Documentos Relacionados:

Introdução e Finalidade

A Rybená Tecnologias Assistivas Ltda. estabelece diretrizes fundamentais em sua Política de Segurança da Informação, direcionadas especificamente à Solução Rybená. Esta política é aplicável a todos os níveis da equipe, incluindo Desenvolvimento, Design, Infraestrutura e Suporte Técnico, bem como a todos os terceiros e prestadores de serviços.

A principal finalidade é disseminar as práticas de segurança da informação e estabelecer critérios para a adoção de boas práticas em todos os aspectos relacionados à segurança da solução Rybená, garantindo a proteção dos dados e a integridade do sistema.

Objetivos

A Rybená estabelece diretrizes para a proteção, preservação e descarte de informações em seu ambiente tecnológico, orientando estrategicamente as questões relacionadas à segurança da informação. Visamos proteger os ativos de informação da Rybená, definindo padrões de comportamento adequados às necessidades do negócio e à proteção legal da organização e de seus colaboradores.

Princípios da Segurança da Informação

  • Confidencialidade: Assegurar que a informação não será divulgada a indivíduos, entidades ou aplicativos sem autorização prévia dos titulares
  • Integridade: Assegurar que o conteúdo da informação não seja alterado, mantendo-se íntegro e autêntico
  • Disponibilidade: Permitir que a informação confidencial seja utilizada apenas quando necessário pelos usuários e destinatários

Controles Técnicos de Segurança

Criptografia e Proteção de Dados

  • Criptografia em Trânsito: TLS 1.3 para todas as comunicações entre clientes e servidores
  • Criptografia em Repouso: AES-256 para todos os dados armazenados
  • Gerenciamento de Chaves: Sistema HSM (Hardware Security Module) para proteção de chaves criptográficas
  • Hashing: Algoritmos SHA-256 para senhas e dados sensíveis

Controle de Acesso e Autenticação

  • Autenticação Multifator (MFA): Obrigatória para todos os colaboradores com acesso a sistemas críticos
  • Gerenciamento de Identidade: Sistema centralizado com controle de acesso baseado em funções (RBAC)
  • Privilégio Mínimo: Acesso concedido apenas ao estritamente necessário para execução de tarefas
  • Revisão Periódica: Avaliação trimestral de permissões de acesso

Segurança de Rede e Infraestrutura

  • Firewall de Aplicação Web (WAF): Proteção contra ataques comuns (SQL Injection, XSS, CSRF)
  • Sistema de Detecção de Intrusão (IDS/IPS): Monitoramento em tempo real de atividades suspeitas
  • Segmentação de Rede: Isolamento de ambientes de desenvolvimento, teste e produção
  • DDoS Protection: Mitigação automática de ataques de negação de serviço
  • VPN: Acesso remoto seguro através de rede privada virtual

Segurança de Aplicações

  • Secure Software Development Lifecycle (SSDLC): Integração de segurança em todas as fases de desenvolvimento
  • Análise Estática de Código: Ferramentas automatizadas para identificação de vulnerabilidades
  • Validação de Entradas: Sanitização rigorosa de todos os dados de entrada
  • Testes de Penetração: Avaliações periódicas por especialistas em segurança
  • Segurança por Design: Considerações de segurança desde a concepção do projeto

Procedimentos Operacionais

Gestão de Vulnerabilidades

  • Scanner de Vulnerabilidades: Varredura semanal de todos os sistemas
  • Patch Management: Janela de atualização crítica de 72 horas para vulnerabilidades de alta severidade
  • CVE Monitoring: Monitoramento contínuo de novas vulnerabilidades divulgadas
  • Risk Scoring: Priorização baseada em CVSS (Common Vulnerability Scoring System)
  • Testing Patches: Validação em ambiente de isolado antes da produção

Monitoramento e Logging

  • Retenção de Logs: Mínimo 365 dias para logs de segurança
  • Alertas em Tempo Real: Notificações automáticas para eventos críticos
  • Análise Comportamental: Detecção de anomalias em padrões de acesso
  • Centralização de Logs: SIEM (Security Information and Event Management) para análise centralizada
  • Correlação de Eventos: Identificação de padrões de ataque complexos

Controle de Mudanças

  • Rollback Procedures: Planos detalhados para reversão de mudanças
  • Testes em Ambiente Isolado: Validação completa antes da produção
  • Aprovação Formal: Requisição de aprovação para mudanças críticas
  • Documentação: Registro detalhado de todas as alterações
  • Janelas de Manutenção: Períodos definidos para implementação de mudanças

Backup e Recuperação de Dados

Estratégia Geral de Backup

  • Criptografia Utilizada: AES 256 para dados em repouso
  • Frequência: Backups diários com validade de 30 dias
  • Armazenamento: Todos os backups são armazenados na nuvem, evitando mídias defeituosas, perda e/ou roubo de informações
  • Redundância Geográfica: Backups replicados em múltiplas localizações
  • Testes de Integridade: Verificação regular dos backups armazenados

Testes de Backup

  • Verificações Periódicas: Revisões trimestrais dos logs de backups para identificar erros, durações anormais e oportunidades de melhoria
  • Ações Corretivas: Implementação de ações para reduzir riscos associados a backups com falha
  • Registros: Manter registros de backups e testes de restauração para demonstrar conformidade com esta política
  • Simulados de Desastre: Testes anuais de recuperação completa

Procedimento de Restauração

Como nossa aplicação é um Plugin de tradução e o usuário não necessita de dados armazenados anteriormente, a restauração de backup é utilizada apenas em casos de necessidade de recuperação de dados referente à Rybená.

