Política de
Segurança
A segurança dos dados jurídicos processados pela defMKR é prioridade absoluta. Este documento descreve os controles técnicos e organizacionais implementados para proteger suas informações.
1. Infraestrutura e Hospedagem
1.1 Provedor de Nuvem
A defMKR utiliza provedores de infraestrutura em nuvem qualificados, com servidores protegidos por controles de segurança de nível empresarial. A escolha dos provedores prioriza conformidade com padrões internacionais de segurança e legislação aplicável à proteção de dados.
1.2 Disponibilidade
- Infraestrutura configurada para alta disponibilidade com monitoramento contínuo
- SLA de 99,5% de disponibilidade mensal (planos Pro e Enterprise)
- Backup automático periódico dos dados e configurações
- Plano de recuperação de desastres documentado e revisado periodicamente
2. Controles de Acesso
2.1 Autenticação
- Autenticação por senha com requisitos mínimos (12 caracteres, complexidade obrigatória)
- Autenticação multifator (MFA) em fase de implementação, com previsão de disponibilidade em versões futuras
- Sessões com expiração automática configurável, com limite máximo de 30 dias
2.2 Controle de Acesso Baseado em Funções (RBAC)
A Plataforma implementa modelo de controle de acesso baseado em funções, com segregação entre perfis de Administrador e Operador. Cada perfil possui permissões mínimas necessárias para desempenhar suas funções (princípio do menor privilégio).
2.3 Acesso Interno
Colaboradores da defMKR com acesso a dados de produção são submetidos a: verificação de antecedentes, treinamento obrigatório de segurança da informação, assinatura de Acordo de Confidencialidade (NDA) e revisão trimestral de acessos.
3. Criptografia
- Em trânsito: TLS 1.2 ou superior em todas as comunicações cliente-servidor
- Em repouso: Criptografia AES-256-GCM para dados pessoais sensíveis (CPF, CNPJ e demais dados de identificação)
- Chaves: Chaves de criptografia dedicadas, independentes das demais credenciais do sistema, armazenadas em ambiente isolado
- Senhas: Armazenadas com hashing seguro utilizando algoritmo bcrypt (salt rounds 12)
4. Segurança da Aplicação
4.1 Desenvolvimento Seguro
Adotamos práticas de desenvolvimento seguro, incluindo: revisão de código com foco em segurança durante o ciclo de desenvolvimento, auditorias periódicas de vulnerabilidades na aplicação e em suas dependências, e validação contínua dos controles de segurança implementados. Testes de penetração por empresa especializada independente estão previstos no roadmap de segurança.
4.2 Proteções Implementadas
- Proteção contra injeção de SQL com validação rigorosa de parâmetros
- Proteção contra XSS (Cross-Site Scripting) com headers de segurança (Content Security Policy)
- Proteção contra CSRF (Cross-Site Request Forgery) com token de dupla verificação
- Rate limiting e proteção contra ataques de força bruta com bloqueio automático
- Headers de segurança reforçados (HSTS, X-Frame-Options, X-Content-Type-Options)
5. Isolamento de Dados entre Clientes
A arquitetura da Plataforma garante isolamento completo entre os dados de diferentes clientes (multi-tenancy seguro). Os dados de cada organização são logicamente segregados com identificadores únicos. Todas as operações de leitura e escrita aplicam filtros obrigatórios de isolamento por cliente, garantindo que nenhum usuário acesse dados de outra organização em condições normais de operação.
6. Processamento por IA e Terceiros
Os documentos processados pela IA são transmitidos a provedores de modelos de inteligência artificial com as seguintes garantias contratuais:
- Não retenção dos dados enviados para treinamento futuro dos modelos
- Não armazenamento dos conteúdos além do tempo de processamento da requisição
- Transmissão exclusivamente via conexão TLS criptografada
- Provedores certificados com SOC 2 Type II e ISO 27001
7. Monitoramento e Resposta a Incidentes
A defMKR mantém monitoramento contínuo de eventos de segurança, com registro automatizado de tentativas de acesso não autorizado, bloqueios por proteção contra força bruta e anomalias de uso. Alertas automatizados são disparados para a equipe de segurança em caso de eventos críticos. Nosso processo de resposta a incidentes inclui:
- Identificação e análise da ocorrência
- Contenção imediata e correção da causa
- Notificação aos afetados conforme requisitos da LGPD e ANPD
- Registro do incidente com documentação das medidas adotadas e lições aprendidas
8. Responsabilidade Compartilhada
A segurança efetiva exige colaboração entre a defMKR e seus Usuários. São responsabilidades do Usuário:
- Manter credenciais de acesso seguras e não as compartilhar
- Ativar e utilizar a autenticação multifator (MFA) quando disponível
- Reportar imediatamente suspeitas de acesso não autorizado
- Utilizar dispositivos atualizados e com proteção antivírus
- Não submeter documentos além do necessário para o processamento
9. Certificações e Conformidade
Os provedores de infraestrutura e de inteligência artificial utilizados pela defMKR possuem certificações internacionais de segurança, incluindo ISO 27001 e SOC 2 Type II. A defMKR está em conformidade com a LGPD (Lei nº 13.709/2018) e avalia continuamente a adoção de certificações próprias de segurança da informação.
10. Contato de Segurança
Para reportar vulnerabilidades, incidentes de segurança ou dúvidas técnicas:
[email protected] · Programa de Bug Bounty disponível mediante solicitação.
defMKR Tecnologia Ltda. · CNPJ 00.000.000/0001-00 · São Paulo, SP