Política de Segurança da Informação

Última atualização em 28 de Julho de 2025.
‍
A Política de Segurança da Informação da Mindus define princípios essenciais para proteger informações contra ameaças internas e externas, garantindo sua integridade, confidencialidade,e disponibilidade.

A reprodução, o compartilhamento ou a divulgação de informações protegidas, bem como o uso indevido dos
sistemas e recursos da Mindus, são proibidos sem autorização formal. A divulgação de dados ocorre apenas mediante ordem judicial, solicitação de autoridades ou autorização expressa dos representantes legais, sempre com supervisão do departamento Jurídico/Compliance.

A Mindus monitora e audita o uso de informações protegidas para assegurar a conformidade, adotando medidas legais em caso de violações. Isso reforça nosso compromisso com a proteção de dados e com a confiança de nossos clientes e parceiros.

Escopo
‍Esta política se aplica a todas as áreas da Mindus e é obrigatória para todos os seus colaboradores, consultores, parceiros, fornecedores e prestadores de serviço, sejam pessoas físicas ou jurídicas.
‍
Objetivos
‍Assegurar a conformidade com a legislação aplicável e com os requisitos dos clientes relacionados à segurança da informação.Garantir a confidencialidade, integridade e disponibilidade da informação por meio de controles eficazes.Promover a melhoria contínua da nossa gestão e tecnologias, identificando e gerenciando os riscos associados à segurança da informação.

Princípios
Confidencialidade: Proteger a informação contra acessos não autorizados, garantindo que apenas pessoas ou sistemas autorizados tenham acesso.
‍Integridade: Assegurar que os dados sejam precisos e confiáveis, estando protegidos contra alterações não autorizadas ou acidentais.
‍Disponibilidade: Garantir que as informações e os sistemas estejam acessíveis aos usuários autorizados sempre que necessário.

‍Diretrizes Gerais
1. O acesso a sistemas e informações deve ser protegido para garantir a confidencialidade, integridade e disponibilidade.
2. Senhas fortes, autenticação multifator e revisões periódicas de acesso devem ser implementadas sempre que possível.
3. Todos os dispositivos e softwares em uso devem ser autorizados e atualizados regularmente.
4. Dados sensíveis devem ser criptografados e acessados apenas por pessoas autorizadas.Incidentes de segurança devem ser reportados imediatamente e tratados de acordo com um plano definido.
Fornecedores e terceiros com acesso à informação devem seguir os mesmos padrões de segurança.Esta política é obrigatória e aplicável a todos os envolvidos, estando sujeita a auditorias e medidas corretivas em caso de não conformidade.

Diretrizes Específicas
‍
Inventário e Configuração
‍Todos os equipamentos (computadores, dispositivos móveis, IoT) devem estar incluídos em um inventário atualizado.
‍
Deve-se manter um inventário dos softwares autorizados utilizados pela empresa, o qual deve ser revisado e atualizado semestralmente ou com maior frequência, conforme necessário.
‍
Dispositivos e softwares não autorizados devem ser removidos imediatamente.
‍
Todos os dispositivos devem ter firewalls ativados, serviços desnecessários desabilitados e utilizar conexões seguras (HTTPS, SSH).
O acesso a interfaces administrativas deve ocorrer por meio de protocolos de rede seguros, como SSH e HTTPS.
‍
A Mindus deve implementar e gerenciar um firewall em seus servidores, quando suportado.
‍
‍Gerenciamento de Dados Sensíveis
‍A criação e manutenção de um processo de gerenciamento de dados sensíveis é obrigatória.
‍
A sensibilidade dos dados, seus responsáveis, o manuseio, os limites de retenção e os requisitos de descarte devem ser devidamente definidos.
‍
A documentação de gerenciamento de dados deve ser atualizada anualmente ou sempre que ocorrerem mudanças significativas que possam impactar essa salvaguarda.
‍
Deve-se manter uma lista de controle de acesso aos dados, baseada no princípio da necessidade de conhecimento (“need-to-know”) dos usuários.
‍
As permissões de acesso aos dados devem ser aplicadas em sistemas de arquivos locais e remotos, bancos de dados e aplicações.
‍
Os dados devem ser descartados de forma segura, de acordo com seu nível de sensibilidade.
‍
Dados sensíveis armazenados em dispositivos de usuários finais devem ser criptografados.
‍
Os fluxos de dados devem ser documentados e atualizados anualmente ou sempre que houver mudanças significativas que possam impactar essa salvaguarda.
‍
Dados sensíveis em trânsito devem ser criptografados utilizando o protocolo HTTPS.
‍
O acesso a dados sensíveis deve ser registrado, incluindo modificações e descartes.

‍Controle de Acesso e Gestão de Contas
‍Senhas únicas devem ser utilizadas para todos os ativos da empresa.
‍
As boas práticas recomendam um mínimo de 8 caracteres para contas com autenticação multifator (MFA) e 14 caracteres para contas sem MFA.
‍
A autenticação multifator (MFA) é obrigatória para acessos sensíveis.
‍
Privilégios de administrador devem ser restritos a contas dedicadas de administrador nos ativos da empresa.
‍
A MFA deve ser aplicada a todas as contas administrativas, quando suportado, em todos os ativos corporativos, sejam eles gerenciados localmente ou por provedores terceiros, como AWS, Django, Iugu, Hostgator, Google Workspace, Firebase, Virgil, Vercel e Twilio.
‍
Sempre que possível, devem ser utilizados processos automatizados e imediatos para conceder acesso aos ativos da empresa durante o onboarding de usuários, atribuição de direitos ou mudanças de função.
‍
Sempre que possível, devem ser utilizados processos automatizados e imediatos para revogar o acesso aos ativos da empresa em casos de encerramento de contrato, revogação de direitos ou mudanças de função.
‍
A preservação de contas, em vez de sua exclusão, pode ser necessária para manter os direitos de auditoria.

‍Gerenciamento de Vulnerabilidades
‍Varreduras devem ser realizadas mensalmente para identificar vulnerabilidades.
‍
Os softwares e ativos da empresa devem ser atualizados pelo menos a cada seis meses.
‍
Uma política de segurança atualizada deve ser mantida.
‍
Treinamentos de segurança e gestão de dados devem ser realizados, no mínimo, uma vez por ano com as equipes que lidam com dados sensíveis.

‍Monitoramento e Logs
‍Os registros de atividades críticas devem ser centralizados e analisados semanalmente para identificar comportamentos suspeitos.
‍
Os registros devem ser mantidos por, no mínimo, 12 meses para fins de auditoria e conformidade, ou pelo tempo necessário para os propósitos aos quais se destinam.
‍
Logs relacionados a consentimento ou a incidentes de segurança devem ser preservados para demonstrar conformidade e para eventual defesa jurídica.

‍

Gerenciamento de Incidentes de Segurança

Processo de Resposta a Incidentes:
‍Identificar e registrar o incidente.Isolar os sistemas afetados para evitar danos adicionais.
‍
Investigar a causa raiz e documentar as ações tomadas.
‍
Comunicar-se com as partes interessadas e, quando aplicável, com as autoridades regulatórias, dentro de até três dias úteis após a identificação do incidente.

    Plano de Recuperação:
         Restaurar os dados a partir dos backups mais recentes.
‍
        Verificar a integridade dos sistemas antes de retomar as operações.

   Backup e Recuperação
         Os backups devem ser realizados diariamente e armazenados em locais distintos e seguros.
‍
        Testes de recuperação devem ser realizados semestralmente para garantir sua eficácia.

‍
‍Treinamento em Segurança da Informação
‍
‍O treinamento de conscientização em segurança da informação deve ser realizado durante o processo de onboarding e, no mínimo, uma vez por ano, abordando os seguintes temas:
‍
    Mecanismos para reconhecer ataques de engenharia social.Boas práticas de autenticação, incluindo o uso de autenticação multifator (MFA).
‍
    Métodos adequados para identificar, armazenar, transferir, arquivar e destruir (ou anonimizar) dados sensíveis de forma segura.
‍
    Reconhecimento de incidentes relacionados à segurança da informação.
‍
    Riscos associados à conexão em redes não seguras e à transmissão de dados para fins corporativos.
‍
    Treinamento específico de acordo com as funções e responsabilidades dos colaboradores.
‍

‍Proteção de E-mail e Browser
‍Somente navegadores autorizados devem ser utilizados.
‍
O Google Chrome será o navegador padrão de trabalho para a equipe da Mindus.
‍
Devem ser aplicados filtros em todos os ativos corporativos: ativar as configurações de segurança do Chrome com “Proteção padrão” ou “Proteção aprimorada”.Servidores DNS confiáveis e de boa reputação devem ser utilizados. Recomendados: 8.8.4.4 | 8.8.8.8.
‍
Políticas como o DMARC devem ser implementadas para prevenir fraudes por e-mail.
‍
Soluções antimalware devem ser implantadas e mantidas nos servidores de e-mail, incluindo verificação de anexos e/ou ambiente seguro de execução.

‍Gerenciamento de Prestadores de Serviço
‍Estabelecer e manter um inventário de prestadores de serviço.
‍
Esse inventário deve listar todos os fornecedores conhecidos e identificar a sensibilidade dos dados que eles manipulam.
‍
Fornecedores com acesso a dados da empresa devem ser avaliados regularmente.
‍
Contratos com cláusulas claras de segurança são obrigatórios.
‍
O processo de desligamento de fornecedores deve ser conduzido de forma segura para garantir a proteção dos dados.

‍Testes de Invasão (PenTest)
‍Testes de invasão devem ser realizados, no mínimo, uma vez por ano ou sempre que ocorrerem mudanças significativas na arquitetura dos sistemas ou nas aplicações.
‍
Os testes devem ser conduzidos por profissionais internos qualificados e independentes das equipes de desenvolvimento, ou por especialistas externos sob acordo de confidencialidade (NDA) e com escopos claramente definidos.
‍
O escopo de cada teste deve incluir superfícies de rede externas e internas, aplicações, APIs e ativos em nuvem que tratem dados sensíveis ou pessoais.
‍
Todas as vulnerabilidades identificadas durante o teste devem ser classificadas, documentadas e encaminhadas para remediação de acordo com seu nível de risco e criticidade.
‍
Os esforços de remediação devem ser verificados por meio de re-testes ou procedimentos de validação para garantir que os riscos foram devidamente mitigados.
‍
Os resultados dos testes de invasão e os relatórios de remediação devem ser armazenados de forma segura para fins de auditoria, com acesso restrito apenas a pessoas autorizadas.