Termos e Condições

Política de Segurança da Informação (PSI) da Stratos Tecnologia

1. Objetivo

Esta Política de Segurança da Informação (PSI) tem como objetivo estabelecer as diretrizes e responsabilidades para proteger os ativos de informação da Stratos Tecnologia, seus clientes e parceiros. Isso inclui a proteção da confidencialidade, integridade e disponibilidade de dados, sistemas, propriedade intelectual (como código-fonte) e infraestrutura contra ameaças, sejam elas intencionais ou acidentais.

2. Escopo

Esta política se aplica a todos os colaboradores (funcionários, estagiários), prestadores de serviço, terceirizados e qualquer indivíduo que tenha acesso aos sistemas, dados ou ambientes de desenvolvimento da Stratos Tecnologia, independentemente de sua localização física (escritório ou remoto).

3. Classificação da Informação

Toda informação da Stratos Tecnologia e de seus clientes deve ser classificada para garantir o nível adequado de proteção.

  • Nível 1: Confidencial/Restrita: Informações altamente sensíveis. O acesso é estritamente limitado. Exemplos: Dados pessoais de clientes (conforme LGPD/GDPR), código-fonte, chaves de API, senhas, segredos de negócio, dados financeiros estratégicos.

  • Nível 2: Interna: Informações para uso exclusivo dos colaboradores da Stratos Tecnologia. Exemplos: Documentação interna de projetos, wikis, relatórios de bugs não públicos, comunicações internas.

  • Nível 3: Pública: Informações que podem ser divulgadas externamente sem risco. Exemplos: Materiais de marketing, documentação de produtos para o usuário final, código-fonte de projetos open-source da empresa.

4. Diretrizes de Segurança

4.1. Controle de Acesso

  • Princípio do Menor Privilégio: O acesso a sistemas, dados e código-fonte deve ser concedido com base na real necessidade da função do colaborador (need-to-know).

  • Autenticação Forte: O uso de senhas fortes (mínimo de 12 caracteres, complexidade) é obrigatório.

  • Autenticação Multifator (MFA/2FA): O MFA é obrigatório para todos os serviços críticos, incluindo (mas não limitado a): e-mail, repositórios de código (GitHub, GitLab, etc.), plataformas de nuvem (AWS, Azure, GCP) e VPN.

  • Gestão de Contas: Contas de usuário são pessoais e intransferíveis. O compartilhamento de credenciais é estritamente proibido. Contas de ex-colaboradores devem ser desativadas imediatamente após o desligamento.

4.2. Segurança no Ciclo de Vida de Desenvolvimento (Secure SDLC)

  • Modelagem de Ameaças: Projetos críticos devem passar por uma análise de modelagem de ameaças (Threat Modeling) na fase de design para identificar potenciais falhas de segurança.

  • Codificação Segura: Todos os desenvolvedores devem seguir as práticas de codificação segura (como as diretrizes do OWASP Top 10) para prevenir vulnerabilidades comuns (ex: SQL Injection, XSS, CSRF).

  • Revisão de Código (Code Review): Nenhuma mudança de código deve ser mesclada à ramificação principal (main/master/develop) sem a revisão e aprovação de, no mínimo, um outro desenvolvedor qualificado, com foco específico em segurança.

  • Gerenciamento de Dependências: É obrigatório manter um inventário de bibliotecas e dependências de terceiros. Ferramentas de Análise de Composição de Software (SCA) devem ser usadas para identificar e corrigir dependências vulneráveis.

  • Testes de Segurança:

    • SAST (Static Analysis): Ferramentas de análise estática de código devem ser integradas ao pipeline de CI/CD para identificar vulnerabilidades antes da compilação.

    • DAST (Dynamic Analysis): Testes de análise dinâmica devem ser realizados em ambientes de homologação para simular ataques.

  • Gerenciamento de Segredos: Chaves de API, senhas de banco de dados e outros "segredos" NUNCA devem ser "hardcoded" (fixos) no código-fonte. Eles devem ser gerenciados através de cofres de segredos (ex: HashiCorp Vault, AWS Secrets Manager) ou variáveis de ambiente seguras.

4.3. Segurança de Rede e Endpoints

  • Redes Seguras: O acesso remoto à rede interna da empresa só é permitido através de VPN (Virtual Private Network) aprovada. O uso de redes Wi-Fi públicas não seguras para acessar dados confidenciais é proibido sem o uso da VPN.

  • Proteção de Endpoints: Todos os computadores (desktops, notebooks) fornecidos pela empresa devem ter:

    • Software antivírus/antimalware (EDR) atualizado.

    • Criptografia de disco completa (ex: BitLocker, FileVault) ativada.

    • Sistema operacional e softwares mantidos com as últimas atualizações de segurança (patch management).

  • Dispositivos Móveis (BYOD): Dispositivos pessoais (Bring Your Own Device) que acessam dados da empresa devem atender a requisitos mínimos de segurança (ex: senha de bloqueio, criptografia, software de MDM, se aplicável).

4.4. Uso Aceitável de Ativos

  • Os equipamentos e sistemas da Stratos Tecnologia são fornecidos para fins profissionais. O uso pessoal deve ser limitado e não deve interferir nas atividades de trabalho ou comprometer a segurança.

  • A instalação de software não licenciado ou não autorizado pela equipe de TI/Segurança nos equipamentos da empresa é proibida.

  • O download ou compartilhamento de material ilegal, ofensivo ou malicioso é estritamente proibido.

5. Resposta a Incidentes de Segurança

Qualquer suspeita ou confirmação de um incidente de segurança (ex: perda de dispositivo, conta comprometida, infecção por malware, vazamento de dados) deve ser reportada imediatamente para contato@stratostecnologia.com.br

O silêncio ou a tentativa de ocultar um incidente é considerado uma violação grave desta política.

6. Treinamento e Conscientização

Todos os colaboradores devem passar por um treinamento obrigatório de segurança da informação no momento da contratação (onboarding) e participar de treinamentos de reciclagem anuais.

7. Conformidade e Sanções

O não cumprimento desta política pode resultar em ações disciplinares, que variam desde advertências verbais até a rescisão do contrato de trabalho por justa causa, além de possíveis ações legais cíveis ou criminais, dependendo da gravidade da violação e dos danos causados à Stratos Tecnologia ou seus clientes.

8. Revisão da Política

Esta política será revisada anualmente, ou sempre que mudanças significativas no ambiente de tecnologia, negócios ou regulatório o exigirem, pela Diretoria de TI.

Data de Aprovação: 01/10/2025 Versão: 1.0

Segurança

Nossa política de segurança garante proteção total aos dados.

Soluções

Desenvolvimento software para automação indústria, metalurgia, alimentício, agor negócio e transportes.

Contato

contato@stratostecnologia.com.br

(41)99707-9027

© 2024. All rights reserved.