Trust Center Políticas

Política de Segurança da Informação

Versão 1.0 — Vigente desde 16 de maio de 2026 · Para auditorias e avaliações técnicas

1. Governança de segurança

A MantovaniTec adota uma abordagem de segurança por design: controles de segurança são integrados desde o planejamento de cada produto, não adicionados como camada posterior.

A responsabilidade pela segurança da informação está centralizada no fundador e responsável técnico, com revisão periódica de práticas e políticas. As principais decisões de segurança são documentadas e revisadas a cada trimestre ou quando há mudança significativa de infraestrutura.

Toda violação de segurança ou incidente relevante é documentado internamente com análise de causa raiz e plano de melhoria.

2. Gestão de acesso

Princípio do mínimo privilégio: cada colaborador, serviço e processo tem acesso apenas aos recursos estritamente necessários para sua função.

  • Acesso SSH a servidores de produção exclusivamente por chaves ed25519; autenticação por senha desabilitada.
  • Credenciais administrativas de serviços terceiros armazenadas em cofre de senhas, não em arquivos de texto ou repositórios.
  • Revisão periódica de permissões e desativação imediata de acessos não mais necessários.
  • MFA em implementação para contas com acesso a dados de produção ou painel de administração.
  • Logs de todos os acessos administrativos com retenção mínima de 90 dias.

3. Gestão de mudanças

Toda alteração de código em produção passa por revisão antes do deploy. Scripts de automação e pipelines são auditados periodicamente. Mudanças de infraestrutura são documentadas com justificativa e rollback plan.

Janelas de manutenção planejadas são comunicadas aos clientes com antecedência. Deploys em produção são realizados em horários de menor impacto quando possível.

4. Resposta a incidentes

Em caso de incidente de segurança, o processo de resposta segue estas etapas:

  1. Detecção e triagem: identificação do incidente via alertas automatizados ou reporte externo.
  2. Contenção: isolamento dos sistemas afetados para evitar propagação.
  3. Investigação: análise de logs, determinação de escopo e impacto.
  4. Remediação: correção da vulnerabilidade ou vetor de ataque.
  5. Notificação: comunicação a clientes afetados e à ANPD (para incidentes com dados pessoais), nos prazos legais.
  6. Análise pós-incidente: documentação de lições aprendidas e melhorias implementadas.

Incidentes com potencial impacto a dados pessoais são notificados à ANPD conforme Art. 48 da LGPD. Para reportar um incidente ou vulnerabilidade, veja nossa Política de Divulgação Responsável.

5. Continuidade e recuperação de desastres

  • Backup diário automatizado de todos os bancos de dados e volumes de dados críticos.
  • Retenção de 30 dias para snapshots, com teste mensal de restore documentado.
  • RPO (Recovery Point Objective): até 24 horas para dados críticos.
  • RTO (Recovery Time Objective): até 4 horas para serviços de produção em caso de falha total de servidor.
  • Backups armazenados em localização geográfica separada do servidor de produção.

6. Gestão de fornecedores

Antes de contratar qualquer fornecedor que acesse ou processe dados, avaliamos:

  • Política de privacidade e segurança publicada e verificável.
  • Histórico de incidentes de segurança e postura de resposta.
  • Conformidade com LGPD (ou equivalente) para transferência de dados.
  • Cláusulas contratuais de proteção de dados adequadas (DPA quando necessário).

A lista de fornecedores aprovados está na nossa página de sub-processadores.

7. Segurança no ciclo de desenvolvimento

  • Revisão de código com foco em segurança antes de cada merge em produção.
  • Verificação de dependências com ferramentas de análise de vulnerabilidades (CVEs conhecidos).
  • Variáveis sensíveis (chaves de API, senhas de banco) gerenciadas por variáveis de ambiente protegidas, nunca em código-fonte.
  • Repositórios de código com acesso restrito a colaboradores autorizados.
  • Sem dados de produção em ambientes de desenvolvimento ou staging.

8. Gestão de vulnerabilidades

Realizamos varreduras periódicas de vulnerabilidades em nossos sistemas e mantemos as dependências de software atualizadas. Vulnerabilidades identificadas são classificadas por risco e corrigidas dentro dos prazos:

  • Críticas: correção em até 24 horas.
  • Altas: correção em até 7 dias.
  • Médias: correção em até 30 dias.
  • Baixas: planejamento na próxima sprint ou ciclo de manutenção.

Aceitos reportes externos via nossa Política de Divulgação Responsável.

Histórico de versões

VersãoDataAlterações
1.016/05/2026Versão inicial