  • RTO (Recovery Time Objective): 60 minutos
  • RPO (Recovery Point Objective): 15 minutos
  • Equipe Designada: Profissionais treinados para procedimentos de restauração
  • Documentação: Procedimentos detalhados e atualizados regularmente

Gerenciamento de Riscos e Incidentes

Identificação e Mensuração de Riscos

Snyk - Avaliação de Código no GitHub

  • Objetivo: Identificar e corrigir vulnerabilidades em bibliotecas de código aberto e dependências
  • Alcance: Repositórios do GitHub relacionados ao desenvolvimento do Plugin
  • Frequência: Contínua, com varreduras automáticas em cada commit e pull request
  • Responsável: Equipe de segurança em conjunto com o time de Desenvolvimento

Cloudflare Security Center (CSC) - Avaliação de Recursos da Cloudflare

  • Objetivo: Monitorar continuamente os recursos do Cloudflare para detectar e corrigir vulnerabilidades e configurações incorretas
  • Alcance: Todos os recursos e serviços implantados na Cloudflare que suportam o ambiente de produção do Plugin
  • Frequência: Monitoramento contínuo com revisões mensais
  • Responsável: Equipe de Segurança da Informação

Plano de Recuperação de Desastres

Definições

  • RTO (Recovery Time Objective): 60 minutos
  • RPO (Recovery Point Objective): 15 minutos
  • MTPD (Maximum Tolerable Period of Disruption): 48 horas

Estrutura de Gerenciamento

  • Equipe de Segurança: Executa o plano de recuperação de desastres, coordena esforços, comunicação interna e externa, restauração de sistemas e dados
  • Head de Engenharia: Lidera a equipe de recuperação, toma decisões críticas e coordena todas as atividades de recuperação
  • Equipe de Suporte: Fornece suporte técnico durante o processo de recuperação, incluindo restauração de sistemas, verificação de backups e resolução de problemas técnicos

Notificação de Incidentes de Segurança

Aspectos Legais

Para informações sobre procedimentos de notificação à ANPD e aos titulares de dados, consulte nossa Política de Privacidade e LGPD.

Definição de Incidente

Considera-se incidente de segurança qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação da segurança de sistemas ou dados, que possa acarretar risco para as operações ou para os direitos e liberdades dos titulares.

Classificação de Incidentes

  • Crítico: Impacto severo nas operações, exposição de dados sensíveis ou perda de serviço
  • Alto: Impacto significativo mas limitado, comprometimento parcial de sistemas
  • Médio: Impacto controlável, sem exposição de dados críticos
  • Baixo: Impacto mínimo, facilmente contornável sem afetar operações

Procedimentos de Resposta

  1. Detecção e Identificação: Monitoramento contínuo e análise de alertas
  2. Contenção: Isolamento do sistema afetado para prevenção de propagação
  3. Erradicação: Remoção completa da causa raiz do incidente
  4. Recuperação: Restauração dos sistemas e validação da normalidade
  5. Lições Aprendidas: Análise pós-incidente para melhoria contínua

Auditoria e Conformidade

Auditorias Internas

  • Auditorias Trimestrais: Avaliação completa de controles de segurança
  • Testes de Controles: Validação da eficácia das medidas implementadas
  • Relatórios Executivos: Apresentação de resultados à alta gestão
  • Plano de Ação: Correções documentadas com prazos definidos
  • Follow-up: Acompanhamento da implementação das recomendações

Conformidade Regulatória

  • LGPD: Programa completo de conformidade com a Lei Geral de Proteção de Dados
  • ISO 27001: Alinhamento com melhores práticas internacionais de segurança
  • Marco Civil da Internet: Conformidade com legislação brasileira de internet
  • Normas ABNT: Seguimento de padrões técnicos brasileiros

Avaliações de Terceiros

  • Auditorias Externas: Contratação de especialistas independentes para avaliação periódica
  • Testes de Penetração: Simulações de ataque por empresas especializadas
  • Validação de Controles: Verificação independente da eficácia das medidas
  • Relatórios de Conformidade: Emissão de atestados de conformidade técnica

Classificação e Proteção de Informações

Níveis de Classificação

  • Pública: Uso livre e conteúdo pode ser divulgado publicamente
  • Interna: Transita internamente pela Rybená
  • Secreta: Acessível apenas por um grupo restrito de pessoas

Diretrizes da Classificação dos Dados

  • Proteger informações de acordo com sua importância e consequências caso sejam comprometidas
  • Atender regulamentações e exigências legais
  • Cumprir obrigações contratuais
  • Classificação independente do formato, local e mídia de armazenamento

Ciclo de Vida da Informação

  1. Criação da conexão e solicitação de tradução
  2. Aceitação e autenticação da solicitação
  3. Realização da tradução na NMT (Neural Machine Translation)
  4. Envio dos frames de vetorização como resposta
  5. Descarte automático se a tag doNotTrack estiver habilitada
  6. Persistência dos dados em log se a tag não estiver habilitada
  7. Geração de conhecimento para a NMT a partir dos dados registrados

Retenção de Dados

  • Informação Secreta: Durante a relação contratual ou pelo tempo necessário para cumprimento da finalidade do tratamento ou requisitos legais
  • Informação Interna: Mesmas condições da Informação Secreta
  • Informação Pública: Mesmas condições da Informação Secreta

A classificação pode mudar durante o ciclo de vida, respeitando o ciclo de vida da reclassificação. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à contratante, com acesso restrito independentemente da classificação de sigilo.

Responsabilidades e Consequências por Violações

Responsabilidade Individual

Todos os colaboradores são responsáveis por cumprir as diretrizes e requisitos estabelecidos nesta política de segurança. Cada membro da organização deve estar ciente de suas obrigações em relação à proteção dos ativos de informação e à mitigação de riscos de segurança cibernética.

Consequências Disciplinares

Violações da política de segurança podem resultar em medidas disciplinares adequadas, que podem variar desde treinamentos adicionais até ações disciplinares formais, incluindo advertências, suspensões e, em casos graves, demissões. A natureza e a gravidade da violação serão consideradas ao determinar as medidas disciplinares apropriadas.

Consequências Legais

Aspectos Contratuais

Para informações sobre responsabilidades contratuais relacionadas à segurança, consulte nossos Termos de Uso.

Além das consequências disciplinares internas, violações da política de segurança podem ter implicações legais. Se as ações de um colaborador resultarem em danos financeiros, roubo de dados, violação de privacidade ou qualquer outra forma de infração legal, medidas legais adequadas, incluindo processos criminais ou civis, poderão ser tomadas para proteger os interesses da Rybená e das partes afetadas.

Treinamento e Conscientização

Programa de Capacitação

  • Treinamento Inicial: Todos os colaboradores recebem treinamento sobre políticas de segurança ao ingressar na empresa
  • Atualizações Regulares: Sessões trimestrais sobre novas ameaças e melhores práticas
  • Treinamento Específico: Programas customizados para equipes de desenvolvimento e infraestrutura
  • Simulados: Exercícios periódicos de resposta a incidentes

Conscientização Contínua

  • Comunicação Interna: Boletins mensais sobre segurança da informação
  • Campanhas Temáticas: Foco em áreas específicas de segurança durante o ano
  • Alertas de Segurança: Comunicação imediata sobre novas ameaças ou vulnerabilidades
  • Reconhecimento: Premiação de boas práticas de segurança

Revisão e Atualização da Política

Periodicidade de Revisão

Esta política de segurança da informação será revisada e atualizada periodicamente, no mínimo:

  • Anualmente: Para avaliação geral de conformidade
  • Quando necessário: Em caso de mudanças tecnológicas, regulamentares ou operacionais que impactem a segurança
  • Após incidentes: Revisão após incidentes de segurança significativos

Comunicação de Atualizações

Qualquer alteração significativa nesta política será comunicada aos colaboradores através de:

  • Treinamentos específicos sobre as mudanças
  • Publicação em intranet corporativa
  • Envio de comunicado para todas as equipes
  • Atualização dos procedimentos operacionais

Vigência das Alterações

As atualizações entrarão em vigor:

  • Imediatamente: Para alterações relacionadas a correção de vulnerabilidades críticas
  • Após 15 dias: Para outras alterações, desde que devidamente comunicadas e treinadas

Disposições Finais

Fundamento Técnico

Esta política de segurança da informação foi elaborada em conformidade com:

  • ISO/IEC 27001:2013 - Information security management
  • NIST Cybersecurity Framework
  • OWASP Top 10 - Security Risks for Web Applications
  • CIS Controls - Critical Security Controls for Effective Cyber Defense

Aplicação e Responsabilização

A aplicação desta política será consistente em toda a organização, independentemente do cargo ou posição ocupada pelos colaboradores. Todas as violações serão tratadas de maneira justa e imparcial, levando em consideração a gravidade da violação e as circunstâncias individuais envolvidas.

Compromisso da Diretoria

A diretoria da Rybená Tecnologias Assistivas Ltda. compromete-se a:

  • Alocar recursos adequados para implementação desta política
  • Apoiar iniciativas de melhoria contínua da segurança
  • Exigir conformidade com todos os requisitos estabelecidos
  • Promover uma cultura de segurança em toda a organização
Modificado em: