Política de Segurança da Informação

Esta Política de Segurança da Informação descreve as medidas técnicas e administrativas que a Auditimuz adota para proteger os dados sob sua responsabilidade, em conformidade com os arts. 46 a 49 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, LGPD), que exigem a adoção de medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

A Auditimuz é uma plataforma de auditoria contínua (auditech). Nossas práticas se inspiram nas diretrizes da norma ABNT NBR ISO/IEC 27001 para sistemas de gestão de segurança da informação e nos controles de referência da ISO/IEC 27002, sem que isso represente afirmação de certificação formal.

Esta política se aplica à plataforma, ao site institucional, à infraestrutura de nuvem que os suporta, aos dados nela tratados e a todas as pessoas que atuam em nome da Auditimuz, incluindo colaboradores, prestadores e subprocessadores.

Nossa segurança se organiza em torno da tríade clássica da segurança da informação:

• Confidencialidade. A informação é acessível apenas a quem está autorizado, por meio de controle de acesso, isolamento entre clientes e cifragem dos dados.
• Integridade. A informação é mantida exata e completa, e qualquer alteração indevida é detectável, em especial pela trilha de auditoria encadeada por hash.
• Disponibilidade. A informação e os serviços permanecem acessíveis a quem de direito quando necessário, sustentados por redundância, backup e planos de continuidade.

Esses princípios orientam todas as decisões de arquitetura, processo e governança descritas nesta política.

A segurança da informação é tratada como responsabilidade institucional, com papéis e responsabilidades definidos:

• Gestão da segurança. Cabe a uma função responsável definir, manter e revisar os controles desta política, avaliar riscos e coordenar a resposta a incidentes.
• Encarregado (DPO). Atua como ponto de contato em matéria de proteção de dados, conforme o art. 41 da LGPD, e participa do tratamento de incidentes que envolvam dados pessoais.
• Colaboradores e prestadores. São responsáveis por observar esta política, manter sigilo sobre as informações a que têm acesso e reportar prontamente eventos de segurança.

Promovemos uma cultura de segurança por meio de conscientização periódica, definição clara de responsabilidades e revisão contínua dos controles, de modo que a proteção dos dados seja parte do trabalho diário e não uma camada acessória.

O acesso a dados e sistemas é concedido segundo o princípio do menor privilégio, limitado ao estritamente necessário para a função exercida:

• Isolamento multi-tenant. A plataforma adota arquitetura multi-tenant com isolamento lógico entre clientes, de forma que os dados de um cliente não sejam acessíveis a outro.
• Controle por papel. O acesso dentro da plataforma é regido por papéis, atribuindo a cada usuário apenas as permissões compatíveis com suas atribuições.
• Autenticação. O acesso depende de autenticação individual, com credenciais protegidas e revisão de contas quando há mudança de função ou desligamento.
• Registro de acessos. Acessos e operações relevantes são registrados, permitindo a apuração de responsabilidade e a investigação de eventos.

A proteção dos dados se apoia em mecanismos criptográficos em todo o ciclo de vida da informação:

• Dados em trânsito. As comunicações com a plataforma são cifradas por TLS, protegendo a informação contra interceptação durante o tráfego.
• Dados em repouso. Os dados armazenados são cifrados, reduzindo o risco de exposição em caso de acesso indevido à camada de armazenamento.
• Trilha selada por hash. A plataforma mantém uma trilha de auditoria encadeada por hash criptográfico (SHA-256), em que cada registro referencia o anterior. Essa cadeia torna qualquer adulteração detectável e sustenta a integridade e a não repudiação dos eventos registrados.

A segurança é incorporada ao ciclo de vida de desenvolvimento do software, e não verificada apenas ao final:

• Revisão de código. Alterações relevantes passam por revisão antes de chegarem à produção, reduzindo a introdução de falhas e vulnerabilidades.
• Ambientes segregados. Os ambientes de desenvolvimento, homologação e produção são separados, evitando que dados e configurações se misturem indevidamente.
• Boas práticas de codificação. Adotamos práticas de codificação segura e validação das dependências utilizadas, de modo a mitigar riscos conhecidos ao longo do desenvolvimento.

Parte da infraestrutura e de serviços de apoio é prestada por terceiros, como provedores de nuvem. A relação com esses fornecedores e subprocessadores é submetida a controles:

• Avaliação prévia. Realizamos diligência sobre a postura de segurança dos fornecedores antes da contratação.
• Vinculação contratual. Os fornecedores que tratam dados em nosso nome são vinculados por contrato a tratá-los somente conforme nossas instruções e em conformidade com a LGPD.
• Conformidade contínua. Mantemos acompanhamento da adequação dos subprocessadores às obrigações de segurança e proteção de dados ao longo da relação.

Mantemos um processo de tratamento de incidentes de segurança que contempla detecção, contenção, erradicação, recuperação e registro:

• Detecção e contenção. Monitoramos eventos de segurança e atuamos para conter e limitar os efeitos de um incidente assim que identificado.
• Avaliação. Avaliamos a natureza, a extensão e os riscos do incidente, em especial quanto a dados pessoais eventualmente afetados.
• Comunicação. Quando o incidente puder acarretar risco ou dano relevante aos titulares, comunicamos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, em prazo razoável, nos termos do art. 48 da LGPD. Quando atuamos como operadora, comunicamos o cliente controlador para que ele cumpra seus deveres de notificação.

Após o encerramento, conduzimos análise das causas e implementamos melhorias para reduzir a probabilidade de recorrência.

Adotamos medidas para preservar a disponibilidade dos dados e dos serviços, incluindo rotinas de backup e mecanismos de redundância na infraestrutura de nuvem. Mantemos práticas de recuperação que visam restabelecer a operação e os dados após falhas ou eventos adversos, preservando a integridade das informações recuperadas e sustentando a continuidade do serviço prestado aos clientes.

Esta política é parte de um esforço contínuo de conformidade e melhoria:

• Conformidade legal. Buscamos aderência à LGPD e às demais normas aplicáveis à segurança da informação e à proteção de dados.
• Auditoria interna. Os controles aqui descritos são objeto de verificação e ajuste, apoiados pelos registros e pela trilha de auditoria da própria plataforma.
• Revisão periódica. Esta política é revisada periodicamente e sempre que mudanças legais, tecnológicas ou operacionais o exigirem, mantendo-se vigente a versão publicada nesta página.

Dúvidas, comunicações de incidente ou solicitações relativas a esta Política de Segurança da Informação devem ser dirigidas ao nosso Encarregado pelo Tratamento de Dados Pessoais (DPO), pelo e-mail juridico@auditimuz.com.br.