Segurança & Privacidade

Versão: 1.0
Owner: Segurança & Compliance SOFIA
Última revisão: 2026
Aplicável a: Dev Integradores, Infra, Operações, Compliance e Auditoria

Esta seção estabelece os controles técnicos, organizacionais e operacionais para proteção de dados, sistemas e registros, garantindo rastreabilidade, conformidade regulatória e redução de risco.

1. Estrutura de Segurança em Camadas

A segurança é aplicada em quatro níveis:

1.1 Pessoas & Processos

• Controle de acesso baseado em função
• Revisões periódicas de permissões
• Processo formal de onboarding/offboarding
• Política de resposta a incidentes

1.2 Aplicação

• Autenticação segura (MFA quando aplicável)
• Autorização baseada em papéis
• Validações de entrada e proteção contra abuso
• Logs de ações críticas

1.3 Infraestrutura

• Criptografia em trânsito (TLS)
• Ambientes segregados (produção, staging)
• Monitoramento e alertas
• Backups automáticos

1.4 Dados

• Minimização de coleta
• Criptografia quando aplicável
• Retenção definida
• Descarte seguro

2. Princípios Obrigatórios

2.1 Menor Privilégio

Acesso concedido apenas ao necessário para função desempenhada.

2.2 Minimização

Coletar e reter apenas dados necessários para operar e auditar.

2.3 Defesa em Profundidade

Controles distribuídos em múltiplas camadas.

2.4 Rastreabilidade

Ações críticas devem ser:

• Registradas
• Identificáveis por usuário
• Correlacionáveis por ID
• Recuperáveis em auditoria

3. Controle de Acesso

3.1 Papéis

Todo acesso deve estar vinculado a:

• Perfil definido
• Escopo limitado
• Owner responsável

3.2 Revisão Periódica

• Revisão mínima semestral
• Revogação imediata em offboarding
• Registro de alterações

3.3 Acesso Emergencial

Acessos temporários exigem:

• Aprovação formal
• Prazo de expiração
• Registro de justificativa
• Revogação automática ao término

4. Auditoria & Logs

Devem ser registrados:

• Login e logout
• Alterações de permissão
• Ajustes financeiros
• Reset de segredos
• Alterações contratuais
• Ações administrativas críticas

Logs devem conter:

• ID do usuário
• Timestamp UTC
• IP (quando aplicável)
• ID da entidade afetada
• Resultado da ação

Retenção mínima recomendada: 5 anos ou conforme risco regulatório.

5. Backup & Continuidade

5.1 Backup

• Backup automático periódico
• Testes de restauração regulares
• Registro de sucesso/falha

5.2 Continuidade

Definir:

• RPO (Recovery Point Objective)
• RTO (Recovery Time Objective)
• Procedimento de recuperação documentado

6. Gestão de Incidentes de Segurança

Fluxo mínimo:

1. Detecção
2. Classificação (baixo/médio/alto/critico)
3. Contenção
4. Comunicação interna
5. Análise de causa raiz
6. Medida corretiva
7. Medida preventiva

Incidentes críticos devem gerar:

• Registro formal
• Linha do tempo
• Avaliação de impacto
• Comunicação conforme aplicável

7. LGPD & Privacidade

7.1 Papéis

• Controlador
• Operador
• Suboperador

7.2 Direitos do Titular

Procedimento documentado para:

• Acesso
• Correção
• Exclusão
• Portabilidade
• Revogação de consentimento (quando aplicável)

7.3 Incidente de Dados

Em caso de risco relevante:

• Avaliação de impacto
• Comunicação às partes aplicáveis
• Registro formal

8. Retenção e Descarte

Dados devem ter:

• Base legal definida
• Prazo de retenção documentado
• Processo de descarte seguro

Descarte deve impedir recuperação não autorizada.

9. Evidências Mínimas para Auditoria

Manter organizadamente:

• Inventário de acessos
• Histórico de alterações críticas
• Registro de incidentes
• Evidência de backup e testes
• Registro de revisões de permissão
• Política de retenção vigente

10. Governança e Revisões

• Revisão mínima semestral
• Revisão extraordinária após incidente crítico
• Registro de mudanças com responsável e data de vigência

11. Limitações

Esta seção não substitui:

• Documentos contratuais formais
• Avaliações jurídicas específicas
• Obrigações regulatórias externas aplicáveis