Política de Segurança
Última atualização: 18 de junho de 2025
Versão 1.0
Compromisso com a Segurança
A segurança dos dados é nossa prioridade máxima. Esta política descreve as medidas técnicas e organizacionais implementadas pela High Tide Systems para proteger as informações de nossos usuários e garantir a integridade, confidencialidade e disponibilidade de nossa plataforma.
Índice
1. Infraestrutura e Hospedagem
Hospedagem Segura
- Servidores em data centers certificados ISO 27001
- Redundância geográfica com múltiplas regiões
- Proteção física 24/7 dos data centers
- Controle de acesso biométrico às instalações
- Sistemas de energia e refrigeração redundantes
Proteção de Rede
- Firewall de aplicação web (WAF) ativo
- Proteção contra ataques DDoS
- Filtragem de tráfego malicioso
- Rede privada virtual (VPN) para acesso interno
- Segmentação de rede por camadas
Conformidade e Boas Práticas
🔒
LGPD
Proteção de Dados Pessoais
🛡️
Boas Práticas
Segurança da Informação
2. Criptografia e Proteção de Dados
Dados em Trânsito
- TLS 1.3 para todas as comunicações
- Certificados SSL com validação estendida
- HSTS (HTTP Strict Transport Security)
- Perfect Forward Secrecy (PFS)
- Criptografia de ponta a ponta para dados sensíveis
Dados em Repouso
- AES-256 para criptografia de banco de dados
- Chaves de criptografia rotacionadas regularmente
- Armazenamento seguro de chaves (HSM)
- Criptografia de backups e logs
- Dados sensíveis com criptografia adicional
🔐 Algoritmos de Criptografia Utilizados
Simétrica:
- AES-256-GCM
- ChaCha20-Poly1305
Assimétrica:
- RSA-4096
- ECDSA P-384
Hash:
- SHA-256
- bcrypt (senhas)
3. Controle de Acesso
Autenticação
- Autenticação multifator (MFA) obrigatória
- Senhas com política de complexidade
- Bloqueio automático após tentativas falhadas
- Sessões com timeout automático
- Tokens JWT com expiração curta
Autorização
- Controle de acesso baseado em funções (RBAC)
- Princípio do menor privilégio
- Segregação de funções críticas
- Revisão periódica de permissões
- Aprovação para acessos elevados
⚠️ Políticas de Senha
Requisitos Mínimos:
- Mínimo de 12 caracteres
- Combinação de letras, números e símbolos
- Não reutilização das últimas 12 senhas
- Alteração obrigatória a cada 90 dias
Proteções:
- Hash bcrypt com salt único
- Verificação contra listas de senhas vazadas
- Bloqueio temporário após 5 tentativas
- Notificação de tentativas suspeitas
4. Monitoramento e Detecção
Monitoramento 24/7
- SIEM (Security Information and Event Management)
- Detecção de anomalias comportamentais
- Alertas automáticos para atividades suspeitas
- Análise de logs em tempo real
- Correlação de eventos de segurança
Detecção de Ameaças
- Inteligência de ameaças atualizada
- Detecção de malware e vírus
- Análise de comportamento de usuários
- Identificação de tentativas de intrusão
- Monitoramento de integridade de arquivos
📊 Métricas de Segurança Monitoradas
99.9%
Disponibilidade
<1s
Tempo de Detecção
0
Incidentes Críticos
24/7
Monitoramento
5. Backup e Recuperação
Proteção de Dados
- Dados armazenados de forma segura
- Controle de acesso rigoroso
- Monitoramento de atividades
- Procedimentos de recuperação definidos
- Conformidade com LGPD
Continuidade do Serviço
- Monitoramento contínuo do sistema
- Procedimentos de contingência
- Suporte técnico disponível
- Planos de recuperação estabelecidos
- Comunicação transparente com usuários
6. Resposta a Incidentes
Plano de Resposta a Incidentes
1
Detecção
Identificação automática ou manual do incidente
2
Contenção
Isolamento e contenção da ameaça
3
Erradicação
Remoção completa da ameaça
4
Recuperação
Restauração dos serviços normais
Classificação de Incidentes
Crítico: Resposta em 15 minutos
Alto: Resposta em 1 hora
Médio: Resposta em 4 horas
Baixo: Resposta em 24 horas
Comunicação de Incidentes
- Notificação imediata da equipe de segurança
- Comunicação aos usuários afetados
- Relatório à ANPD quando aplicável
- Documentação completa do incidente
- Análise post-incidente e melhorias
7. Auditoria e Conformidade
Auditoria Interna
- Revisão trimestral de controles de segurança
- Testes de penetração semestrais
- Avaliação de vulnerabilidades mensais
- Revisão de logs e eventos de segurança
- Verificação de conformidade com políticas
Auditoria Externa
- Auditoria anual por empresa certificada
- Testes de penetração por terceiros
- Certificação ISO 27001 renovada anualmente
- Avaliação de conformidade LGPD
- Relatórios de auditoria disponíveis
Logs e Rastreabilidade
Logs de Acesso:
- Autenticação e autorização
- Ações administrativas
- Acesso a dados sensíveis
Logs de Sistema:
- Eventos de segurança
- Alterações de configuração
- Performance e disponibilidade
Retenção:
- Logs críticos: 7 anos
- Logs de acesso: 2 anos
- Logs de sistema: 1 ano
8. Responsabilidades do Usuário
Sua Parte na Segurança
A segurança é uma responsabilidade compartilhada. Enquanto protegemos nossa infraestrutura, você deve seguir as melhores práticas para manter sua conta segura:
✅ Faça
- Use senhas fortes e únicas
- Ative a autenticação multifator
- Mantenha seu dispositivo atualizado
- Faça logout ao sair
- Reporte atividades suspeitas
- Use redes Wi-Fi seguras
❌ Não Faça
- Compartilhe suas credenciais
- Use a mesma senha em outros sites
- Acesse de computadores públicos
- Clique em links suspeitos
- Baixe arquivos não confiáveis
- Ignore alertas de segurança
Contato da Equipe de Segurança
Para questões relacionadas à segurança, vulnerabilidades ou incidentes, entre em contato: