenciada pelo provedor de infraestrutura.

5. Resposta a Incidentes

Mantemos um processo documentado de resposta a incidentes de segurança com as seguintes etapas:

  1. Detecção e triagem: identificação e classificação do incidente por nível de severidade;
  2. Contenção: isolamento de sistemas ou dados afetados para limitar o impacto;
  3. Investigação: análise forense para determinar causa raiz, escopo e dados envolvidos;
  4. Notificação: comunicação aos titulares afetados e à ANPD no prazo de 72 horas, conforme exigência da LGPD (art. 48), quando aplicável;
  5. Remediação e aprendizado: correção do vetor de ataque e documentação das lições aprendidas.

6. Divulgação Responsável de Vulnerabilidades

Se você identificar uma vulnerabilidade de segurança no CIA, por favor nos notifique de forma responsável antes de qualquer divulgação pública:

  • E-mail: seguranca@cia.com.br
  • Inclua na mensagem: descrição detalhada, passos para reprodução, impacto estimado e sua proposta de coordenação;
  • Nos comprometemos a responder em até 5 dias úteis e a trabalhar com você na resolução antes da divulgação pública.

Por favor, não realize testes de penetração em ambientes de produção sem autorização prévia por escrito.

7. Responsabilidade Compartilhada

A segurança é uma responsabilidade compartilhada. O Usuário é responsável por:

  • Manter suas credenciais de acesso confidenciais;
  • Utilizar dispositivos e redes seguras para acessar a Plataforma;
  • Reportar suspeitas de comprometimento imediatamente;
  • Manter navegadores e sistemas operacionais atualizados.

8. Contato de Segurança

Para questões relacionadas à segurança da Plataforma, utilize exclusivamente o canal seguranca@cia.com.br. Para questões gerais, acesse nossa página de contato.