Voltar ao siteHigh Tide Systems

Política de Segurança

Última atualização: 18 de junho de 2025
Versão 1.0

Compromisso com a Segurança

A segurança dos dados é nossa prioridade máxima. Esta política descreve as medidas técnicas e organizacionais implementadas pela High Tide Systems para proteger as informações de nossos usuários e garantir a integridade, confidencialidade e disponibilidade de nossa plataforma.

Status de Segurança Atual

SSL/TLS Ativo

Certificado válido até 2026

Backup Diário

Último backup: hoje às 03:00

Monitoramento 24/7

Sistema ativo e funcionando

Índice

  1. 1. Infraestrutura e Hospedagem
  2. 2. Criptografia e Proteção de Dados
  3. 3. Controle de Acesso
  4. 4. Monitoramento e Detecção
  5. 5. Backup e Recuperação
  6. 6. Resposta a Incidentes
  7. 7. Auditoria e Conformidade
  8. 8. Responsabilidades do Usuário

1. Infraestrutura e Hospedagem

Hospedagem Segura

  • Servidores em data centers certificados ISO 27001
  • Redundância geográfica com múltiplas regiões
  • Proteção física 24/7 dos data centers
  • Controle de acesso biométrico às instalações
  • Sistemas de energia e refrigeração redundantes

Proteção de Rede

  • Firewall de aplicação web (WAF) ativo
  • Proteção contra ataques DDoS
  • Filtragem de tráfego malicioso
  • Rede privada virtual (VPN) para acesso interno
  • Segmentação de rede por camadas

Certificações e Conformidade

🏆
ISO 27001
Gestão de Segurança
🛡️
SOC 2
Controles de Segurança
🔒
LGPD
Proteção de Dados
PCI DSS
Pagamentos Seguros

2. Criptografia e Proteção de Dados

Dados em Trânsito

  • TLS 1.3 para todas as comunicações
  • Certificados SSL com validação estendida
  • HSTS (HTTP Strict Transport Security)
  • Perfect Forward Secrecy (PFS)
  • Criptografia de ponta a ponta para dados sensíveis

Dados em Repouso

  • AES-256 para criptografia de banco de dados
  • Chaves de criptografia rotacionadas regularmente
  • Armazenamento seguro de chaves (HSM)
  • Criptografia de backups e logs
  • Dados sensíveis com criptografia adicional

🔐 Algoritmos de Criptografia Utilizados

Simétrica:
  • AES-256-GCM
  • ChaCha20-Poly1305
Assimétrica:
  • RSA-4096
  • ECDSA P-384
Hash:
  • SHA-256
  • bcrypt (senhas)

3. Controle de Acesso

Autenticação

  • Autenticação multifator (MFA) obrigatória
  • Senhas com política de complexidade
  • Bloqueio automático após tentativas falhadas
  • Sessões com timeout automático
  • Tokens JWT com expiração curta

Autorização

  • Controle de acesso baseado em funções (RBAC)
  • Princípio do menor privilégio
  • Segregação de funções críticas
  • Revisão periódica de permissões
  • Aprovação para acessos elevados

⚠️ Políticas de Senha

Requisitos Mínimos:
  • Mínimo de 12 caracteres
  • Combinação de letras, números e símbolos
  • Não reutilização das últimas 12 senhas
  • Alteração obrigatória a cada 90 dias
Proteções:
  • Hash bcrypt com salt único
  • Verificação contra listas de senhas vazadas
  • Bloqueio temporário após 5 tentativas
  • Notificação de tentativas suspeitas

4. Monitoramento e Detecção

Monitoramento 24/7

  • SIEM (Security Information and Event Management)
  • Detecção de anomalias comportamentais
  • Alertas automáticos para atividades suspeitas
  • Análise de logs em tempo real
  • Correlação de eventos de segurança

Detecção de Ameaças

  • Inteligência de ameaças atualizada
  • Detecção de malware e vírus
  • Análise de comportamento de usuários
  • Identificação de tentativas de intrusão
  • Monitoramento de integridade de arquivos

📊 Métricas de Segurança Monitoradas

99.9%
Disponibilidade
<1s
Tempo de Detecção
0
Incidentes Críticos
24/7
Monitoramento

5. Backup e Recuperação

Estratégia de Backup

  • Backup automático diário às 03:00 UTC
  • Backup incremental a cada 6 horas
  • Retenção de 30 dias para backups diários
  • Retenção de 12 meses para backups mensais
  • Armazenamento em múltiplas regiões geográficas

Recuperação de Dados

  • RTO (Recovery Time Objective): 4 horas
  • RPO (Recovery Point Objective): 1 hora
  • Testes de recuperação mensais
  • Procedimentos documentados e testados
  • Equipe treinada para situações de emergência

💾 Tipos de Backup Implementados

Completo:
  • Todos os dados e configurações
  • Executado semanalmente
  • Armazenado por 12 meses
Incremental:
  • Apenas dados alterados
  • Executado a cada 6 horas
  • Armazenado por 30 dias
Snapshot:
  • Estado instantâneo do sistema
  • Antes de atualizações críticas
  • Recuperação rápida

6. Resposta a Incidentes

Plano de Resposta a Incidentes

1

Detecção

Identificação automática ou manual do incidente

2

Contenção

Isolamento e contenção da ameaça

3

Erradicação

Remoção completa da ameaça

4

Recuperação

Restauração dos serviços normais

Classificação de Incidentes

Crítico: Resposta em 15 minutos
Alto: Resposta em 1 hora
Médio: Resposta em 4 horas
Baixo: Resposta em 24 horas

Comunicação de Incidentes

  • Notificação imediata da equipe de segurança
  • Comunicação aos usuários afetados
  • Relatório à ANPD quando aplicável
  • Documentação completa do incidente
  • Análise post-incidente e melhorias

7. Auditoria e Conformidade

Auditoria Interna

  • Revisão trimestral de controles de segurança
  • Testes de penetração semestrais
  • Avaliação de vulnerabilidades mensais
  • Revisão de logs e eventos de segurança
  • Verificação de conformidade com políticas

Auditoria Externa

  • Auditoria anual por empresa certificada
  • Testes de penetração por terceiros
  • Certificação ISO 27001 renovada anualmente
  • Avaliação de conformidade LGPD
  • Relatórios de auditoria disponíveis

Logs e Rastreabilidade

Logs de Acesso:
  • Autenticação e autorização
  • Ações administrativas
  • Acesso a dados sensíveis
Logs de Sistema:
  • Eventos de segurança
  • Alterações de configuração
  • Performance e disponibilidade
Retenção:
  • Logs críticos: 7 anos
  • Logs de acesso: 2 anos
  • Logs de sistema: 1 ano

8. Responsabilidades do Usuário

Sua Parte na Segurança

A segurança é uma responsabilidade compartilhada. Enquanto protegemos nossa infraestrutura, você deve seguir as melhores práticas para manter sua conta segura:

✅ Faça

  • Use senhas fortes e únicas
  • Ative a autenticação multifator
  • Mantenha seu dispositivo atualizado
  • Faça logout ao sair
  • Reporte atividades suspeitas
  • Use redes Wi-Fi seguras

❌ Não Faça

  • Compartilhe suas credenciais
  • Use a mesma senha em outros sites
  • Acesse de computadores públicos
  • Clique em links suspeitos
  • Baixe arquivos não confiáveis
  • Ignore alertas de segurança
🚨

Suspeita de Comprometimento?

Entre em contato imediatamente

Reportar Incidente
📚

Treinamento

Materiais de segurança disponíveis

🛡️

Status de Segurança

Verifique a segurança da sua conta

Contato da Equipe de Segurança

Para questões relacionadas à segurança, vulnerabilidades ou incidentes, entre em contato:

🚨 Reportar Incidente📧 Contatar DPO📋 Política de Privacidade