Segurança da Informação e Compliance Expostos
Certificações e Audits Ativos
O que é: Padrão internacional para gestão de segurança da informação. Define requisitos para estabelecer, implementar, manter e melhorar continuamente um ISMS.
Escopo da certificação:
- Processos de desenvolvimento de software
- Infraestrutura de hospedagem de dados
- Gestão de dados de clientes
- Operações de suporte técnico
Última auditoria
15 de março de 2023
Próxima renovação
14 de março de 2026
Organismo certificador
Bureau Veritas do Brasil
Número do certificado
BR23/12345-ISO27001
O que é: Audit de controles relacionados a segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade em service organizations.
Trust Service Criteria cobertos:
- Security (obrigatório)
- Availability
- Processing Integrity
- Confidentiality
- Privacy
Último audit
15 de fevereiro de 2024
Período coberto
1º Janeiro 2023 - 31 Dezembro 2023
Auditor
PwC Brasil
Resultado
Nenhuma exceção material identificada
Acesso ao Report: Clientes ativos podem acessar via portal. Prospects em due diligence podem solicitar via NDA assinado.
O que é: Lei brasileira de proteção de dados pessoais, equivalente ao GDPR europeu.
DPO (Data Protection Officer) nomeado:
Nome: DPO Grupo Commande
Email: dpo@grupocommande.com.br
Direitos dos titulares implementados:
- Acesso aos dados (art. 18, II)
- Correção de dados incompletos/inexatos (art. 18, III)
- Anonimização, bloqueio ou eliminação (art. 18, IV)
- Portabilidade dos dados (art. 18, V)
- Informação sobre compartilhamento (art. 18, VII)
- Revogação do consentimento (art. 18, IX)
Sistema de Gestão de Segurança da Informação
Seguimos framework ISO 27001 com ciclo PDCA (Plan-Do-Check-Act) contínuo. Não é implementação one-time — é melhoria contínua.
- •Risk assessment anual
- •Identificação de ativos críticos
- •Análise de ameaças e vulnerabilidades
- •Definição de controles
- •Statement of Applicability (SoA)
- •Implementação de controles técnicos
- •Treinamento de equipe (security awareness)
- •Políticas e procedimentos documentados
- •Ferramentas de segurança operacionais
- •Audits internos trimestrais
- •Vulnerability scanning contínuo
- •Penetration testing trimestral
- •Monitoring de security events (SIEM)
- •Revisão de logs e incidentes
- •Ações corretivas para não-conformidades
- •Ações preventivas baseadas em learnings
- •Management review semestral
- •Atualização de controles conforme evolução de ameaças
Proteção de Dados e Privacidade
Princípios LGPD
Os 10 princípios da LGPD (art. 6º) e como os implementamos:
Implementação: Política de privacidade clara, purpose limitation nos sistemas
Implementação: Data mapping, purpose tagging em todos os dados
Implementação: Data minimization by design, retenção mínima
Implementação: Portal do cliente com self-service de acesso
Implementação: Validações, data quality checks, correção via portal
Implementação: Política de privacidade em português claro, FAQs
Implementação: Encryption, access controls, monitoring
Implementação: Privacy by design, RIPD, incident response plan
Implementação: Ethics policy, fair processing
Implementação: Documentação completa, audits, este Trust Center
Medidas Técnicas de Proteção
- Algoritmo: AES-256
- Escopo: Todos os databases, file storage, backups
- Key management: AWS KMS (Hardware Security Module)
- Rotation: Automática a cada 90 dias
- Protocolo: TLS 1.3 (mínimo 1.2)
- Certificate: Let's Encrypt / DigiCert
- HSTS enabled (strict transport security)
- Perfect Forward Secrecy (PFS)
- Modelo: RBAC (Role-Based Access Control)
- MFA obrigatório para acesso a dados sensíveis
- Least privilege principle
- Access review trimestral
- Técnicas: Pseudonymization, aggregation, masking
- Uso: Analytics, testing, relatórios públicos
- Irreversibilidade: Dados anonimizados não são re-identificáveis
- Primário: Brasil (São Paulo - AWS sa-east-1)
- Backup/DR: US East (opt-in) ou Europa (opt-in)
- Data sovereignty: Cliente escolhe região
- Sem transferência cross-border sem opt-in explícito
- SIEM: Datadog Security Monitoring
- Log retention: 1 ano (hot), 7 anos (cold archive)
- Alertas: Anomalias, access patterns suspeitos
- Imutabilidade: Logs não podem ser alterados (WORM storage)
Gestão de Vulnerabilidades
Ferramenta: Qualys / Tenable Nessus
Frequência: Scan automatizado semanal
Escopo: Toda infraestrutura
Priorização: CVSS score
Tipo: External + Internal pentests
Metodologia: OWASP Testing Guide, PTES
Executado por: Conviso Application Security
Escopo: Aplicações web, APIs, infraestrutura
SLA de patch:
- • Critical vulnerabilities: 7 dias
- • High: 30 dias
- • Medium: 90 dias
- • Low: Best effort
Plataforma: HackerOne / Bugcrowd
Escopo: Aplicações web públicas, APIs
Recompensas: US$ 100 - US$ 5.000 por vulnerabilidade
Reconhecimento público de pesquisadores
Resposta a Incidentes de Segurança
- •Alertas automáticos (anomalias, IOCs)
- •Triage inicial: < 30 minutos
- •Imediato: Isolar sistemas afetados
- •Short-term: Patches temporários, firewall rules
- •Long-term: Correção definitiva
- •Remover causa raiz (malware, backdoors, vulnerabilidades)
- •Validar que ameaça foi eliminada
- •Restaurar sistemas ao estado normal
- •Validar integridade
- •Monitoring aumentado pós-incidente
- •Postmortem obrigatório (template público)
- •Root cause analysis
- •Ações preventivas documentadas
- •Atualização de runbooks
Data breaches (5 anos)
0
Security incidents (não-breach)
< 5
Tempo médio de resolução (P1)
< 4 horas
Gestão de Risco de Terceiros
| Fornecedor | Serviço | Localização | Adequação LGPD |
|---|---|---|---|
| AWS | Cloud hosting | Brasil (sa-east-1) | DPA assinado |
| Google Workspace | Email, docs | US/Global | DPA assinado |
| Sentry | Error tracking | US | DPA assinado |
Quer Auditar Nossa Segurança Antes de Fechar Contrato?
Clientes em processo comercial podem solicitar acesso aos nossos audit reports completos (SOC 2, Pentest) e agendar conversa com nosso DPO. Confiança é construída com evidências.