Política de Segurança da Informação Simplifee

Garantir a proteção dos dados contra acessos não autorizados, violações e outras ameaças, promovendo a confiança e segurança para nossos clientes.

Aplica-se a todos os colaboradores, contratados, estagiários e outras partes que tenham acesso às informações e sistemas da Simplifee.

Confidencialidade: Asseguramos que informações confidenciais sejam acessadas somente por pessoas autorizadas. Integridade: Monitoramos e registramos alterações nos dados e sistemas para garantir a integridade. Disponibilidade: Sistemas e dados estão disponíveis conforme necessário, com medidas de redundância e backups automatizados diários do banco de dados (retidos por 7 dias) e backups semanais de arquivos de dados. Todos os contratos com fornecedores e parceiros incluem cláusulas específicas para garantir a confidencialidade, integridade e disponibilidade das informações, assegurando que todos os envolvidos estejam comprometidos com nossas práticas de segurança da informação.

O acesso aos sistemas da Simplifee é controlado por autenticação via Supabase Authentication e autenticação multifator (MFA). Senhas devem conter pelo menos 8 caracteres, incluindo letras, números e caracteres especiais. Existem diversos níveis de usuários dentro da Simplifee, cada um com acesso apenas aos dados pertinentes. O banco de dados PostgreSQL implementa Row Level Security (RLS) em todas as tabelas, garantindo que usuários acessem apenas os dados de sua própria organização. Desenvolvedores têm acesso restrito ao código fonte, e os usuários são criados e excluídos conforme o processo de admissão e desligamento. O código fonte da aplicação é controlado via GitHub, acessível apenas por desenvolvedores autorizados.

Adotamos um programa dinâmico, tanto propositivo como reativo, identificando e corrigindo vulnerabilidades conforme descobertas. Realizamos testes regulares de segurança e revisão de código para identificar e mitigar possíveis falhas.

Atualizamos continuamente a plataforma para melhorar a segurança e a funcionalidade, submetendo todas as mudanças a testes de qualidade e homologação antes da implementação em produção.

Dados armazenados no OneDrive são criptografados com AES 256-bit. O banco de dados utiliza criptografia AES-256 para dados em repouso, e todas as conexões ao banco de dados são protegidas por SSL/TLS. A comunicação entre todos os sistemas é protegida por TLS. Utilizamos AWS Key Management para gestão de chaves criptográficas, garantindo alta disponibilidade e controle de acesso robusto.

Registramos ações dos usuários na plataforma através do PostHog. O Supabase fornece logs de consultas ao banco de dados e auditoria de alterações de dados para rastreabilidade completa. Monitoramento adicional é realizado através de ferramentas da Microsoft OneDrive.

O gerenciamento de mudanças segue um processo documentado: Solicitação de Mudança: Registro da mudança proposta. Análise de Impacto: Avaliação dos impactos na segurança, operação e usuários. Autorização: Aprovação por um responsável pela segurança da informação. Implementação: Testes em ambiente de homologação antes da produção. Documentação: Registro detalhado de todas as etapas do processo. Revisão Pós-Implementação: Avaliação das mudanças implementadas.

Preparação: Avaliação de riscos, aplicação de baselines de segurança e educação em segurança. Identificação do Incidente: Confirmação de comportamento anômalo como incidente. Contenção, Erradicação e Recuperação: Coleta de evidências, avaliação do impacto e restauração das salvaguardas. Atividades Pós-Incidente: Coleta de aprendizados e melhorias nos controles de segurança.

Mantemos um programa contínuo de educação sobre segurança da informação, incluindo treinamentos regulares, simulações de phishing e campanhas de conscientização.

Dados são classificados e protegidos conforme a criticidade, com medidas rigorosas para garantir sua proteção durante todo o ciclo de vida. Não consumimos dados pessoais de clientes. Dados utilizados para criação dos modelos do produto são hospedados no OneDrive com backup semanal, acessíveis apenas para os fundadores com autenticação multifator (2FA). Dados da aplicação são armazenados em banco de dados PostgreSQL gerenciado pelo Supabase, com backups automatizados diários e retenção de 7 dias. O acesso requer autenticação via Supabase Authentication, com políticas de Row Level Security (RLS) aplicadas em todas as tabelas para garantir isolamento de dados entre organizações. A aplicação opera na AWS, com gateway de acesso para controle dos endereços que podem requisitar à API. Não utilizamos variáveis de ambiente no código fonte, com chaves públicas e privadas sendo acessadas pela aplicação via AWS Secret Manager. Critérios e Níveis de Classificação: As informações são classificadas de acordo com sua criticidade. Os dados são removidos de forma segura conforme a necessidade: 1. Contas na Plataforma: Removemos contas de usuários inativos ou conforme solicitado, garantindo que todos os dados associados sejam excluídos de nossos sistemas e do banco de dados. 2. Dados no Banco de Dados: Dados são gerenciados com políticas de retenção apropriadas, com backups automatizados diários retidos por 7 dias. 3. Dados no OneDrive: Backup semanal e remoção segura de dados antigos ou não mais necessários, com controle de acesso restrito aos fundadores. Mecanismos de Disponibilização dos Dados: Dados são disponibilizados através de acessos controlados e autenticados, garantindo que somente usuários autorizados possam acessar informações pertinentes através de políticas de RLS no banco de dados.

Todos os computadores utilizados pelos colaboradores da Simplifee possuem soluções de anti-malware instaladas e configuradas para realizar varreduras regulares e proteger contra ameaças conhecidas.

A Simplifee adota diversas tecnologias de proteção oferecidas pelos serviços que utilizamos: Vercel: Firewall, proteção contra DDoS (L3/L4, L7), Web Application Firewall (WAF), Rate Limiting. AWS: AWS Shield (proteção contra DDoS), AWS WAF (Web Application Firewall), Amazon GuardDuty (detecção de ameaças), Amazon Inspector (avaliação de vulnerabilidades). Supabase: Row Level Security (RLS) em todas as tabelas do banco de dados, criptografia AES-256 em repouso, SSL/TLS para conexões, backups automatizados diários, monitoramento de consultas e auditoria. Mantemos atualização constante com as recomendações de segurança do Supabase. Microsoft OneDrive: TLS Encryption (proteção dos dados em trânsito), AES-256 Encryption (criptografia dos dados em repouso), controles de acesso rigorosos, monitoramento contínuo e resposta a incidentes.

Todos os colaboradores devem cumprir esta política e reportar incidentes de segurança. A gerência é responsável por garantir a comunicação e entendimento da política por todos.

Revisões periódicas são realizadas para refletir mudanças nas práticas de segurança e no ambiente de ameaças. Auditorias internas e externas regulares são conduzidas para avaliar a conformidade e identificar melhorias.

Para dúvidas ou mais informações, entre em contato com o Departamento de Segurança da Informação da Simplifee pelo e-mail: seguranca@simplifee.com.