Voltar ao Site

Segurança da Informação

Última atualização: 14 de novembro de 2025

A segurança dos seus dados é prioridade máxima para a Plataforma Híbrida. Implementamos medidas técnicas e organizacionais rigorosas para proteger informações contra acesso não autorizado, perda, destruição ou alteração.

Esta página detalha nossas práticas de segurança, certificações e procedimentos de resposta a incidentes.

1. Arquitetura de Segurança

Segurança em Camadas

  • Firewall de aplicação (WAF)
  • Detecção e prevenção de intrusão
  • Monitoramento 24/7
  • Logs centralizados e auditoria

Infraestrutura Cloud

  • Provedores tier-1 certificados
  • Redundância geográfica
  • Alta disponibilidade (99.9% uptime)
  • Isolamento de ambientes

2. Criptografia de Dados

Em Trânsito

  • TLS 1.3 para todas as comunicações
  • Certificados SSL/TLS de autoridades confiáveis
  • Perfect Forward Secrecy (PFS)
  • HSTS (HTTP Strict Transport Security)

Em Repouso

  • Criptografia AES-256 para dados armazenados
  • Banco de dados com criptografia nativa
  • Backups criptografados
  • Gerenciamento seguro de chaves (KMS)

Dados Sensíveis

  • Hashing irreversível (bcrypt) para senhas
  • Tokenização de informações de pagamento
  • Anonimização de dados analíticos
  • Pseudonimização quando aplicável

3. Controle de Acesso

Implementamos rigoroso controle de acesso baseado no princípio do menor privilégio:

Autenticação Multi-Fator (MFA)

  • MFA obrigatório para todos os colaboradores
  • Autenticação baseada em tokens temporários
  • Biometria quando suportada
  • Sessões com timeout automático

Segregação de Funções

Permissões baseadas em função (RBAC) com aprovações necessárias para ações críticas

Revisão Periódica

Auditoria trimestral de permissões e remoção automática de acessos inativos

Logs de Acesso

Registro completo de todas as tentativas de acesso e ações realizadas

4. Gestão de Vulnerabilidades

Mantemos programa contínuo de identificação e correção de vulnerabilidades:

1

Scans Automatizados

Varreduras semanais de vulnerabilidades em aplicações e infraestrutura

2

Pentests Regulares

Testes de penetração semestrais por empresas especializadas independentes

3

Patch Management

Atualizações críticas aplicadas em até 48h, atualizações regulares mensalmente

4

Bug Bounty

Programa de recompensa por vulnerabilidades (planejado para fase GA)

5. Backup e Recuperação de Desastres

Estratégia de Backup

  • Frequência: Backups automáticos diários
  • Retenção: 30 dias para dados operacionais
  • Localização: Múltiplas regiões geográficas
  • Criptografia: Todos os backups criptografados
  • Teste: Restauração testada mensalmente

Plano de Continuidade

  • RTO: Recovery Time Objective de 4 horas
  • RPO: Recovery Point Objective de 1 hora
  • Failover: Automático para região secundária
  • Simulações: Drills trimestrais de disaster recovery
  • Documentação: Procedimentos atualizados

6. Monitoramento de Segurança

Operamos Security Operations Center (SOC) 24/7 com:

Detecção de Ameaças

  • SIEM (Security Information and Event Management)
  • Análise comportamental de usuários (UBA)
  • Detecção de anomalias com ML
  • Threat intelligence feeds

Resposta a Incidentes

  • Playbooks documentados para cenários comuns
  • Equipe dedicada de resposta
  • Comunicação automatizada de alertas
  • Post-mortem após cada incidente

7. Compliance e Certificações

LGPD

Conformidade com Lei Geral de Proteção de Dados

GDPR

Regulamento Geral de Proteção de Dados (UE)

SOC 2 Type II

Em processo de certificação

Roadmap de Certificações: Planejamos obter ISO 27001 e SOC 2 Type II após conclusão da fase beta e estabilização do produto.

8. Procedimento de Resposta a Incidentes

Em Caso de Incidente de Segurança

  1. 1. Contenção: Isolamento imediato do incidente (minutos)
  2. 2. Investigação: Análise de causa raiz e extensão do impacto
  3. 3. Erradicação: Remoção da ameaça e correção de vulnerabilidades
  4. 4. Recuperação: Restauração segura dos serviços
  5. 5. Comunicação: Notificação de usuários afetados dentro de 72h
  6. 6. Lições Aprendidas: Documentação e melhorias de processo

Notificação de Violação de Dados

Conforme LGPD e GDPR, notificaremos:

  • Autoridade: ANPD/DPA em até 72 horas da descoberta
  • Titulares: Usuários afetados sem demora injustificada
  • Conteúdo: Natureza da violação, dados afetados, medidas tomadas, contato do DPO

9. Segurança da Força de Trabalho

Nossa equipe é parte fundamental da segurança:

Treinamento

  • Onboarding de segurança obrigatório
  • Treinamento anual de awareness
  • Simulações de phishing trimestrais
  • Atualizações sobre novas ameaças

Controles

  • Background checks na contratação
  • NDAs e acordos de confidencialidade
  • Política de mesa limpa e tela bloqueada
  • Offboarding seguro (revogação imediata)

10. Segurança de Terceiros

Avaliamos rigorosamente fornecedores que processam dados:

  • Due diligence de segurança antes da contratação
  • Contratos com cláusulas de proteção de dados (DPA)
  • Auditorias periódicas de compliance
  • Lista restrita de fornecedores aprovados
  • Monitoramento contínuo de riscos de terceiros

Reportar Vulnerabilidade ou Incidente

Se você descobriu uma vulnerabilidade de segurança ou suspeita de um incidente:

Email de Segurança:
security@controllato.com.br

Resposta: Reconhecimento em até 24 horas, investigação iniciada imediatamente

Divulgação Responsável: Pedimos que não divulgue publicamente vulnerabilidades até que tenhamos tempo adequado para correção (90 dias padrão)