SecureX² — Compliance Platform
Voltar para a landing page
Segurança

Política de Segurança da Informação

Última atualização: 08 de maio de 2026

A SecureX² aplica em si mesma os controles que recomenda aos clientes. Esta política descreve as medidas adotadas para proteger a confidencialidade, integridade e disponibilidade dos dados.

1. Governança e frameworks

  • Sistema de Gestão de Segurança da Informação (SGSI) inspirado na ABNT NBR ISO/IEC 27001:2022.
  • Controles operacionais alinhados à ABNT NBR ISO/IEC 27002:2022 (93 controles).
  • Privacidade alinhada à ABNT NBR ISO/IEC 27701:2019 e à LGPD (Lei 13.709/2018).
  • Revisões periódicas pela liderança e ciclos de melhoria contínua (PDCA).

2. Autenticação e controle de acesso

  • Autenticação por e-mail/senha com verificação obrigatória.
  • Suporte a autenticação multifator (MFA) para todos os perfis.
  • Login social via OAuth 2.0 (Google).
  • Política de menor privilégio: cada usuário acessa apenas o necessário ao seu papel.
  • Sessões com tokens JWT, expiração e rotação periódica.

3. Proteção de dados

  • Criptografia em trânsito (TLS 1.2+).
  • Criptografia em repouso (AES-256) no banco de dados e no armazenamento de arquivos.
  • Row Level Security (RLS) ativa em todas as tabelas multi-tenant.
  • Sanitização e validação de toda entrada de usuário.
  • Senhas armazenadas com hash forte (bcrypt/argon2), nunca em texto puro.

4. Infraestrutura e operação

  • Hospedagem em provedores de nuvem com certificações ISO 27001 e SOC 2.
  • Segregação de ambientes (dev / homologação / produção).
  • Backups automáticos com testes periódicos de restauração.
  • Atualizações de segurança aplicadas continuamente.
  • Varreduras periódicas de vulnerabilidades e dependências.

5. Monitoramento e auditoria

  • Logs de auditoria para ações sensíveis (acessos, alterações, downloads).
  • Monitoramento contínuo de eventos de segurança.
  • Alertas automáticos para comportamentos anômalos.
  • Trilha de auditoria preservada conforme política de retenção.

6. Resposta a incidentes

  • Plano formal de resposta a incidentes com classificação de severidade.
  • Equipe responsável definida e treinada.
  • Comunicação aos clientes afetados em prazo razoável.
  • Notificação à ANPD quando aplicável (Art. 48 da LGPD).
  • Pós-incidente: análise de causa raiz e plano de remediação documentados.

7. Continuidade do negócio

  • Plano de Continuidade de Negócio (BCP) com cenários e RTO/RPO definidos.
  • Backups georredundantes.
  • Procedimentos documentados de recuperação de desastres.
  • Testes periódicos de ativação do plano.

8. Pessoas e conscientização

  • Acordos de confidencialidade (NDA) com toda a equipe.
  • Treinamentos periódicos em Segurança da Informação e LGPD.
  • Verificação de antecedentes em contratações sensíveis.
  • Processo formal de offboarding com revogação imediata de acessos.

9. Reporte de vulnerabilidades

Encontrou uma vulnerabilidade? Reporte de forma responsável para security@securex2.com. Comprometemo-nos a responder rapidamente, manter sigilo do reporte e reconhecer publicamente os pesquisadores que contribuírem (com sua autorização).

Dúvidas sobre esta política? Fale com nosso Encarregado de Dados (DPO): dpo@securex2.com