Política de Segurança da Informação

1. Objetivo

Esta Política de Segurança da Informação (PSI) estabelece as diretrizes, princípios e responsabilidades adotados por X3TI Platform para proteger os ativos de informação de forma a garantir a confidencialidade, integridade e disponibilidade dos dados tratados em nossos sistemas e serviços.

2. Abrangência

Esta política aplica-se a todos os colaboradores, prestadores de serviço, parceiros e terceiros que de alguma forma tenham acesso, processem ou gerenciem informações pertencentes à organização ou a seus clientes.

3. Princípios de Segurança

• Confidencialidade: As informações são acessíveis somente a pessoas devidamente autorizadas.
• Integridade: As informações são mantidas precisas e completas, protegidas contra alterações não autorizadas.
• Disponibilidade: O acesso às informações e sistemas está garantido sempre que necessário para as operações.
• Autenticidade: A identidade dos usuários e a origem das informações são verificadas antes do acesso.
• Irretratabilidade: Todas as ações relevantes são registradas de forma que não possam ser negadas por seus autores.

4. Controles de Acesso

O acesso aos sistemas e dados é concedido com base no princípio do menor privilégio (need-to-know). Cada usuário recebe apenas as permissões necessárias para exercer suas funções. O acesso é imediatamente revogado após encerramento de vínculo ou alteração de função. Senhas devem ser fortes, individuais e intransferíveis.

5. Proteção contra Ataques

Implementamos medidas técnicas para prevenção de ataques cibernéticos, incluindo:

• Proteção contra força bruta (bloqueio de IP após múltiplas tentativas falhas);
• Tokens CSRF em todos os formulários;
• Criptografia de senhas com bcrypt;
• Headers de segurança HTTP (CSP, X-Frame-Options, HSTS);
• Monitoramento e log de todas as ações críticas;
• Atualizações periódicas de software e dependências.

6. Classificação da Informação

As informações são classificadas em quatro níveis:

• Pública: Informações destinadas ao público geral, sem restrições de acesso.
• Interna: Informações restritas a colaboradores e parceiros autorizados.
• Confidencial: Informações sensíveis que, se divulgadas, podem causar danos à organização ou clientes.
• Secreta: Informações de alta criticidade, acesso restrito a nível executivo ou legal.

7. Resposta a Incidentes

Em caso de incidente de segurança, o processo segue as seguintes etapas: identificação, contenção, erradicação, recuperação e lições aprendidas. Incidentes que envolvam dados pessoais serão reportados à Autoridade Nacional de Proteção de Dados (ANPD) no prazo previsto pela LGPD (Lei nº 13.709/2018).

8. Backup e Continuidade

São realizados backups periódicos de todos os dados críticos. Os procedimentos de recuperação são testados regularmente para garantir a continuidade das operações em caso de falha ou desastre.

9. Conformidade Legal

Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), a ISO/IEC 27001 e demais normas aplicáveis.

10. Revisão e Vigência

Esta política é revisada anualmente ou sempre que houver alterações significativas nos processos, tecnologias ou legislação aplicável. A versão vigente está sempre disponível nesta página.